Urteil des LG Düsseldorf: Social-Plugins vor dem Aus?

Der „Gefällt mir“-Button von Facebook kann von jedem Unternehmen mit wenig Aufwand auf der eigenen Homepage implementiert werden. Er bietet eine ebenso einfache wie effektive Möglichkeit, Kunden stärker an sich zu binden. Mit nur einem Klick können sie den Facebook-Auftritt des Unternehmens „liken“. Fortan werden sie auf ihrer persönlichen Startseite über Neuigkeiten und Aktionen informiert.

Doch unbemerkt von den Nutzern findet im Hintergrund ein Datenaustausch statt. Anfang März 2016 hatte sich deshalb das LG Düsseldorf mit der Frage zu befassen, ob der Like-Button mit geltendem Recht vereinbar ist.

Sachverhalt

Die Klage ging von der Verbraucherzentrale NRW aus und richtete sich gegen einen bekannten Bekleidungshändler. Dieser hatte in seine Webseite den Like-Button mithilfe eines von Facebook bereitgestellten Plugins integriert. Das Plugin übermittelt die IP-Adressen und andere Daten aller Webseitenbesucher direkt an Facebook. Ist einer von ihnen außerdem gerade bei dem sozialen Netzwerk eingeloggt, kann er auch ohne einen Klick auf den Like-Button sehen, welche seiner Facebook-Freunde den Facebook-Auftritt des Unternehmens bereits „geliked“ haben.

Verstoß gegen § 13 TMG

Nach Ansicht der Klägerin verstoße die automatische Datenübermittlung an Facebook gegen § 13 TMG. Gemäß § 13 Abs. 1 S. 1 TMG muss ein Webseitenbetreiber den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten aufklären.

Diesbezüglich stellte das Gericht fest, dass es sich bei der IP-Adresse jedenfalls in bestimmten Fällen um ein personenbezogenes Datum handele. Dies sei zum einen dann der Fall, wenn der Besucher der Webseite gleichzeitig noch bei Facebook eingeloggt ist. Zum anderen, wenn der Besucher sich zwar vorher bei Facebook ausgeloggt, jedoch nicht die von Facebook auf seinem Computer gespeicherten Cookies gelöscht hat. In beiden Fällen könne Facebook der IP-Adresse aufgrund bereits vorhandener Daten eine Person zuordnen.

Aufgrund der sofortigen und automatischen Datenübermittlung könne der Seitenbetreiber seiner Pflicht nach § 13 Abs. 1 S. 1 TMG, die Nutzer bereits zu Beginn über die Erhebung und Verwendung aufzuklären, gar nicht nachkommen.

Ob auch die IP-Adressen aller anderen Webseitenbesucher personenbezogene Daten sind, wollte das LG nicht entscheiden. Allerdings hielt das Gericht dieses Ergebnis für „zumindest naheliegend“.

Tatsächlich ist diese Frage höchst umstritten. Damit Personenbezogenheit vorliegt, muss die Person durch das Datum „bestimmbar“ sein (§ 3 Abs. 1 BDSG). Der BGH ist sich unsicher, ob durch eine bloße Kombination aus (Buchstaben und) Zahlen – mehr ist eine IP-Adresse nämlich nicht – die Nutzer identifiziert werden können. Er hat die Frage deshalb dem EuGH zur Vorabentscheidung vorgelegt (Rs. C-582/14). Der Generalanwalt des EuGH Sánchez-Bordona spricht sich in seiner Stellungnahme dafür aus, IP-Adressen als personenbezogene Daten zu klassifizieren. Es sei bereits ausreichend, dass der Access Provider den Nutzer identifizieren könne.

Keine Erlaubnis der Nutzung

Darüber hinaus könne sich die Beklagte nicht auf eine Nutzungserlaubnis gem. § 12 TMG berufen. Danach ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur erlaubt, wenn das Gesetz dies gestattet oder der Nutzer vorher eingewilligt hat.

Nach Ansicht des LG liege keine gesetzliche Gestattung gemäß § 15 Abs. 1 TMG vor. Dieser erlaubt eine Datennutzung, soweit dies „erforderlich“ ist, um die Telemedien (z. B. eine Internetseite) in Anspruch nehmen zu können. Das LG stellte jedoch fest, dass das Kriterium der Erforderlichkeit hier eng zu verstehen sei. Für die Funktionstüchtigkeit der Webseite sei der „Like-Button“ nicht „unabdinglich“.

