Im Blogartikel Verwendung von Akismet in Deutschland rechtlich fragwürdig haben wir darauf hingewiesen, dass das Anti-Spam-Plugin Akismet in Deutschland nicht ohne weiteres verwendet werden sollte.

Achtung: Wir geben an dieser Stelle keine Rechtsberatung, sondern stellen lediglich die Situation dar.

Akismet erhebt eine Menge Daten (IP, Kommentarname, Kommentarmailadresse, Kommentar, Browser und viele weitere), sendet und speichert diese auf Servern in den USA. Dies ist nach dem deutschen und europäischen Datenschutzrecht nur mit einer Einwilligung der Kommentatoren erlaubt, weil die USA nach unserem Gesetz als ein Land ohne hinreichendes Datenschutzniveau gelten.

Die Einwilligung muss ausdrücklich erfolgen, also in Form einer Checkbox. Ferner müssen die Absender eines Kommentars im Vorfeld darüber aufgeklärt werden, dass persönliche Daten erhoben und auf ausländischen Servern gespeichert werden. Genaueres zur Rechtslage und Beispiele in Usability VS Datenschutz – Datenschutzrechtliche Einwilligung ohne Opt-In? auf spreerecht.de.

Muster einer Einwilligung und der Datenschutzerklärung

Diese Einwilligung muss vor dem Kommentar-Absendebutton stehen und von Kommentatoren mit einer Checkbox bestätigt werden. Eine vorangehakte Checkbox oder alleine der Hinweis in der Datenschutzerklärung sind dagegen nicht ausreichend.

Ich erkläre mich damit einverstanden, dass alle eingegebenen Daten und meine IP-Adresse nur zum Zweck der Spamvermeidung durch das Programm Akismet in den USA überprüft und gespeichert werden. Weitere Informationen zu Akismet und Widerrufsmöglichkeiten [Mit Datenschutzerklärung verlinken].

Dieser Passus muss in der Datenschutzerklärung der Website aufgenommen werden:

Nutzung von Akismet zur Vermeidung von Kommentarspam

Diese Seite nutzt das Akismet-Plugin der Automattic Inc., 60 29th Street #343, San Francisco, CA 94110-4929, USA. Mit Hilfe dieses Plugins werden Kommentare von echten Menschen von Spam-Kommentaren unterschieden. Dazu werden alle Kommentarangaben an einen Server in den USA verschickt, wo sie analysiert und für Vergleichszwecke vier Tage lang gespeichert werden. Ist ein Kommentar als Spam eingestuft worden, werden die Daten über diese Zeit hinaus gespeichert. Zu diesen Angaben gehören der eingegebene Name, die Emailadresse, die IP-Adresse, der Kommentarinhalt, der Referrer, Angaben zum verwendeten Browser sowie dem Computersystem und die Zeit des Eintrags. Sie können gerne Pseudonyme nutzen, oder auf die Eingabe des Namens oder der Emailadresse verzichten. Sie können die Übertragung der Daten komplett verhindern, in dem Sie unser Kommentarsystem nicht nutzen. Das wäre schade, aber leider sehen wir sonst keine Alternativen, die ebenso effektiv arbeiten. Sie können der Nutzung Ihrer Daten für die Zukunft unter support@wordpress.com, Betreff “Deletion of Data stored by Akismet” unter Angabe/Beschreibung der gespeicherten Daten widersprechen.

Nachrüstung der Checkbox mittels Plugin

Wer trotzdem nicht auf Akismet verzichten möchte, der kann unser Plugin Akismet Privacy Policies verwenden, welches im offiziellen WordPress Pluginverzeichnis zu finden ist. Nach dem Aktivieren platziert das Plugin automatisch in fast allen Themes die entsprechende Einwilligungs-Checkbox samt Mustertext. Wir empfehlen dringend im gleichen Zuge auch eine Seite mit einer Datenschutzerklärung zu erstellen (Mustertext siehe FAQ-Artikel oder im spreerecht.de-Artikel) und diese im Hinweistext zu verlinken, damit der Nutzer Ordnungsgemäß nach Datenschutzgesetz informiert ist, wie er seine gespeicherten Daten wieder löschen kann.

Risiko oder Panikmache?

Dem Hinweis auf die Rechtswidrigkeit von Akismet wird oft unnötige Panikmache entgegen gehalten. Fakt ist, dass die Nutzung von Akismet ohne die obigen Angaben ein klarer Rechtsverstoß ist. Eine andere Frage sind die möglichen Folgen. Bußgelder sind nach dem derzeit Stand weniger zu befürchten. Abmahnungen von Wettbewerbern sind auch nicht zu erwarten, da Datenschutzvorschriften eher Individuen und nicht wirtschaftliche Interessen schützen sollen.

Das heißt aber auf der anderen Seite, dass jede Privatperson jeden Akismetnutzer abmahnen könnte, wenn keine Einwilligung und Datenschutzerklärung nach dem obigen Muster eingesetzt werden. Das Gute daran ist, dass Privatpersonen eher selten Abmahnungen verschicken. Das Schlechte ist, dass auch Wettbewerber als Privatperson abmahnen können.

Es bleibt jedem überlassen, sich an die Hinweise hier zu halten. In den meisten Fällen wird nichts passieren. Kommt es jedoch zu einer Abmahnung oder gerichtlichem Vorgehen, können Kosten von mehreren hundert Euro entstehen.

Künftige Entwicklung

Nach eigener Aussage, wird Auttomatic künftig dem “Safe Harbor“-Abkommen beitreten und so ein hinreichendes Datenschutzniveau gewährleisten. Daher ist es wahrscheinlich, das die Einwilligungspflicht mit Checkbox künftig entfallen wird.

Schweiz und Österreich

Verbindliche Angaben zur Rechtslage in diesen Ländern können nicht gemacht werden. Jedoch ist den obigen Informationen das strenge deutsche & EU-Recht zugrunde gelegt worden. Es kann daher davon ausgegangen werden, dass die Anforderungen in anderen Ländern ebenfalls erfüllt werden.

Alternativen

Wer die rechtlichen Fallstricke bei der Verwendung von Akismet komplett umgehen will, der kann auch auf andere Plugins zur Spambekämpfung zurückgreifen:

Hinweise

Die FAQ und das Plugin “Akismet Privacy Policy” ist unter Mitwirkung des Rechtsanwalts Thomas Schwenke, LL.M. von der Kanzlei Schwenke & Dramburg erstellt worden. Die Kanzlei berät Blogger und Unternehmer in Gründungs-, Marketing- und Datenschutzfragen.

Die Muster wurden nach besten Wissen und Gewissen erstellt, für deren Richtigkeit und Vollständigkeit kann jedoch keine Haftung übernommen werden. Im Einzelfall können Änderungen oder Anpassungen notwendig sein. Die bereitgestellten Informationen stellen keine Rechtsberatung dar.