Onlinemarketing Recht 2019: Wenn es kein Richtig und kein Falsch gibt.

1
2359

TEILEN - Spread the Love!

Ein Gastbeitrag von Rechtsanwalt Dr. Thomas Schwenke 

Rechtsanwalt Dr. Thomas Schwenke gibt uns ein Rechtsupdate zu den neuesten Entwicklungen im Onlinemarketing. (Quelle: Nils Wim Wiemers)

Bevor du diesen Artikel liest, bitte ich dich, eines zu beachten: Mein Ziel ist es nicht, dich zu verunsichern. Ganz im Gegenteil möchte ich dir einen Überblick über die aktuelle Rechtslage im Onlinemarketing verschaffen und dich befähigen, die richtigen Entscheidungen zu treffen.

Dabei meine ich mit „richtigen Entscheidungen“ Entscheidungen, die unter Beachtung möglicher Risiken wirtschaftlich sinnvoll sind. Was dagegen rechtlich richtig ist, wirst du häufig gar nicht wissen. In einer Zeit, in der sich Gerichte diametral widersprechen und Gesetze wie die DSGVO in alle Richtungen frei interpretiert werden dürfen, gibt es keine Verlässlichkeit. Zumindest nicht, bis ein oberstes Gericht entschieden hat, was jedoch viele Jahre in Anspruch nehmen kann.

Aber auch eine solche Entscheidung kann einen Rattenschwanz an weiteren Unsicherheiten nach sich ziehen, wie die Entscheidung des Europäischen Gerichtshofs (EuGH) zur Mitverantwortung für Fanpages und Social-Plugins von Facebook zeigt.

Datenschutzbehörden: Der Betrieb von Fanpages ist rechtswidrig

Im Juni 2018 hat der Europäische Gerichtshof (EuGH, C-210/16) entschieden, dass Fanpage-Betreiber für die Verarbeitung der Daten der Facebook-Besucher mitverantwortlich sind. Im Juli 2019 bestätigte er diese Rechtsprechung für Social Plugins, z.B. dem Like-Button von Facebook (EuGH, C-40/17).

Die Folge dieser Entscheidung ist zum einen, dass Fanpage-Betreiber und Nutzer von Social-Plugins für etwaige Datenschutzverstöße bei der Verarbeitung der Fanpage-Besucher neben Facebook für die Erhebung, bzw. Übermittlung der Daten der Fanpage- und Websitebesucher mitverantwortlich sind. Zum anderen müssen die Betreiber Auskunftsanfragen und Löschungswünschen der Fanpage Folge leisten.

Die Mitverantwortung für Fanpages stützte der EuGH darauf, dass nicht nur Facebook ein Interesse an den Daten der Fanpage-Besucher hat, sondern auch die Fanpage-Betreiber. So können die Betreiber mit Hilfe der demografischen Angaben die Inhalte und Marketingmaßnahmen effektiver auf die Besucher zuschneiden. Im Fall der Social Plugins reichte es dem Gericht aus, dass sowohl der Websitebetreiber, als auch Facebook beide kommerzielle Interessen verfolgten (Quelle: Fanpage des Verfassers)

Des Weiteren müssen Fanpage-Betreiber eine spezielle Vereinbarung mit Facebook abschließen, in der u.a. geregelt wird, wer die vorgenannten Besucheranfragen beantwortet. 

Diese Vereinbarung hat Facebook neben Informationen für Fanpagebesucher zumindest im Fall der Fanpages vorgelegt und sich verpflichtet die Nutzeranfragen zu beantworten. Doch diese Vereinbarung genügt den Datenschutzbehörden nicht. Zum einen, weil Fanpage-Betreiber darin nach der Ansicht der Behörden zu wenig Mitspracherechte erhalten und zum anderen, weil Facebook weder die Betreiber noch die Fanpage-Besucher hinreichend über die Verarbeitung derer Daten aufklärt.