Ferner fehle es an einer im Einklang mit § 13 Abs. 2 TMG abgegebenen Einwilligung durch den Nutzer. Es muss also u. a. sichergestellt sein, dass der Nutzer (durch eine aktive Handlung) seine Einwilligung bewusst, eindeutig und insbesondere vor der Datenweitergabe erteilt. Auf der Webseite der Beklagten habe es allerdings keine solche Möglichkeit gegeben, eine Einwilligung zu erteilen. Daran ändere auch der bloße Link am Ende der Seite auf die Datenschutzerklärung nichts.

Wettbewerbsrechtliche Relevanz

Das LG stellte weiterhin fest, dass es sich bei den §§ 12, 13 TMG nicht lediglich um Verbraucherschutzgesetze handele, sondern auch um im Rahmen des Wettbewerbsrechts relevante Marktverhaltensregeln. Die wettbewerbliche Relevanz des eingesetzten Plugins ergebe sich daraus, dass das kommerzielle Verhalten des Nutzers beeinflusst werde. Ihm werde angezeigt, wie viele seiner Facebook-Freunde bereits die Webseite des Anbieters „geliked“ hätten. Es sei deshalb denkbar, dass der Nutzer aufgrund dieser Information sein Kaufverhalten anpasse. Verstößt der Webseitenbetreiber also gegen §§ 12, 13 TMG, liegt somit gleichzeitig eine gem. § 3a in Verbindung mit § 3 Abs. 1 UWG unlautere und damit unzulässige Wettbewerbshandlung vor.

Kritik und Ausblick

Aus verbraucherschützender Perspektive ist die Entscheidung zu begrüßen, da sie den Schutz personenbezogener Daten weiter stärkt. Das Urteil bestätigt insbesondere die Auffassung des Düsseldorfer Kreises, einem Zusammenschluss der deutschen Datenschutzaufsichtsbehörden, wonach der Like-Button von Facebook und vergleichbare Social-Plugins datenschutzwidrig seien.

Kritisch äußert sich hingegen RA Marcus Beckmann, der es für problematisch hält, dass Webseitenbetreiber nun weiter in den Fokus der Abmahnindustrie geraten. Direkten Wettbewerbern ist es erlaubt, Konkurrenten wegen wettbewerbsrechtswidrigen Handlungen kostenpflichtig abzumahnen – ab jetzt auch für die Verwendung des Plugins von Facebook. RA Dr. Thomas Schwenke befürchtet eine Rückkehr zum statischen Internet der 90er Jahre. Das Urteil werde Konsequenzen für alle Arten von Social-Plugins von Facebook haben: Sowohl der Sharing-Button und als auch das Einbetten anderer Inhalte von Facebook auf der eigenen Webseite könnten betroffen sein, sodass in Zukunft keines dieser dynamischen Plugins mehr datenschutzkonform verwendet werden könnte.

Die Beklagte verwendet inzwischen auf ihrer Webseite die sog. „2-Klick-Lösung“. Hier ist das Facebook-Plugin zunächst deaktiviert. Erst durch einen zusätzlichen Klick des Nutzers werden sowohl die Datenverarbeitung als auch die Like-Funktion aktiviert. Ob diese Lösung datenschutzrechtlich zulässig ist, hat das LG ausdrücklich offengelassen. RA Thomas Stadler hegt allerdings Zweifel auch an dieser Lösung. Wie zuvor sei hier eine informierte Einwilligung der Nutzer über die Datennutzung durch Facebook unmöglich, da niemand genau wisse, was Facebook mit den übermittelten Daten anstelle. Conrad S. Conrad empfiehlt, völlig auf derartig gestaltete Plugins zu verzichten, um auf der sicheren Seite zu sein und möglicherweise kostenintensive Rechtsstreitigkeiten zu vermeiden.

Aufgrund der bestehenden Rechtsunsicherheit ist zu befürchten, dass Webseitenbetreiber zukünftig auf den Einsatz von Social-Plugins verzichten werden. Diese Abkehr vom dynamischen Internet bedeutet einen Rückschritt für die Vernetzung verschiedener Lebensbereiche im Web. Für Unternehmen bedeutet der Verzicht auf Plugins außerdem den Verlust eines wichtigen Werbeinstruments.

Die Alternative zur 2-Klick-Lösung stellt der „c’t Shariff“ dar. Dieses Werkzeug ermöglicht die Datenweitergabe an soziale Netzwerke erst nach einem Klick auf den entsprechenden Button und ist als Open Source verfügbar.

Marie-Claire Harms

Zur Einwilligung in Cookie-Nutzung und Telefonwerbung per Opt-out-Verfahren
Was bringt die neue Datenschutzgrundverordnung?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *