Das Landgericht Düsseldorf hat auf eine Klage der Verbraucherzentrale NRW hin kürzlich entschieden, dass die unmittelbare Einbindung von Social Plugins wie insbesondere des Facebook “Like”-Buttons datenschutzrechtlich unzulässig ist und zudem einen Wettbewerbsverstoß darstellt (Urteil vom 9. März 2016, Az. 12 O 151/15). Damit steht das Urteil im Einklang mit der Auffassung der Datenschutzbehörden und der Rechtsprechung mehrerer anderer Gerichte. Für Unternehmen, die auf ihren Online-Auftritten Social-Plugins verwenden, sollte spätestens diese gerichtliche Entscheidung Anlass sein, die Art und Weise der Einbindung der Social-Plugins rechtlich zu prüfen.
Datenschutzrechtliche Probleme beim Einsatz von Social Plugins
Der Einsatz von Social-Plugins, wie etwa der Facebook “Like”/”Gefällt mir”-Button”, aber auch entsprechende Plugins von anderen Anbietern (z.B. Twitter, Google+, LinkedIn oder Pinterest), bietet durch die Verknüpfung mit den entsprechenden sozialen Netzwerken in vielen Fällen einen echten Mehrwert für Webseitenbetreiber. Allerdings ist der Einsatz solcher Plugins auch mit rechtlichen Risiken verknüpft. Dies gilt vor allem immer dann, wenn die entsprechenden Plugins insbesondere über sog. iFrames (“integrated frames”) und über den vom Anbieter des Social Plugins zur Verfügung gestellten HTML-Programmcodes auf einer Webseite eingebunden wurden.
In diesen Fällen werden bereits im Zeitpunkt des Aufrufs der Seite, auf der das Social-Plugin eingebunden ist, Informationen wie die IP-Adresse des Webseitenbesuchers sowie Angaben zum Typ des von ihm verwendeten Browsers und zu Datum und Zeit des Seitenaufrufs an den Anbieter des Social-Plugins weitergeleitet. Dies ist deshalb problematisch, weil der Webseitenbesucher diese Informationsübermittlung zum einen nicht beeinflussen kann und zum anderen in aller Regel auch nicht zuvor darüber informiert wurde.
Bewertung durch die Datenschutzbehörden
Aus Sicht der Datenschutzbehörden ist der Einsatz von Social-Plugins daher grundsätzlich rechtswidrig, wenn keine zusätzlichen technischen Schutzmaßnahmen getroffen werden. Diese Ansicht gründet sich darauf, dass jedenfalls dann regelmäßig personenbezogene Daten betroffen sind, wenn der Webseitenbesucher bei dem sozialen Netzwerk einen Account unterhält. Es ist in diesen Fällen meist eine Identifizierung des Webseitenbesuchers möglich. Die über das Social-Plugin gewonnenen personenbezogen Daten dürfen gemäß §§ 12 Abs. 1 und 13 Abs. 2 TMG jedoch nur dann übermittelt werden, wenn der Webseitenbesucher “zu Beginn des Nutzungsvorgangs”, d.h. vor dem Seitenaufruf oder jedenfalls gleichzeitig, seine vollinformierte Einwilligung hierzu erklärt. An dieser Voraussetzung fehlt es aber, wenn das Social-Plugin bereits im Moment des Seitenaufrufs geladen wird und die Informationen unmittelbar an den Anbieter des Social-Plugins weiterleitet.
Der vom Landgericht zu entscheidende Sachverhalt
Der Entscheidung des Landgerichts lag eine typische Konstellation zugrunde, in der die Beklagte auf ihrer Unternehmenswebseite den “Gefällt mir”-Button von Facebook mittels eines iFrames eingebunden hatte. Weitere technische Maßnahmen hatte der Webseitenbetreiber zunächst nicht implementiert. In einer Datenschutzerklärung wies er lediglich auf die Einbindung des Social-Plugins und die damit verbundene Datenübermittlung an Facebook hin. Dabei war in dem Verfahren unstreitig, dass jedenfalls die IP-Adresse eines Webseitenbesuchers sowie Angaben zu von ihm verwendeten Browsers im Zeitpunkt des Aufrufens der Seite, auf der ein “Gefällt mir”-Button eingebunden ist, an Facebook übertragen werden.
Die Entscheidung des Landgerichts
Diese Einbindung des Social-Plugins erachtete das Landgericht als datenschutzrechtlich unzulässig. Dabei ist zunächst bemerkenswert, dass das Landgericht ohne umfangreichere Begründung unterstellt hat, dass es sich bei sog. dynamischen IP-Adressen (d.h. nicht fest vergebene IP-Adressen) um personenbezogene Daten handelt. Dies ist deswegen nicht selbstverständlich, weil diese Frage durchaus umstritten ist und gegenwärtig dem Europäischen Gerichtshof zur Entscheidung vorliegt (siehe bereits unseren Beitrag zur Vorlage der Frage an den EuGH). Darüber hinaus stellte das Landgericht aber auch fest, dass Facebook die übermittelten Informationen mit dem dort bestehen Datenbestand abgleichen und zusammenführen kann und aus diesem Grund jedenfalls dann, wenn der Webseitenbesucher auch einen Account bei Facebook unterhält, durch die Zusammenführung der über Cookies gespeicherten Daten regelmäßig ein Personenbezug besteht.