Aus diesem Grund halten die Datenschutzbehörden den Einsatz von Fanpages rechtswidrig und drohen Fanpage-Betreibern, um Facebook unter Druck zu setzen. Nunmehr bleibt abzuwarten, wie Facebook in diesem Ping-Pong-Spiel reagiert, während den Betreibern die Zuschauerrolle verbleibt. Was du zur Risikominderung tun kannst, ist einmal, die Fanpage nur für Facebook-Mitglieder zugänglich zu machen und sie in eigenen Datenschutzhinweisen aufzuklären.

Die Datenschutzerklärung auf Ihrer Website können Sie zwar im „Info“-Bereich Ihrer Fanpage verlinken. Doch derart ‚versteckt’ dürfte dies Datenschutzbehörden und Gerichten nicht genügen. Daher sollten Sie Ihre Datenschutzerklärung auch auf der Startseite Ihrer Fanpage verlinken, was derzeit leider nur mit Hilfe von Workarounds funktioniert. Du kannst den Link zum Beispiel in einem fixierten Beitrag platzieren (1.), den Hinweis in der Story der Fanpage unterbringen (2.) oder einen sprechenden Link („https://…./datenschutz“) statt des Websitelinks angeben (3.).
In der Datenschutzerklärung selbst empfehle ich euch einen generellen Passus zur Nutzung sozialer Netzwerke aufzunehmen und in diesem Rahmen dann auf die einzelnen Netzwerke zu verweisen (Beispiel: datenschutz-generator.de des Verfassers).

Während der Fokus auf Facebook liegt, bleibt eines unbeachtet – die vom EuGH aufgestellten Grundsätze der Mitverantwortung gelten auch für andere Plattformen.

Instagram, YouTube, Facebook-Pixel, Google Analytics – ebenfalls rechtswidrig?

Dem EuGH genügte für die Mitverantwortung, dass Fanpage-Betreiber eine Fanpage eröffnen und Vorteile aus den ihnen zur Verfügung gestellten Insights-Statistiken ziehen können (zum Beispiel, um mit deren Hilfe organische Inhalte oder Ads auf deren Zielgruppe anzupassen).

Wendet man diesen Maßstab jedoch auf andere Social Media-Dienste an, dann kommt man im Ergebnis auch zu einer Mitverantwortung. YouTube bietet Videostatistiken, Instagram Insights in Businessprofilen und Facebook-Gruppen und Google Analytics sind gerade dazu gedacht, Informationen über Nutzer zu sammeln.

Wenn du das Risiko möglichst mindern willst, solltest du in deinen Social Media-Accounts neben einem Link zum Impressum auch einen Link zur Datenschutzerklärung aufnehmen. Die Links können z.B. in einer Linkübersicht (z.B. des Anbieters linktr.ee) gesetzt werden, dann muss sich aus der Bio jedoch ergeben, dass sie dort zu finden sind, z.B. durch den vor dem Link platzierten Textzusatz am Ende der Bio „… Impressum/Datenschutz: “ (Quelle: Instagram-Account von Thomas Schwenke).

Bedenkt man die Reichweite der Mitverantwortung, potenzielle Mithaftung und die Anzahl der Nutzeranfragen, die auf einen möglicherweise zukommen könnten, wird es einem schummrig vor Augen. Hinzu kommt, dass im Gegensatz zu Facebook Fanpages weder für YouTube, Instagram, Facebook-Pixel noch andere Dienste eine nach der DSGVO erforderliche Vereinbarung angeboten wird. 

Wer also sicher DSGVO-konform sein möchte, der müsste alle Social Media-Dienste abschalten. Doch empfehlen möchte ich das nicht. Zum einen gibt es bisher nur ein Urteil zu Facebook-Diensten und nicht zu den anderen Diensten. Solange das der Fall ist, gehe ich nicht davon aus, dass Datenschutzbehörden einschreiten werden bzw. nicht per Bußgeld.

Das heißt, ich betrachte das Risiko derzeit als hinnehmbar oder, um es fatalistischer zu sagen, eine wirkliche Wahl hast du ohnehin nicht.

Anders sieht es im Hinblick auf Cookies und Tracking aus, die du auch nach Ansicht der Datenschutzbehörden datenschutzkonform betreiben kannst.

