Einwilligung – Online.Spiele.Recht

LG Düsseldorf: Einbindung von Social Media Plugins ohne vorherige Aufklärung und Zustimmung des Nutzers unzulässig

Tim Maiorino — Thu, 10 Mar 2016 15:58:34 +0000

Am 9. März 2016 hat das Landgericht Düsseldorf ein wichtiges Urteil zum Thema Social Media Plugins verkündet.

Die Verbraucherzentrale NRW klagte gegen den Betreiber eines großen Webshops, der Kleidung verschiedener Hersteller anbietet. Die Verbraucherzentrale hatte den Betreiber im April 2015 abgemahnt und zur Abgabe einer strafbewährten Unterlassungserklärung aufgefordert. Da die Beklagte die geforderte Unterlassungserklärung nicht abgab, erhob die Verbraucherzentrale NRW Klage. Das Gericht gab ihr nun in weiten Teilen Recht.

Hintergrund der Abmahnung war die Integration der „gefällt mir“-Funktion von Facebook auf der Webseite der Beklagten. Die Nutzer des Webshops der Beklagten konnten von dieser Funktion durch einmaliges Klicken auf den Button „gefällt mir“ Gebrauch machen. Dies halt das LG Düsseldorf für rechtswidrig.

Das Problem: Datenübertragung bereits durch bloßes Aufrufen der Webseite

Wie bereits berichtet, wurden Social Media Plugins rechtlich schon immer kritisch gesehen.

„gefällt mir“-Plugin als Wettbewerbsverstoß?

Nach Ansicht der Verbraucherzentrale NRW stellt die Integration der „gefällt mir“ Funktion im Zusammenhang mit der verwendeten Datenschutzerklärung eine unerlaubte geschäftliche Handlung dar und sei nach § 4 Nr. 11 UWG i.V.m. §§ 12, 13 TMG sowie § 5 Abs. 1 UWG wettbewerbswidrig.

Unterlassungsanspruch bejaht

Das Gericht (Urteil vom 9. März 2016, Az. 12 O 151/15, Volltext) untersagte der Beklagten die Integration des „gefällt mir“ Plugins von Facebook, ohne die Nutzer ihrer Webseite ausdrücklich und unübersehbar über Zweck der Erhebung und der Verwendung der übermittelten Daten aufzuklären und ihr Einverständnis hierzu einzuholen.

Die Nutzung des Plugins ohne vorherige Aufklärung über die Übertragung der IP-Adresse und des Browserstrings sei unlauter im Sinne des § 3a UWG i.V.m. § 13 TMG.

Einbindung des Plugins führt zu datenschutzrechtlicher Verantwortlichkeit

Dem stünde auch nicht entgegen, dass die Beklagte selbst die Daten nicht verarbeite. Sie beschaffe hingegen die Daten, was nach § 3 Abs. 3 BDSG eine Erhebung darstelle. Durch das Einbinden des Plugins ermögliche sie die Datenerhebung und die spätere Verwendung der Daten durch Facebook. Die Beklagte habe die Möglichkeit, durch eine vorgeschaltete Nutzerabfrage, ob die Funktionalität aktiviert werden solle, den Zugriff auf die Daten zu steuern.

Durch die Einbindung von Drittinhalten in das eigene Angebot löse die Beklage einen Datenverarbeitungsprozess aus und sei deshalb auch datenschutzrechtlich verantwortlich.

Keine fingierte Einwilligung der Webseitenbesucher

Die Beklagte habe die Rechte Dritter zu beachten, die die Weitergabe ihrer Daten weder wünschen noch erwarten. Die Beklagte könne aber nicht von einer generellen Einwilligung zur Datennutzung der Besucher der Webseite ausgehen. Personenbezogene Daten dürften nur erhoben und verwendet werden, sofern das Gesetz es gestatte oder der Nutzer ausdrücklich eingewilligt habe. Eine bloße Belehrung in den Datenschutzbestimmungen der Beklagten genüge hierzu nicht.

Verstoß auch gegen Wettbewerbsrecht

Da das Plugin auf der Webseite der Beklagten der Werbung und dem Absatz diente, komme dem Verstoß auch wettbewerbsrechtliche Relevanz zu. Die Nutzer seien nicht nur in ihrem Schutz vor unerwünschter Werbung betroffen, das Plugin beeinflusse auch das Konsumverhalten der Nutzer. Denn die Angabe der Anzahl von Facebook Mitgliedern, denen die Webseite der Beklagten und somit mittelbar deren Produktangebot „gefällt“, beeinflusse das kommerzielle Verhalten der Nutzer des Onlineshops.

