Like – Online.Spiele.Recht

LG Düsseldorf: Einbindung von Social Media Plugins ohne vorherige Aufklärung und Zustimmung des Nutzers unzulässig

Tim Maiorino — Thu, 10 Mar 2016 15:58:34 +0000

Am 9. März 2016 hat das Landgericht Düsseldorf ein wichtiges Urteil zum Thema Social Media Plugins verkündet.

Die Verbraucherzentrale NRW klagte gegen den Betreiber eines großen Webshops, der Kleidung verschiedener Hersteller anbietet. Die Verbraucherzentrale hatte den Betreiber im April 2015 abgemahnt und zur Abgabe einer strafbewährten Unterlassungserklärung aufgefordert. Da die Beklagte die geforderte Unterlassungserklärung nicht abgab, erhob die Verbraucherzentrale NRW Klage. Das Gericht gab ihr nun in weiten Teilen Recht.

Hintergrund der Abmahnung war die Integration der „gefällt mir“-Funktion von Facebook auf der Webseite der Beklagten. Die Nutzer des Webshops der Beklagten konnten von dieser Funktion durch einmaliges Klicken auf den Button „gefällt mir“ Gebrauch machen. Dies halt das LG Düsseldorf für rechtswidrig.

Das Problem: Datenübertragung bereits durch bloßes Aufrufen der Webseite

Wie bereits berichtet, wurden Social Media Plugins rechtlich schon immer kritisch gesehen.

„gefällt mir“-Plugin als Wettbewerbsverstoß?

Nach Ansicht der Verbraucherzentrale NRW stellt die Integration der „gefällt mir“ Funktion im Zusammenhang mit der verwendeten Datenschutzerklärung eine unerlaubte geschäftliche Handlung dar und sei nach § 4 Nr. 11 UWG i.V.m. §§ 12, 13 TMG sowie § 5 Abs. 1 UWG wettbewerbswidrig.

Unterlassungsanspruch bejaht

Das Gericht (Urteil vom 9. März 2016, Az. 12 O 151/15, Volltext) untersagte der Beklagten die Integration des „gefällt mir“ Plugins von Facebook, ohne die Nutzer ihrer Webseite ausdrücklich und unübersehbar über Zweck der Erhebung und der Verwendung der übermittelten Daten aufzuklären und ihr Einverständnis hierzu einzuholen.

Die Nutzung des Plugins ohne vorherige Aufklärung über die Übertragung der IP-Adresse und des Browserstrings sei unlauter im Sinne des § 3a UWG i.V.m. § 13 TMG.

Einbindung des Plugins führt zu datenschutzrechtlicher Verantwortlichkeit

Dem stünde auch nicht entgegen, dass die Beklagte selbst die Daten nicht verarbeite. Sie beschaffe hingegen die Daten, was nach § 3 Abs. 3 BDSG eine Erhebung darstelle. Durch das Einbinden des Plugins ermögliche sie die Datenerhebung und die spätere Verwendung der Daten durch Facebook. Die Beklagte habe die Möglichkeit, durch eine vorgeschaltete Nutzerabfrage, ob die Funktionalität aktiviert werden solle, den Zugriff auf die Daten zu steuern.

Durch die Einbindung von Drittinhalten in das eigene Angebot löse die Beklage einen Datenverarbeitungsprozess aus und sei deshalb auch datenschutzrechtlich verantwortlich.

Keine fingierte Einwilligung der Webseitenbesucher

Die Beklagte habe die Rechte Dritter zu beachten, die die Weitergabe ihrer Daten weder wünschen noch erwarten. Die Beklagte könne aber nicht von einer generellen Einwilligung zur Datennutzung der Besucher der Webseite ausgehen. Personenbezogene Daten dürften nur erhoben und verwendet werden, sofern das Gesetz es gestatte oder der Nutzer ausdrücklich eingewilligt habe. Eine bloße Belehrung in den Datenschutzbestimmungen der Beklagten genüge hierzu nicht.

