Kleine Publisher haben jetzt große Probleme

Unternehmen, die eine Website haben oder Online-Marketing betreiben, stehen derzeit vor kaum lösbaren Problemen. Das ­betrifft vor allem kleine Website-Betreiber, die zum Beispiel einen Blog unter Wordpress betreiben und sich über Adsense­Anzeigen und Affiliate-Links ein kleines Zubrot verdienen.

Die Implementierung der dazu erforderlichen Informationen und die Abfrage der Einwilligung des Nutzers zur Verarbeitung seiner Daten stellt viele kleine Website-Betreiber vor kaum lösbare technische Hürden. Zudem steckt der Teufel oft im Detail. Welcher Wordpress­Anwender weiß zum Beispiel schon, dass die Funktion zum Anzeigen von Emojis Nutzerdaten auf Drittservern speichert, dass Google Fonts problembehaftet sind und dass so manches Security-Tool mit der DSGVO nicht in Einklang zu bringen ist?

Die praktische Hilfe der Software-Anbieter zur Lösung solcher Probleme fällt oft erschütternd schwach aus. So bietet Google unter Cookiechoices.org zwar ­eine Informationsseite an, die Skripte zur Einholung zur Zustimmung der Nutzer vorstellt. Aber die beliebten Google Fonts, die viele Wordpress-Templates als Bildschirmschriften nutzen, gelten unter Fachleuten als DSGVO-inkompatibel. Grund: Beim Aufruf der Seite fragt der Browser auf dem Google-Server nach, ob es bei den Fonts irgendwelche Neuerungen gab - und überträgt dabei ungefragt Nutzer­daten nach Mountain View. Für die – technisch oft mäßig beschlagenen - Seitenbetreiber ein unlösbares Dilemma: Google Fonts verbessern die Ladezeiten und somit das Google-Ranking.

Und sie bringen den Seitenbetreiber in Konflikt mit dem ­Gesetz. Justizministerin Barley sieht das Problem: "Wir müssen dafür sorgen, dass die DSGVO verbraucherfreundlich angewandt wird", sagte sie der Presseagentur dpa: "Das gilt insbesondere für Vereine, Ehrenamtliche und kleine Unternehmen." Wie diese verbraucherfreundliche Anwendung des Datenschutzrahmens aussehen soll, dazu hat das Justizministerium bis jetzt, wenige Tage vor Ende der Übergangsfrist, noch keine konkreten Vorstellungen geäußert.

Der Angstgegner für viele Webseitenbetreiber ist in puncto Datenschutz nicht die zuständige Datenschutzbehörde. Allgemein wird den Landesämtern für Datenschutz durchaus Augenmaß zugetraut.

Sorgen bereiten dagegen wettbewerbsrechtliche Abmahnungen - eine deutsche Spezialität. Während etwa in Frankreich eine Behörde darüber wacht, ob die Marktteilnehmer im Wettbewerb fair miteinander umgehen, dürfen in Deutschland Unternehmen ihre unlauteren Konkurrenten abmahnen und sie zur Abgabe einer strafbewehrten Unterlassungserklärung auffordern. Inzwischen hat sich daraus eine ganze Industrie entwickelt, und nicht wenige Experten rechnen nach dem 25. Mai mit einer wahren Abmahnwelle.

Anwälte raten indes zur Besonnenheit. Verstöße gegen das Datenschutzgesetz gelten zwar nach Ansicht mehrerer Gerichte als Wettbewerbsverstöße und berechtigen zu wettbewerbsrechtlichen Abmahnungen, doch nicht jeder, der eine Abmahnung schickt, ist auch dazu befugt. Außerdem setzt ein Verstoß gegen den Datenschutz, der zur Erlangung von Wettbewerbsvorteilen begangen wurde, eine Absicht voraus, die dann zu beweisen wäre. Und schließlich stellt eine Aufforderung zur Abgabe einer Unterlassungserklärung lediglich ein Angebot dar, die Sache außergerichtlich beizulegen. Lehnt der Abgemahnte diese Offerte ab, muss der Abmahner erst einmal klagen, bevor etwas passiert.

Wer allerdings ohne profunde juristische Beratung eine Unterlassungserklärung abgibt, muss wissen, was er tut: Die Erklärung ist ein Vertrag mit dem Abmahner, der selbst dann Bestand hat, wenn der vermeintliche Abmahngrund sich bei näherer Betrachtung als nichtig erweist.

Und vielleicht sind Verstöße gegen die DSGVO sogar generell wettbewerblich nicht abmahnfähig. Nach Ansicht von Helmut Köhler, einem der führenden Wettbewerbsrechtler Deutschlands, lässt sich §3a UWG, auf den sich solche Abmahnungen in der Vergangenheit oft berufen haben, auf die DSGVO nicht anwenden, weil die Verordnung ihrerseits bereits einen Sanktionskatalog enthält. Will sagen: Wer gegen das DSGVO verstößt, kann nicht wegen des Verstoßes gegen das UWG abgemahnt werden. Ob diese Interpretation in der Rechtsprechung Bestand haben wird, müssen jedoch die Gerichte entscheiden.

Das alles darf nicht darüber hinwegtäuschen, dass jeder Website-Betreiber seine Datenschutz-Hausaufgaben machen muss - und zwar möglichst bald. Eine Datenschutzerklärung, die den Besucher offen und transparent über Dienste informiert, die auf die Seite zugreifen, ist ebenso Pflicht wie eine Bewertung der eingesetzten Tracking- und Targeting-Techniken. Wer E-Mails mit werblichen Inhalten verschicken will, benötigt dazu – wie bisher - die Zustimmung des Empfängers.

Liegt diese nicht sauber dokumentiert vor, dann muss man den Kontakt eben noch mal darum bitten - oder gleich aus dem Verteiler werfen. Mit allen Dienstleistern, mit denen man im Online Business zusammenarbeitet und die mit Kunden- oder Nutzerdaten in Kontakt kommen, muss ein Auftrags­datenverarbeitungsvertrag (ADV) geschlossen werden. Alle Mitarbeiter, die mit Kundendaten in Berührung kommen, sollten zur DSGVO geschult werden. Datenschutzrelevante Vorgänge müssen dokumentiert und protokolliert werden. Wie es dann in Sachen DSGVO weitergeht, wird die Zeit zeigen. Völlige Klarheit wird es auf die Schnelle jedenfalls nicht geben.