Welche Auswirkungen hat das Urteil?

Das Urteil hat grundsätzliche Bedeutung für die datenschutzrechtliche Beurteilung von Social Media Plugins. Es unterstreicht zudem die Verantwortlichkeit der Webseitenbetreiber für die Einbindung dieser Dienste. Der Betreiber muss sicherstellen, dass eine Datenübertragung zum Anbieter des Plugins nur dann stattfindet, wenn der Besucher der Webseite zuvor seine ausdrückliche Einwilligung erteilt hat. Hierbei kommt es nicht darauf an, dass der Webseitenbetreiber selbst gar keine Daten verarbeitet. Die bloße Vorbereitungshandlung hierzu genügt, wenn der HTML-Code derart gestaltet ist, dass er den Browser des Besuchers veranlasst, Anfragen beim Server des Plugin-Anbieters zu stellen.

Rettung durch „Zwei-Klick“-Lösung oder Shariff?

Ausdrücklich offengelassen hat das Gericht die Frage, ob die „Zwei-Klick“ Lösung den rechtlichen Anforderungen genügt. Hierbei ist der Datenübertragung an Facebook eine Einverständnisabfrage vorgeschaltet. Der Nutzer muss die Funktionalität des Plugins zunächst durch einen ersten Klick freischalten, um dann durch einen zweiten Klick die eigentliche „gefällt mir“ Funktion nutzen zu können.

Es muss schlicht gewährleistet sein, dass sich in dem Quellcode der Webseite keine Bestandteile befinden, die den Browser veranlassen, automatisch mit Besuch der Webseite Serveranfragen bei dem Betreiber des Plugins zu stellen.

Alternativ können Webseitenbetreiber auf das Tool „Shariff“ des Heise Verlags zurückgreifen. Hierbei werden zwar wie bisher die Buttons der Social Media Netzwerke auf der Webseite dargestellt. Shariff tritt aber als Zwischeninstanz auf: Nicht der Browser des Besuchers stellt Anfragen bei den Servern der Social Media Netzwerke, sondern der Server des Webseiten-Betreibers. Der Besucher bleibt somit anonym. Die Netzwerke erhalten erst dann Zugriff auf die Daten des Besuchers, wenn dieser auf die entsprechenden Buttons klickt. Shariff ist als Open Source Software kostenlos verfügbar. Es kommt auch in unserem Blog zum Einsatz.

Wir danken unserem Referendar Fabian Schröder für die Mitarbeit an diesem Beitrag.

Liebesgrüße aus Montréal: Das neue kanadische Anti-Spam-Gesetz [update]

Felix Hilgert — Thu, 24 Jul 2014 06:34:57 +0000

Seit einigen Wochen bekomme ich eine Menge E-Mails aus Kanada. Unternehmen, mit denen ich irgendwann – teilweise zuletzt vor Jahren – zu tun hatte, schicken mir jetzt bunte, freundliche E-Mails, teilen mit was sich in letzter Zeit so getan hat, und fragen nach: Wollen wir in Kontakt bleiben? Dann bitte diesen Bestätigungslink anklicken.

Solche Post kommt nicht von ungefähr. Seit dem 1. Juli 2014 gilt in Kanada ein neues Anti-Spam-Gesetz, das nun in vielen Fällen ein ausdrückliches Opt-In für den Erhalt von Werbe-E-Mails erfordert. Bei einem Verstoß drohen Bußgelder, die sich gewaschen haben [update 9.3.2015: Das erste verhängte Bußgeld beläuft sich auf über 1 Million kanadische Dollar].

Das Gesetz, dessen voller Titel den Rahmen dieses Postings sprengen würde, wird allgemein als „Canadian Anti-Spam Legislation“ (CASL) bezeichnet und von der Regierung, ganz kanadisch, mit freundlich-hipsterigen Infografiken kommuniziert. Seine Systematik ähnelt dabei in vielen Aspekten den deutschen UWG-Vorschriften für die Zusendung von E-Mail.

Einwilligung erforderlich – aber sie darf konkludent sein

Eine Einwilligung für den Erhalt solcher Nachrichten ist stets erforderlich – diese kann aber konkludent erfolgen, nämlich durch die Aufnahme einer geschäftlichen oder sonstigen Beziehung (zum Beispiel durch eine Spende an eine politische Partei), oder sogar durch die Veröffentlichung von E-Mail-Adressen oder Übergabe von Visitenkarten in einem geschäftlichen oder offiziellen Rahmen.