Die Beklagte sei zudem als diejenige Person, die mit der Einbindung des Plugins insbesondere die Übermittlung der IP-Adresse des Nutzers an den Social-Plugin-Anbieter ermöglicht, auch als verantwortliche Stelle i.S.v. § 3 Abs. 7 BDSG anzusehen und damit für die Rechtmäßigkeit der Datenübermittlung und der entsprechenden Information der Webseitenbesucher haftbar (hierin kann durchaus ein Widerspruch zu der Facebook-Fanpage Rechtsprechung des VG und OVG Schleswig gesehen werden, die eine Verantwortlichkeit von Fanpage-Betreiber abgelehnt haben).
Als solche hätte die Beklagte die Datenübermittlung nur mit einer wirksamen vollinformierten Einwilligung gemäß §§ 12, 13 TMG durchführen dürfen und dafür die Webseitenbesucher vor über die damit verbundene Datenübertragung und zudem das Widerspruchsrecht der Nutzer informieren müssen. Diese Informationspflicht habe die Beklagte jedoch nicht erfüllt. Dabei stellt das Landgericht darauf ab, dass eine Information gerade vor des Einsatzes des Social Plugins erfolgen muss. Das Problem wurde auch nicht dadurch gelöst, dass die Beklagte den Einsatz des Plugins in ihrer Datenschutzerklärung beschrieb. Denn auf diese Weise würden Webseitenbesucher allenfalls nach der erfolgten Datenübermittlung über diese informiert.
Eine gute Nachricht für Webseitenbetreiber ist, dass das Landgericht in diesem Zusammenhang auch feststellte, dass eine etwaige Unvollständigkeit der Beschreibung der Funktionsweise des Social-Plugins in der Datenschutzerklärung für sich selbst genommen noch keinen Wettbewerbsverstoß begründet. Dies ist deshalb von Bedeutung, da der Webseitenbetreiber meist nicht genau weiß, wie der Anbieter eines Social-Plugins die übermittelten Daten verwendet und entsprechend darüber auch nicht detailliert aufklären kann. Es bleibt allerdings abzuwarten, ob diese Auffassung in der Rechtsprechung eine Mehrheit finden wird.
Schließlich entschied das Landgericht, dass die streitgegenständliche Einbindung des “Gefällt mir”-Buttons nicht nur datenschutzrechtlich unzulässig, sondern auch wettbewerbswidrig ist. Der Verstoß gegen die §§ 12, 13 TMG stelle einen unlauteren Rechtsverstoß gemäß § 3a UWG dar. Dies steht im Einklang mit der Rechtsprechung mehrerer anderer Gerichte. So hat beispielsweise zuletzt auch das Landgericht Köln einen Verstoß gegen die Informationspflicht aus § 13 Abs. 1 TMG als Wettbewerbsverstoß gewertet (siehe hierzu unseren Beitrag zu der einstweiligen Verfügung des LG Köln), der nicht nur von Verbraucherschutzverbänden, sondern auch Wettbewerbern abgemahnt und gerichtlich angegriffen werden kann.
Praxistipps
Um Aufsichtsmaßnahmen von Datenschutzbehörden und wettbewerbsrechtliche Auseinandersetzungen mit Verbraucherschutzorganisationen oder Mitbewerbern wegen des Einsatzes von Social Plugins von vornherein vorzubeugen, sollten diese grundsätzlich nicht direkt (z.B. per iFrame) auf einer Website eingebunden werden.
Wenn auf Social Plugins jedoch nicht verzichtet werden soll, sollten diese jedenfalls mittels technischer Alternativlösungen wie der sog. “2-Klick-Lösung” (diese haben wir hier bereits vorgestellt) oder des sog. “Shariff”-Tools eingebunden werden, die sicherstellen, dass keine Datenübertragung ohne vorheriges aktives Tätigwerden des Webseitenbesuchers erfolgt. Insbesondere die “2-Klick-Lösung” scheint auch das Landgericht Düsseldorf für zulässig zu erachten, legt sich allerdings nicht endgültig fest. Neben diesen technischen Lösungen sollte zur Erfüllung der Informationspflicht aus § 13 Abs. 1 TMG zudem eine möglichst umfassende Beschreibung der Datenübermittlungen durch das Social-Plugin in die Datenschutzerklärung aufgenommen werden, wenn dies noch nicht geschehen ist.