Verstoß auch gegen Wettbewerbsrecht

Da das Plugin auf der Webseite der Beklagten der Werbung und dem Absatz diente, komme dem Verstoß auch wettbewerbsrechtliche Relevanz zu. Die Nutzer seien nicht nur in ihrem Schutz vor unerwünschter Werbung betroffen, das Plugin beeinflusse auch das Konsumverhalten der Nutzer. Denn die Angabe der Anzahl von Facebook Mitgliedern, denen die Webseite der Beklagten und somit mittelbar deren Produktangebot „gefällt“, beeinflusse das kommerzielle Verhalten der Nutzer des Onlineshops.

Welche Auswirkungen hat das Urteil?

Das Urteil hat grundsätzliche Bedeutung für die datenschutzrechtliche Beurteilung von Social Media Plugins. Es unterstreicht zudem die Verantwortlichkeit der Webseitenbetreiber für die Einbindung dieser Dienste. Der Betreiber muss sicherstellen, dass eine Datenübertragung zum Anbieter des Plugins nur dann stattfindet, wenn der Besucher der Webseite zuvor seine ausdrückliche Einwilligung erteilt hat. Hierbei kommt es nicht darauf an, dass der Webseitenbetreiber selbst gar keine Daten verarbeitet. Die bloße Vorbereitungshandlung hierzu genügt, wenn der HTML-Code derart gestaltet ist, dass er den Browser des Besuchers veranlasst, Anfragen beim Server des Plugin-Anbieters zu stellen.

Rettung durch „Zwei-Klick“-Lösung oder Shariff?

Ausdrücklich offengelassen hat das Gericht die Frage, ob die „Zwei-Klick“ Lösung den rechtlichen Anforderungen genügt. Hierbei ist der Datenübertragung an Facebook eine Einverständnisabfrage vorgeschaltet. Der Nutzer muss die Funktionalität des Plugins zunächst durch einen ersten Klick freischalten, um dann durch einen zweiten Klick die eigentliche „gefällt mir“ Funktion nutzen zu können.

Es muss schlicht gewährleistet sein, dass sich in dem Quellcode der Webseite keine Bestandteile befinden, die den Browser veranlassen, automatisch mit Besuch der Webseite Serveranfragen bei dem Betreiber des Plugins zu stellen.

Alternativ können Webseitenbetreiber auf das Tool „Shariff“ des Heise Verlags zurückgreifen. Hierbei werden zwar wie bisher die Buttons der Social Media Netzwerke auf der Webseite dargestellt. Shariff tritt aber als Zwischeninstanz auf: Nicht der Browser des Besuchers stellt Anfragen bei den Servern der Social Media Netzwerke, sondern der Server des Webseiten-Betreibers. Der Besucher bleibt somit anonym. Die Netzwerke erhalten erst dann Zugriff auf die Daten des Besuchers, wenn dieser auf die entsprechenden Buttons klickt. Shariff ist als Open Source Software kostenlos verfügbar. Es kommt auch in unserem Blog zum Einsatz.

Wir danken unserem Referendar Fabian Schröder für die Mitarbeit an diesem Beitrag.

Rechtsklarheit für Social Plugins? – Neuer Beschluss des Düsseldorfer Kreises

Tim Maiorino — Mon, 19 Dec 2011 18:45:50 +0000

Der Düsseldorfer Kreis, das gemeinsame Gremium der Datenschutzbeauftragten, hat sich Anfang Dezember mit Social Networks befasst. In ihrem Beschluss nehmen die Datenschützer auch Stellung zu Social Plugins, wie dem Facebook Like-Button.

Wörtlich heißt es:

„Das direkte Einbinden von Social Plugins, beispielsweise von Facebook, Google+ oder Twitter, in Websites deutscher Anbieter, wodurch eine Datenübertragung an den jeweiligen Anbieter des Social Plugins ausgelöst wird, ist ohne hinreichende Information der Internetnutzerinnen und -nutzer und ohne ihnen die Möglichkeit zu geben, die Datenübertragung zu unterbinden, unzulässig.“

(Hervorhebung nicht im Original)

OPT-OUT als Lösung?