Entwicklung bei Cookies & Tracking

Beim Einsatz von Cookies und Tracking zu Marketingzwecken halten die Datenschutzbehörden an der Pflicht zu einem Opt-In fest. Damit meinen sie, dass Nutzer erst auf „Einverstanden“ in einem Cookie-Banner klicken müssen, bevor Cookies überhaupt gesetzt werden dürfen.

Dieses Einverständnis muss jedoch freiwillig erfolgen, da ansonsten das sogenannte „Kopplungsverbot“ greifen würde. Das heißt, du solltest die Nutzer beispielsweise nicht zum Opt-In zwingen dürfen, bevor sie die Website betreten. Zulässig sei es dagegen, eine kleine Gebühr als Alternative zum Tracking zu fordern.

Falls du Websitebesucher dazu zwingen möchtest, die Cookies zu akzeptieren, musst du ihnen (zumindest nach Ansicht der Datenschutzbehörden) eine Möglichkeit anbieten, sich durch einen den Werbeeinnahmen entsprechenden, kleinen Betrag „freizukaufen’“. So bestätigte die österreichische Datenschutzbehörde die Zulässigkeit der Zwangseinwilligung mit Abo-Alternative auf der Nachrichtenseite derstandard.at.

In der Praxis hielt sich zumindest bis vor kurzem jedoch kaum jemand an die Vorgaben der Datenschutzbehörden. Auch wenn Cookie-Banner mittlerweile zum Usus geworden sind, so wurden Cookies noch vor der Einwilligung der Nutzer eingesetzt (d.h. die Tracking-Codes von Diensten wie z.B. Google Analytics oder Facebook wurden schon beim Aufruf der Website ausgeführt).

Dabei beriefen sich die Websitebetreiber, wie die Werbeindustrie auf ein berechtigtes unternehmerisches Marketing-Interesse. Dieses erlaubt eine Verarbeitung der Besucherdaten, sofern diese mit dem konkreten Einsatz der Cookies rechnen können, in der Datenschutzerklärung hinreichend aufgeklärt werden und eine Widerspruchsmöglichkeit erhalten (ein sogenannter Opt-Out). Hier widersprechen die Datenschützer und meinen, dass der durchschnittliche Nutzer z.B. mit dem Einsatz von Remarketing oder verhaltens- und interessenbasierter Werbung nicht rechnet.

Die bayerische Datenschutzbehörde hat 40 Webseiten geprüft und stellte fest, dass in 20 Prozent der Fälle gar keine Einwilligungen per Cookie-Banner eingeholt wurden und in den übrigen 80 Prozent der Fälle Cookie-Tracker bereits aktiv waren, obwohl die Nutzer noch keine Einwilligung abgegeben haben. Dieses Bild dürfte mit wenigen Ausnahmen für das Gros von Webseiten sprechen.

Welche der beiden Ansichten zutrifft, wissen wir zwar nicht absolut und eindeutig. Die Verabschiedung einer ePrivacy-Verordnung, die hier Klarheit in die eine oder andere Richtung bringen könnte, ist in weite Ferne gerückt. In den nächsten zwei Jahren rechnet kaum jemand mit ihr. 

Allerdings änderte sich die Lage mit dem vorgenannten Urteil des EuGH zu Social-Plugins. Denn das Gericht hat nicht nur über die Mitverantwortung entschieden. Es hatte auch über die Frage zu entscheiden, ob vor dem Einsatz von Social Plugins eine Einwilligung eingeholt werden muss.

Das bejahte das Gericht für den Fall, dass die Social Plugins Cookies nutzen. Da der EuGH jedoch die Sachlage nicht prüft,  muss das Oberlandesgericht Düsseldorf diese Frage klären und das Endurteil fällen. Da jedoch zumindest nach derzeitigem Stand Social Plugins Cookies einsetzen, dürfte die Entscheidung eindeutig ausfallen.

