Datenschutz bei Spenden- und Empfehlungsfunktionen

Haupt-Reiter

Mit Funktionen zum Weiterempfehlen versuchen Webseitenbetreibende, die Reichweite ihres Angebots zu erhöhen, über Spendenfunktionen können sich Nutzerinnen und Nutzer an der Finanzierung des Angebots beteiligen. Was es beim Datenschutz dabei zu beachten gilt:

Spenden

Viele Internetangebote für Kinder werden mit Engagement und weitgehend unkommerziell betrieben. Um einen Teil der Kosten wieder hereinzuholen, können Nutzerinnen und Nutzer oftmals für das Angebot spenden. Wenn sich die Angebote an Kinder wenden, werden sich Betreiber mit ihrem Spendenaufruf in der Regel eher an die Eltern als an die Kinder selbst richten.

Um eine Spendenfunktion einzurichten, stehen eine Reihe verschiedener Möglichkeiten zur Verfügung. Die Einfachste ist die Angabe einer Bankverbindung, unter der man Spenden entgegen nimmt. Hier sind aus Datenschutzsicht keine Besonderheiten zu berücksichtigen, denn es werden über die Webseite keine Daten von Dritten verarbeitet.

Geld, Bild find-das-bild.de/Michael SchnellDer Aufwand für Spendenwillige ist bei dieser Variante jedoch hoch. Eine einfachere Option besteht in der Einbindung eines eigenen Formulars für ein Lastschriftmandat, mit dem die Betreiber die Spende vom Konto des Spenders einziehen können. Mit dem seit Februar 2016 nunmehr verbleibenden SEPA-Lastschriftverfahren ist die Durchführung allerdings komplizierter geworden. So muss unter anderem eine Gläubiger-Identifikationsnummer bei der Deutschen Bundesbank beantragt werden. Für die Details zur Abwicklung sollte man sich mit seiner Hausbank beraten.

Die eigene Einziehung von Lastschriften ist in mancher Hinsicht eine sehr datenschutzfreundliche Variante, weil kein externer Dienstleister – außer der Bank - mit den Daten in Berührung kommt. Umgekehrt aber ist aufgrund der erhöhten Sensitivität von Kontodaten erhöhte Vorsicht im Umgang mit den Datenbeständen geboten.

Dazu zählt, dass diese Angaben mit einer verschlüsselten Verbindung übertragen werden. Die entsprechende Seite mit dem Formular sollte nur per „https“ und nicht per „http“ erreichbar sein. Mit den Bankverbindungsdaten der Spender ist sorgfältig umzugehen. Sie sollten getrennt von anderen Datenbeständen gespeichert werden und nicht auf dem Server, der für den Betrieb der Webseite genutzt wird. Hierfür ist es erforderlich, sich auch mit dem technischen Prozess auseinandersetzen, wie die Daten erfasst werden. Auch falls dabei E-Mails versandt werden, ist eine verschlüsselte Verbindung dafür sicherzustellen.

Schließlich ist der Prozess für Nutzerinnen und Nutzer der Webseite hinreichend deutlich zu machen. Der Spendende muss wissen, dass er eine Einwilligung zur Lastschrift erteilt, welchen Betrag er abgibt und wann eine Abbuchung erfolgt. Auch hierbei kann die Hausbank mit vorbereiteten Textelementen behilflich sein.

Checkliste eigene Spendenfunktion

  • Rücksprache mit der Hausbank für die Durchführung von Lastschriften?
  • Gläubiger-Identifikationsnummer bei der Bundesbank beantragt?
  • Verschlüsselte Verbindung für Formulare aktiviert?
  • Sicherheit der Kontodaten vor unberechtigtem Zugriff gewährleistet?
  • Einwilligungserklärung eindeutig gestaltet?