Die Formulierung klingt zunächst interessant. Denn schon seit Monaten verteidigt das Unabhängige Landeszentrum für Datenschutz in Schleswig-Holstein (ULD) vehement die Position, dass für den Einsatz von Social Plugins eine ausdrückliche vorherige Einwilligung des Nutzers erforderlich ist. Selbst das von Heise entwickelte 2-Klick-Lösung solle diesem Erfordernis nicht genügen, da sich die Profilbildung bei Facebook nicht deart verhindern lasse, wenn man den Plugin nutzen möchte. Zudem setzte eine wirksame Einwilligung voraus, dass Nutzende wissen, worin sie einwilligen. Da Facebook aber bisher nicht offenlege, was es mit den Nutzerdaten mache, fehle es – laut dem ULD – weiterhin an der nötigen Information. Dagegen klingt die Formulierung des Düsseldorfer Kreises auf den ersten Blick vielmehr nach einem Opt-Out-Verfahren: Der Nutzer müsse hinreichend informiert werden und die Möglichkeit erhalten, die Datenübertragung zu unterbinden.

Einwilligung erfoderlich!

Allerdings ergänzt der Düsseldorfer Kreis diese Aussage bereits wenige Absätze später:

„In Deutschland ansässige Unternehmen, die durch das Einbinden von Social Plugins eines Netzwerkes auf sich aufmerksam machen wollen oder sich mit Fanpages in einem Netzwerk präsentieren, haben eine eigene Verantwortung hinsichtlich der Daten von Nutzerinnen und Nutzern ihres Angebots. Es müssen zuvor Erklärungen eingeholt werden, die eine Verarbeitung von Daten ihrer Nutzerinnen und Nutzer durch den Betreiber des sozialen Netzwerkes rechtfertigen können. Die Erklärungen sind nur dann rechtswirksam, wenn verlässliche Informationen über die dem Netzwerkbetreiber zur Verfügung gestellten Daten und den Zweck der Erhebung der Datendurch den Netzwerkbetreiber gegeben werden können.“

(Hervorhebung nicht im Original)

Anders als oben noch suggeriert, solle es daher gerade nicht reichen, dem Nutzer die Möglichkeit zu geben, „die Datenübertragung zu unterbinden“. Vielmehr müsse schon – ganz auf der Linie des ULD – vorab eine Einwilligung eingeholt werden.

Verantwortlichkeit des Fan-Seiten-Betreibers

Darüber hinaus stellt das Gremium fest, dass die Betreiber von Webseiten eine „eigene Verantwortung“ über die Daten der Nutzer haben. Gemeint ist damit einer der entscheidenden Streitpunkte um Social Plugins. Denn die eigentliche Datenübertragung findet nur zwischen dem Nutzer und dem jeweiligen Social Network statt. Der Webseitenbetreiber, der die Social Plugins einsetzt, steht lediglich als Vermittler dazwischen. Wie diese Situation datenschutzrechtlich einzuordnen ist, ist höchst umstritten. Der Düsseldorfer Kreis stellt dazu fest:

„Anbieter deutscher Websites, die in der Regel keine Erkenntnisse über die Datenverarbeitungsvorgänge haben können, die beispielsweise durch Social Plugins ausgelöst werden, sind regelmäßig nicht in der Lage, die für eine informierte Zustimmung ihrer Nutzerinnen und Nutzer notwendige Transparenz zu schaffen. Sie laufen Gefahr, selbst Rechtsverstöße zu begehen, wenn der Anbieter eines sozialen Netzwerkes Daten ihrer Nutzerinnen und Nutzer mittels Social Plugin erhebt. Wenn sie die über ein Plugin mögliche Datenverarbeitung nicht überblicken, dürfen sie daher solche Plugins nicht ohne weiteres in das eigene Angebot einbinden.“

(Hervorhebung nicht im Original)

Die Datenschutzbehörden gehen also davon aus, dass der Webseitenbetreiber dafür haftet, wenn ein Social Network beim Nutzer Daten erhebt. Woraus genau sich diese Haftung ergeben und wie sie genau aussehen soll, bleibt indes offen. Eine ausführlichere Begründung wäre wünschenswert gewesen, um Klarheit und Rechtssicherheit in den Streit um Social Plugins zu bringen.