Die Richter bezogen sich übrigens auf die “Cookie-Richtlinie” der EU, die bei nicht notwendigen Datenzugriffen (notwendig ist z.B. das Warenkorb-Cookie in einem E-Shop) auf Geräte der Nutzer eine Einwilligung vorsieht (RL 2002/58 Art. 5 Abs. 3). Da es umstritten ist, ob diese Richtlinie in Deutschland gilt, bleibt zumindest noch ein argumentatives Hintertürchen für die Nutzung von Tracking-Cookies ohne eine Einwilligung offen. Auch wenn überwiegend vermutet wird, dass spätestens wenn der EuGH im Oktober 2019 über den Cookie-Einsatz in Deutschland entscheidet, eine Opt-In-Pflicht zementiert wird (EuGH – C-673/17).

Dass trotz der vorgenannten Rechtslage immer noch viele Webseiten Tracking-Cookies ohne Einwilligung einsetzen, liegt überwiegend auch an den mangelnden Konsequenzen ihrer Nutzung.

Es sind im Zeitpunkt des Erscheinens dieses Beitrags praktisch keine Untersagungsverfügungen, Abmahnungen oder gar Bußgelder wegen der Nutzung von Tracking-Diensten bekannt. Dies mag so bleiben, doch spätestens ab dem 01. Oktober 2019 solltest Du sicherheitshalber entweder zum Verzicht auf Tracking-Cookies bereit sein oder ein Cookie-Opt-In-Banner (auch “Consent-Banner” genannt) bereit halten.

Aber nicht nur in Social Media und beim Tracking ist die Rechtslage unklar. Auch eine andere Facette des Onlinemarketings reiht sich in die Reihe der Unsicherheiten ein.

Hin und Her im Influencer Marketing

Eigentlich könnten diejenigen, die sich früher über fehlende Werbekennzeichnung durch Influencer beschwert haben, nunmehr zufrieden sein. Denn beworbene Produkte werden überwiegend mit den Begriffen „Werbung“ oder „Anzeige“ gekennzeichnet.

Aber das reicht den abmahnfreudigen Marktwächtern nicht aus. Nunmehr richten sie sich gegen Influencer, die selbst bezahlte Produkte oder Marken ohne wirtschaftlichen Hintergrund vertaggen. Nach deren Ansicht werben die Influencer so vor allem für sich selbst, weil sie so Follower gewinnen und sich als Werbepartner anbieten.

Wer ist rechtlich betrachtet ein Influencer?
Rechtlich betrachtet ist ein Influencer jemand, der einen Account zumindest zum Teil geschäftlich nutzt. Das heißt, wer keine kommerziellen Kooperationen eingeht oder kostenlos gestellte Produkte bewirbt, muss sich um die Werbekennzeichnung keine Gedanken machen.

Erfreulicherweise schränkte das Kammergericht Berlin (KG, 5 U 83/18) diese strenge Meinung ein. Es sagte, dass Influencer auch ein Recht auf eine Privatmeinung haben. Wenn sie aus ihrem Leben berichten und zum Beispiel die getragenen Marken per Hashtag verlinken, dann ist das keine Werbung. Anders sehe es aus, wenn der Post alleine dazu dient, ein Produkt werblich anzupreisen oder sonst eine wirtschaftliche Verbindung besteht.

In diesem Beispiel der Journalistin und Influencerin Vreni Frost sah das Kammergericht trotz Vertaggung der Kleidungsmarken keine Pflicht zur Werbekennzeichnung, da sie einem redaktionellen bzw. privaten Bericht aus dem Leben der Frau Frost dienten.
Dieses Posting beurteilte das KG Berlin dagegen als kennzeichnungspflichtig. Zwar wurde keine Marke explizit beworben. Aber die Influencerin hatte die Aufnahme erstellt, nachdem sie einen bezahlten Workshop für das vertaggte Unternehmen Schwarzkopf durchgeführt hatte. Darin sah das Gericht einen kommerziellen Hintergrund, auf den Frau Frost hätte hinweisen müssen (wie es nunmehr zu Beginn des Beitrags zutreffend erfolgt).