Spenden über Dienstleister

Viele Betreiber von Internetseiten entscheiden sich für die Einschaltung eines externen Dienstleisters, der die Zahlungsabwicklung für den Betreiber durchführt. Bezahldienste wie Paypal führen die Geldtransaktion im Auftrag des Spenders durch. Gerade Paypal ist zwar weit verbreitet, genießt wegen seiner Geschäftspraktiken unter manchen Datenschützern jedoch keinen guten Ruf. Die Nutzungs- und Datenschutzbedingungen enthalten einige umstrittene Bestimmungen: So räumt sich Paypal etwa das Recht ein, Daten an zahlreiche andere Firmen weiter zu geben. Wer auf Paypal setzen möchte, sollte daneben zumindest noch andere Zahlungsmöglichkeiten in Betracht ziehen. 

Spendenplattformen wie Betterplace bieten die Einrichtung von Projektwebseiten an, die sich verlinken oder einbinden lassen. Technisch ähnlich sind Crowdfunding-Plattformen wie Startnext, Indiegogo, Visionbakery und viele andere, bei denen Nutzer sich vorab an der Finanzierung einzelner Projekte oder Projektschritte beteiligen. Die meisten Plattformen bieten eine Reihe unterschiedlicher Zahlungsmöglichkeiten an, etwa per Paypal, Kreditkarte, Bankeinzug und per Überweisung.

Werden Fremddienstleister einbezogen, ist der Seitenbetreiber in der Regel nicht die datenverarbeitende Stelle. Die datenschutzrechtliche Verantwortung trifft soweit den Dienstleister. Werden Inhalte des Dienstleisters direkt in das eigene Angebot integriert, sollte in den eigenen Datenschutzbestimmungen auf die des Dienstleisters verwiesen werden. Bei der Auswahl der Plattform empfiehlt sich auch ein Blick auf die Datenschutz-Regelungen des Anbieters.

Empfehlungsfunktion per E-Mail

Von Funktionen zum Empfehlen eigener Inhalte erhoffen sich Webseitenbetreiber unter anderem, die Reichweite des Angebots zu erhöhen. Sehr verbreitet ist zum Beispiel die Funktion, andere Nutzer über Angabe einer E-Mail-Adresse auf Inhalte hinzuweisen.

Im gewerblichen Bereich sind allerdings Fälle aufgetreten, bei denen Abmahnungen gegen eine solche Funktion auch vor Gericht Erfolg hatten. Die Grenze zur unzulässigen Werbung ist bei Empfehlungsfunktionen per E-Mail leicht überschritten.

Das Problem besteht darin, dass der Empfänger der E-Mail in die Zusendung der Empfehlung nicht eingewilligt hat. Wenn man die Funktion hingegen so gestaltet, dass man lediglich als Übermittler der Nachricht auftritt, wird sie von vielen Juristen für zulässig gehalten. Dabei ist darauf zu achten, dass der Empfehlungstext vom Absender der Empfehlung gewählt werden kann. Dies kann etwa durch ein vorausgefülltes Formular geschehen, das individuell angepasst werden kann. Weitere werbende Botschaften sollten unterbleiben. Außerdem sollte technisch sichergestellt werden, dass das Empfehlungsformular nicht zum massenhaften Versand von E-Mails durch Dritte missbraucht werden kann.

Gerade die letzte Anforderung ist nicht immer einfach zu lösen. Eine Maßnahme kann die Nutzung von sogenannten Captchas sein. Hierbei wird die E-Mail erst abgeschickt, nachdem der Nutzer ein Rätsel löst, das nicht durch einen Computer gelöst werden kann.

Beispiel
Der WDR bietet auf seiner Seite zum TV-Magazin "Wissen macht Ah!" die Möglichkeit, Weiterempfehlungen zu verschicken, die derzeit diesen Anforderungen entspricht

Als weitere Maßnahme sollten Seitenbetreiber sicherstellen, dass ein einzelner Absender nicht in kurzer Zeit viele Empfehlungen verschicken kann. So kann etwa der Versand pro Zeitraum von einer IP-Adresse beschränkt werden. Rein technisch betrachtet kann es effektiver sein, dem Empfehlenden eine E-Mail zu schicken und die Empfehlung erst abzuschicken, nachdem er dies mit einem Klick auf einen Link in der E-Mail bestätigt hat.