Fazit

Auch der Düsseldorfer Kreis vertritt offensichtlich die Auffasung des ULD und lässt Social Plugins nur dann zu, wenn der Nutzer vorab ausdrücklich in die Verarbeitung seiner Daten eingewilligt hat. Trotz alledem ist auch Thilo Weichert, der Leiter des ULD, der Auffassung, dass Rechtsklarheit für die Zulässigkeit von Social Pluings faktisch nur durch die Gerichte hergestellt werden könne:

„Wir brauchen schnell Rechtsklarheit, die in dieser grundlegenden Frage nur Gerichte herstellen können. Es ist unseres Erachtens nicht tolerierbar, dass deutsche Webseitenbetreiber dadurch Wettbewerbsnachteile erleiden, dass sie sich an den Datenschutz halten – gegenüber solchen, die rechtswidrige US-Dienste in Anspruch nehmen.“

Daher weist das ULD nach einem Gespräch mit Wirtschaftspolitikern der CDU- und der FDP-Landtagsfraktion auf seiner Website darauf hin, dass es kurzfristig nicht gegen kleinere schleswig-holsteinische Unternehmen wegen Facebook-Fanpages oder „Gefällt mir“-Buttons vorgehen werde:

„Derartige Anwendungen verstoßen gegen den Datenschutz. Das ULD bleibt aber weiterhin den Prinzipien der Opportunität und Verhältnismäßigkeit verpflichtet.“

Herzlichen Dank an unseren wissenschaftlichen Mitarbeiter Adrian Schneider für die Mitarbeit an diesem Beitrag!

Landtag kritisiert Datenschützer im Streit um Facebook [update]

Dr. Marc Störing — Thu, 01 Dec 2011 07:29:10 +0000

Die datenschutzrechtliche Auseinandersetzung zwischen dem schleswig-holsteinischen Unabhängigen Landeszentrum für Datenschutz (ULD) und Facebook ist um eine bemerkenswerte Wendung reicher. Der schleswig-holsteinische Landtag hat in einem nun endlich veröffentlichten Gutachten den Standpunkt der landeseigenen Datenschutzbehörde – dem ULD – kritisiert. Allein das wäre wohl schon berichtenswert.

Bemerkenswert ist hier überdies jedoch die Deutlichkeit, mit der das Parlament den juristischen Standpunkt der Behörde als kaum haltbar beschreibt. Zwar hatte auch bereits eine vom Wissenschaftlichen Dienst des Bundestages erstellte Ausarbeitung die juristische Auseinandersetzung zwischen dem beliebten Social Network und der deutschen Landesbehörde beleuchtet. Doch das Ergebnis war jedoch weit weniger kraftvoll: Zu einer konkreten Empfehlung für Website-Betreiber zur Verwendung bzw. Nichtverwendung der verbreiteten Facebook-Plugins konnten sich die Verfasser des Gutachtens nicht durchringen.

Deshalb sind es die Ausführungen aus Schleswig Holstein, die nun in zwar sehr nüchterner aber eben doch auch sehr deutlicher Sprache den Standpunkt der eigenen Landesbehörde kritisieren. Eine zentrale Passage lautet etwa:

Das Gutachten des ULD übergeht an einigen Stellen bestehende Streitigkeiten zur Beantwortung datenschutzrechtlicher Fragestellungen. Zudem ist die rechtliche Bewertung teilweise lückenhaft und nicht durchgängig nachvollziehbar. So wird zunächst der Personenbezug von IP-Adressen und auch Cookies entgegen der Darstellung der Verfasser des Arbeitspapiers nicht einhellig beantwortet. Vielmehr herrscht Streit über die Anforderungen an die Bestimmbarkeit einer Person. Das ULD blendet somit eine seit vielen Jahren kontrovers diskutierte Frage aus.

Auch sonst stellen die Verfasser fest, dass es sich bei der Auffassung des ULD um

eine im Ergebnis vertretbare, aber äußerst umstrittene Position handelt, deren Erfolgsaussichten unter Zugrundelegung der bisherigen Rechtsprechung und der im Schrifttum vorherrschenden Ansichten vom Wissenschaftlichen Dienst als gering eingeschätzt werden.