Leider folgte das Landgericht Karlsruhe (LG Karlsruhe, 13 O 38/18 KfH) der Ansicht der Berliner Richter zumindest im Fall der Influencerin Pamela Reif nicht. Die Richter meinten, dass ihr Instagram-Account ausschließlich Geschäftszwecken diene und sprachen ihr die Fähigkeit, sich privat äußern zu können, ab. Umgekehrt heißt die Einordnung als Geschäftsaccount nicht, dass Frau Reif auf Werbehinweise verzichten darf. Denn ihre Beiträge hätten trotz 4 Millionen Followern den Anschein, sie seien privater Natur, worin eine Täuschung der häufig minderjährigen Follower liege. Ganz anderer Ansicht war dagegen das Landgericht München (LG München, Az. 4 HK O 14312/18). Es befand, dass der Instagram-Account der Influencerin Cathy Hummels mit einem blauen Verifizierungs-Haken und knapp einer halben Million Follower eindeutig als geschäftlich erkennbar sei und sie selbst erworbene Produkte nicht kennzeichnen muss.  

An dieser verworrenen Rechtslage dürfte sich leider nichts ändern, bis der Bundesgerichtshof als oberste Instanz klare Kriterien für Kennzeichnungspflichten aufstellt.

Bis dahin ist allen Influencern, die ihre Accounts zumindest auch für Geschäftszwecke einsetzen und kein Risiko eingehen wollen, ein Werbehinweis „Werbung unbezahlt“ oder „Werbung wegen Markennennung“ im Fall der Vertaggung von Produkten und Marken zu empfehlen.

Vorsicht ist übrigens auch für Corporate-Influencer bzw. Markenbotschafter, d.h. für ihre Unternehmen werbenden Mitarbeiter angezeigt. Sie sollten die Beziehung zu Ihrem Arbeitgeber immer deutlich machen oder auch die Begriffe “Werbung/Anzeige” verwenden. 

Wie weit Gerichte die Kennzeichnungspflicht sehen können, machte dasOLG Frankfurt deutlich. Im Ergebnis urteilte es im Fall des Mitarbeiters eines Aquaristikgeschäfts, dass er jegliche Vorstellung von Aquaristikprodukten als Werbung hätte kennzeichnen müssten (OLG Frankfurt, 6 W 35/19).

Als ob die vorbeschriebenen Unsicherheiten im Marketing nicht genug wären, sorgt auch die Urheberrechtsreform für eine Vielzahl ungeklärter Fragen in der Zukunft.  

Urheberrechtsreform: Art. 17 und die Aufhebung des Haftungsprivilegs

Das bisher geltende Haftungsprivileg besagt, dass Plattformen oder Foren erst dann für Nutzeruploads haften, wenn sie Kenntnis von deren Rechtswidrigkeit erlangen und sie trotzdem nicht unverzüglich löschen. Voraussetzung dieses Haftungsprivilegs ist, dass die Plattformen die Inhalte nicht redaktionell aufbereiten und wirtschaftlich nutzen.

Diese 20 Jahre alte Regelung sollte Plattformen vor übermäßiger Haftung schützen und die Entwicklung des Internets fördern. Doch aus der Sicht der Rechteinhaber ging dieses Privileg zu weit. Vor allem bei YouTube störten sie sich daran, dass Nutzer z.B. Musik hochladen, ohne dass YouTube hierfür Lizenzen wie z.B. Spotify zahlt.

Daher forcierten sie eine Regelung, nach der Plattformen sich nunmehr um Lizenzen der Lizenzinhaber ernsthaft bemühen müssen. Andernfalls oder wenn sie keine Lizenzen erhalten, müssen sie sicherstellen, dass Nutzeruploads nicht veröffentlicht werden. Dazu erhalten sie von den Rechteinhabern z.B. Musikstücke, die sie mit den Uploads abgleichen müssen (was in der Praxis ohne sogenannte „Uploadfilter“ kaum gehen dürfte).