Statt für den Empfehlenden die E-Mail zu verschicken, kann man ihn auch dabei unterstützen, die E-Mail selber zu verschicken. Hierbei wird die „Mailto“-Funktion genutzt. Wenn dieser Befehl in einen Link auf der Webseite eingebettet ist, kann man damit definieren, dass mit einem Klick ein E-Mail-Programm geöffnet wird. Dort wird eine E-Mail mit einem vordefinierten Inhalt geöffnet. Diese Variante ist unter Datenschutz-Aspekten die Beste, funktioniert jedoch nur, wenn der Computer des Nutzers entsprechend konfiguriert ist.

Beispiel
Die Kinderseite „Abenteuer Regenwald“ bietet die Funktion an, Seiten durch Aufruf des E-Mail-Programms weiterzuempfehlen (Button: „E-Mail teilen“.)

Empfehlungsfunktionen für soziale Netzwerke

Weit verbreitet sind zudem Schaltflächen, um auf Inhalte in sozialen Netzwerken wie Facebook, Twitter und anderswo hinzuweisen. Diese sind aus Datenschutz-Perspektive häufig problematisch, wenn keine weiteren Vorkehrungen getroffen werden. Nicht nur über eingeloggte Nutzer des jeweiligen Netzwerks, auch über Nicht-Mitglieder können die Anbieter mithilfe der Schaltflächen Daten wie die besuchten Webseiten sammeln.

Mittlerweile existiert jedoch eine Reihe an Werkzeugen, die es Webseitenbetreibern ermöglichen, Empfehlungsfunktionen für soziale Netzwerke datenschutzfreundlich anzubieten. Verbreitet ist etwa eine Zwei-Klick-Lösung, die der Heise-Verlag entwickelt hat und kostenlos unter einer freien Lizenz anbietet. Dabei können erst dann Daten an das jeweilige Netzwerk übertragen werden, wenn die Funktion mit dem ersten Klick freigeschaltet wurde. Eine Weiterentwicklung sind die „Shariff“-Buttons vom selben Verlag, die nur noch einen Klick benötigen.

Checkliste Weiterempfehlungsfunktion:

  • Bei E-Mail: Kann man Betrreffzeile und Text individuell anpassen?
  • E-Mailadresse des Empfehlenden enthalten?
  • Maßnahmen zur Spam-Vermeidunge ergriffen? (Captcha, Unterbindung von Massenversand, Bestätigungslink)?
  • Alternativen erwogen? („Mailto-Funktion“, andere reichweitensteigernde Maßnahmen)?
  • Button für soziale Netzwerke: Datenschutz-freundliche Umsetzung gewählt?

 

Dieser Text ist im Rahmen der Service-Reihe „Datenschutz auf Webseiten“ in Zusammenarbeit von Seitenstark mit iRights.law Rechtsanwälte entstanden.

 

Creative Commons Lizenzvertrag
Datenschutz bei Spenden- und Empfehlungsfunktionen von Seitenstark e.V. ist lizenziert unter einer Creative Commons Namensnennung 4.0 International Lizenz.

Einblenden

Rechtlicher Hinweis

Die auf diesen Seiten vorhandenen rechtlichen Ausführungen stellen keine Rechtsberatung im Sinne des Rechtsdienstleistungsgestzes dar. Die Betreiber der Webseite haften nicht für die Inhalte. Trotz sorgfältiger Prüfung kann zudem nicht ausgeschlossen werden, dass Angaben fehlerhaft oder veraltet sind.

Mitmachen beim Wiki

Sie haben eine Ergänzung? Dann gehen Sie auf den Reiter „Bearbeiten“ und schreiben Sie Ihre Information in das Textfeld. Wir freuen uns über Ihre Beteiligung am Wiki!