Umgekehrt bedeutet das aber: Die automatische Erhebung von privaten E-Mail-Adressen, z.B. auf Websites, Blogs und in Social Networks, ist nunmehr tabu. Außerdem läuft die implizite Einwilligung nach zwei Jahren automatisch aus.

Opt-in bietet Vorteile

Von Vorteil für die Unternehmen ist daher die Einholung einer ausdrücklichen Einwilligung auch von ihren Bestandskunden – gerade wenn diese schon länger nichts mehr gekauft haben. Hierzu besteht auch eine sehr großzügige Übergangsfrist – ganze 36 Monate haben kanadische Unternehmen jetzt Zeit, sich das ausdrückliche Opt-In abzuholen. Wie sich diese lange Frist mit dem schnelleren Unwirksamwerden impliziter Einwilligungen verträgt, sagt das Gesetz dabei nicht.

Mini-Impressum wird Pflicht

Jede Werbe-E-Mail muss darüber hinaus nunmehr den Absender und, soweit abweichend, die Person benennen, auf deren Veranlassung sie versandt wurde. Hierzu sind auch Kontaktmöglichkeiten anzugeben, und schließlich muss auch jede solche Nachricht einen Mechanismus zum Widerruf der Einwilligung enthalten, der grundsätzlich den gleichen Kommunikationsweg wie die Nachricht benutzen soll – es genügt also nicht, etwa auf eine physische Anschrift zu verweisen.

Das 10-Millionen-Dollar-Bußgeld

Die zuständige Canadian Radio-television and Telecommunications Commission (CRTC) (auch die ist mit hübschen Infografiken am Start) kann Verstöße gegen die neuen Pflichten mit einem flexiblen Instrumentarium ahnden, das von Verwarnungen zu Bußgeldern bis zu 10 Millionen Dollar reicht – allerdings grundsätzlich wohl nur gegen in Kanada ansässige Personen und Unternehmen. Vorsicht ist also insbesondere für Unternehmen geboten, die in Kanada über Niederlassungen oder Tochtergesellschaften verfügen.

[update 9. März 2015: Schneller als man vielleicht erwartet hätte hat die CRTC auch tatsächlich Bußgelder verhängt. Ein Computer-Unternehmen aus der Provinz Québec soll 1,1 Millionen Dollar (derzeit ca. 800.000 Euro) zahlen. Besonders bemerkenswert: Es geht um Verstöße, die teilweise am Tag nach Inkrafttreten des Gesetzes begangen wurden. Weitere Verfahren sind nach Auskunft der Behörde bereits eingeleitet.]

Daneben können betroffene Bürger bei Verstößen gegen die CASL auch selbst den Rechtsweg gegen Spam-Versender beschreiten.

Fazit

Es tut sich was in Nordamerika. Privacy-Themen werden auch dort zunehmend ernst genommen. Europäische Unternehmen, die an hiesige Standards gewohnt sind, können dies durchaus als Chance begreifen und nutzen – es dürfte ihnen leichter fallen als manchem einheimischen Unternehmen, die neuen Regeln schnell und gründlich umzusetzen.

I know where you are – Geolocation aus datenschutzrechtlicher Sicht

Tim Maiorino — Tue, 14 Jun 2011 05:30:06 +0000

Dank der Ausstattung von Smartphones mit GPS-Chips (Global Positioning System) kann nun auch jeder Fußgänger, Jogger und Fahrradfahrer seine Position, Strecke und Geschwindigkeit auch ohne besondere Navigationsgeräte bestimmen. Gut entwickelte Apps bieten dem User zahlreiche hilfreiche Funktionen. Der Aufenthaltsort ist mithilfe von GPS oder WLAN bis auf ca. 4-15 Meter exakt zu bestimmen. Dabei können die Ortungsdaten jederzeit vom App-Anbieter und auch vom Telekommunikationsanbieter – durch Ortung des Smartphones – gesammelt und abgespeichert werden. Dies führt dazu, dass diese Anbieter genau wissen, wo man sich wann gerade aufhält, welchen Weg man zur Arbeit nutzt, wo man gerne mittags isst, ob man regelmäßig ins Stadion geht, welchen Arzt man aufsucht, welche Kirche man besucht oder wo genau man seine Nächte verbringt. Daraus ergeben sich für die Anbieter äußerst detaillierte Bewegungsprofile, von denen der User regelmäßig nichts mitbekommt. Zwar lässt sich Geolocation abschalten, viele User vergessen dies aber oder haben gar keine Kenntnis von dieser Abschaltfunktion.