Soweit diese Regelung YouTube und vergleichbare, große Dienste beträfe, könnte man sie noch nachvollziehen. So hat YouTube bereits ein solches Filtersystem, das Content-ID genannt wird. Zudem wird der EuGH in einem laufenden Verfahren entscheiden müssen, ob YouTube sich überhaupt auf das Haftungsprivileg berufen kann (BGH, I ZR 140/15). Viele Experten sagen nein, da YouTube die Uploads der Nutzer im großen Maße wirtschaftlich verwertet (z.B. durch einen eigenen kostenpflichtigen Premiumdienst, der das Schauen der Videos ohne Werbung erlaubt).

Demnach ist es nicht unwahrscheinlich, dass die Rechteinhaber und die sie unterstützenden Politiker ihre Ziele auch mit der Entscheidung des EuGH erreicht hätten. Doch sie wollten nicht warten und haben mit Artikel 17 (ehemals Artikel 13) der Urheberrechtsreform eine eigene Regelung ohne Rücksicht auf mögliche Kollateralschäden für das ganze Internet beschlossen.

So sagt Art. 17, dass alle Plattformen, die große Mengen an von Nutzern hochgeladenen Inhalten zugänglich machen, diese organisieren und bewerben und damit Geld verdienen, grundsätzlich für Urheberrechtsverletzungen ihrer Nutzer haften.

Damit dürften nicht nur große Marktplayer erfasst werden, sondern möglicherweise zum Beispiel auch Forenbetreiber. Zwar heißt es seitens der Befürworter des Art. 17, dass damit nur wirklich große Plattformen gemeint sind. Da es dafür aber keine Gewähr gibt, wird ein Forenbetreiber entweder Mut zeigen und mindestens fünfstellige Beträge riskieren oder den Upload von Medien ausschalten müssen.

Dabei ist es nur die Spitze der Kritik. Diese verhallte ohnehin, genauso wie die Warnungen des Bundesdatenschutzbeauftragten. Er äußerte die Sorge, dass das Gros der Filterung in den USA erfolgen wird und mit den Uploadfiltern eine Infrastruktur zur Kontrolle aller Nutzerinhalte geschaffen wird. Dass die Sorge berechtigt war, zeigten die ersten Forderungen, die Uploadfilter dann auch zur Terrorabwehr einzusetzen.

Nunmehr heißt es abwarten, denn Deutschland und andere EU-Länder müssen die beschlossene EU-Urheberrechtsrichtlinie noch in ein nationales Gesetz umsetzen. Dazu haben sie ca. zwei Jahre Zeit. Danach gibt es noch eine weitere Schonfrist für kleinere Anbieter, die jünger als drei Jahre sind, weniger als zehn Millionen Euro Umsatz machen und deren Plattform unter fünf Millionen monatliche Besucher haben.

Es bleibt zu hoffen, dass die Zeit für eine Schadensbegrenzung auf nationaler Ebene genutzt wird.

Dr. Thomas Schwenke, LL.M. (UoA), Dipl.FinWirt (FH), ist Rechtsanwalt in Berlin, berät international Unternehmen sowie Agenturen im Datenschutz- und Marketingrecht, ist zertifizierter Datenschutzbeauftragter und Datenschutzauditor sowie Referent, Podcaster, Buchautor und Betreiber von Datenschutz-Generator.de.

Website & Blog: https://drschwenke.de
Facebook:
https://www.facebook.com/raschwenke
Twitter: https://twitter.com/thsch
Instagram:
https://www.instagram.com/tschwenke


Quellen:
https://www.facebook.com/legal/terms/page_controller_addendum
https://www.facebook.com/legal/terms/information_about_page_insights_data
https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Orientierungshilfen/Positionierung_Facebook_Fanpages.pdf
https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Orientierungshilfen/OH_TMG.pdf
https://www.lda.bayern.de/media/sid_ergebnis_2019.pdf
https://www.instagram.com/p/Bgg9cWRnMzc/
https://www.instagram.com/p/BgPCX03nnZW/

Porträtfoto: Nils Wim Wiemers
Screenshots: Dr. Thomas Schwenke
Titelbild: Anna Maucher über Bill Oxford auf Unsplash

Dieser Artikel erschien zuerst im SocialHub Mag – lade dir unser Social Media-Magazin hier kostenlos herunter!

TEILEN - Spread the Love!