Datenschützer haben daher schon länger zahlreiche Bedenken gegen Geolocation geäußert. Nun hat sich auch die europäische Artikel-29-Datenschutzgruppe mit dieser Problematik befasst. Bei der Artikel-29-Datenschutzgruppe handelt es sich um das unabhängige Beratungsgremium der Europäischen Kommission, die sich mit Fragen des Datenschutzes auseinandersetzt.

Sowohl App-Anbieter als auch Telekommunikationsanbieter können den Smartphone-User identifizieren:

Der Telekommunikationsanbieter kann die georteten Geodaten anhand der gespeicherten Kundendaten problemlos dem Smartphone-User zuordnen. Für den Erwerb von Apps muss der Smartphone-User in der Regel Name, Adresse und Bankverbindung angeben, so dass auch der App-Anbieter die Geodaten und Bewegungsprofile durch Verknüpfung dieser Daten einer bestimmten Person – nämlich dem Smartphone-User – zuordnen kann.

Daher hat die Art-29-Datenschutzgruppe im Hinblick auf Telekommunikations- und Anbieter von Geolocation-Apps zu Recht angenommen, dass es sich bei den Geodaten des Smartphone-Users um personenbezogene Daten handelt und die Datenschutzgesetze Anwendung finden. Denn der Betroffene hat das Recht grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen und zu wissen wer, was, wann und bei welcher Gelegenheit über ihn weiß. Mangels Erlaubnistatbestandes dürfen die Bewegungsdaten grundsätzlich nicht ohne die vorherige Einwilligung des Handynutzers erhoben, gespeichert oder verwertet werden. Andernfalls sind Erhebung, Speicherung und Verwertung datenschutzrechtlich unzulässig.

Die Einwilligung des Smartphone-Users muss ausdrücklich und vorab erfolgen. Eine konkludente Zustimmung durch Vertragsabschluss – sei es durch den Kauf der App oder den Abschluss des Mobilfunkvertrages – ist gerade nicht ausreichend. Ebenso ist eine Einwilligung nicht durch bloße Akzeptanz der AGB möglich. Eine solche Einwilligung muss freiwillig erteilt werden, wobei der Einwilligende vollumfänglich über die Datenerhebung informiert sein muss.

Die Einwilligung soll in regelmäßigen Abständen aktualisiert werden, um sicher zu gehen, dass der User nach wie vor an dem Service interessiert und mit der Ortung einverstanden ist. Als Zeitraum sollte ein Jahr angemessen sein. Darüber hinaus sollte die Einwilligung jederzeit leicht widerrufbar und die Daten einsehbar und löschbar sein.

Die datenverarbeitende Stelle muss sicherstellen, dass ihre User wissen, dass sie ihre Daten sammelt und zu welchen Zwecken. Der User muss „Herr seiner Daten“ bleiben und selbst entscheiden können, ob er einwilligt oder nicht.

Der User würde daher am sinnvollsten geschützt, wenn Smartphone-Anbieter Ihre Geräten mit der Ortungsfunktion ab Werk ausgeschaltet verkaufen, so dass der User bei jeder einzelnen Inanspruchnahme des Systems selbst aktiv die Einschaltung vornehmen kann/muss. Die sicherste Möglichkeit wäre eine Displayanzeige, die ähnlich wie ein GPS-Icon oder ein Bluetooth-Icon fortwährend anzeigt, ob die Lokationsfunktion gerade ein- oder ausgeschaltet ist. Nur auf diesem Wege wäre gewährleistet, dass der User sich darüber bewusst ist, dass sein aktueller Standort in diesem Moment ermittelt und gespeichert wird.

Ob aus der unverbindlichen Empfehlung der Art.29-Datenschutzgruppe eine Richtlinie wird, bleibt abzuwarten. Da aktuell aber die Geräte meist noch ab Werk mit eingeschalteter Geolocation-Funktion angeboten werden, müssen User selbst aktiv werden, wenn sie ihre Ortung vermeiden wollen, und genau kontrollieren, ob und wann sie die Geolocation-Funktion Ihres mobilen Gerätes ein- beziehungsweise ausschalten.

Zudem sollte der User sich bewusst machen, wer denn alles Zugriff auf seine Geodaten hat. Denn bei der Erlangung von Geodaten sind die Anbieter der jeweiligen App, die Entwickler des genutzten Betriebssystems, die Kontrolleure des konkreten Geolocation-Angebots, sowie soziale Netzwerke oder andere Kommunikationsmedien, die beispielsweise „geotagging“ (Verortung von Fotos) anbieten, und nicht zu letzt der Telekommunikationsanbieter eingebunden.

Vielen Dank an unsere wissenschaftliche Mitarbeiterin Frau Kristina Krupp für die wertvolle Recherche und Mitarbeit an diesem Beitrag.