Eine angenehm sachliche wie deutliche juristische Analyse. Im Streitfall ist letztlich nicht die Auffassung der jeweiligen Landesdatenschutzbehörde, sondern der zuständigen Gerichte maßgeblich. Die nun veröffentlichten Ausführungen des Landtages verdeutlichen einmal mehr, dass für betroffene Unternehmen, die sich mit und/oder auf Facebook oder Google+ präsentieren, die Chancen gut stehen, sich vor Gericht gegen ein datenschutzbehördliches Vorgehen erfolgreich wehren zu können. Der Einsatz von Facebook oder Google+ ist also weniger riskant, als es die derzeitige Aufregung um die extreme Sichtweise der Behörden vermuten lässt.

Special: Die Fesseln des Online-Datenschutzes

Felix Hilgert — Thu, 20 Oct 2011 12:08:51 +0000

Jetzt bei unseren Specials:

Eine kurze Zusammenfassung der jüngsten Streitigkeiten um Google Analytics und den Facebook Like Button und deren Relevanz für die Spielebranche.

[hier weiterlesen]

Thilo Weichert dislikes Facebook’s ‚Like‘

Konstantin Ewald — Sat, 20 Aug 2011 14:16:33 +0000

Wir befinden uns im Jahre 2011 n. Chr. Die ganze Welt ist von Facebook besetzt …die ganze Welt? Nein! Ein von unbeugsamen Galliern bevölkertes Dorf hört nicht auf, dem Eindringling Widerstand zu leisten. Und das Leben ist nicht leicht für Facebook, das als Besatzung in den befestigten Lagern Kiel, Dithmarschen, Elbmarschen und Holsteinische Schweiz liegt…

Angeführt wird der Widerstand vom Schleswig-Holsteinischen Datenschutzbeauftragten Thilo Weichert, der in einer am Freitag veröffentlichten Pressemeldung alle Schleswig-Holsteinischen Unternehmen und öffentliche Stellen auffordert, ihre Fanpages bei Facebook und Social-Plugins wie den „Gefällt mir“-Button auf ihren Webseiten zu entfernen. Das Unabhängige Landeszentrum für Datenschutz (ULD) begründet dieses Aufforderung wie folgt:

Nach eingehender technischer und rechtlicher Analyse kommt das ULD zu dem Ergebnis, dass derartige Angebote gegen das Telemediengesetz (TMG) und gegen das Bundesdatenschutzgesetz (BDSG) bzw. das Landesdatenschutzgesetz Schleswig-Holstein (LDSG SH) verstoßen. Bei Nutzung der Facebook-Dienste erfolgt eine Datenweitergabe von Verkehrs- und Inhaltsdaten in die USA und eine qualifizierte Rückmeldung an den Betreiber hinsichtlich der Nutzung des Angebots, die sog. Reichweitenanalyse. Wer einmal bei Facebook war oder ein Plugin genutzt hat, der muss davon ausgehen, dass er von dem Unternehmen zwei Jahre lang getrackt wird. Bei Facebook wird eine umfassende persönliche, bei Mitgliedern sogar eine personifizierte Profilbildung vorgenommen. Diese Abläufe verstoßen gegen deutsches und europäisches Datenschutzrecht. Es erfolgt keine hinreichende Information der betroffenen Nutzerinnen und Nutzer; diesen wird kein Wahlrecht zugestanden; die Formulierungen in den Nutzungsbedingungen und Datenschutzrichtlinien von Facebook genügen nicht annähernd den rechtlichen Anforderungen an gesetzeskonforme Hinweise, an wirksame Datenschutzeinwilligungen und an allgemeine Geschäftsbedingungen.

Der Datenschutzbeauftragte erwartet, dass dieser Aufforderung bis Ende September 2011 Folge geleistet wird und kündigt für den Fall, dass Schleswig-Holsteinische Websitebetreiber ihre Fanpages bei Facebook online lassen oder auf der eigenen Website weiter „Gefällt mir“-Buttons belassen, Sanktionen an. Dies können bei Unternehmen beispielsweise Untersagungsverfügungen und Bußgelder von bis zu 50.000,- Euro sein.

Der Datenschutzbeauftragte kündigt zudem an, das Facebook-Angebot weiter analysieren zu wollen, um die technische und rechtliche Analyse des ULD, die zu der aktuellen Pressemitteilung geführt hat, fortzuschreiben.

Nach unserem Kenntnisstand hat sich bislang noch kein weiterer Landesdatenschutzbeauftragter dieser neuen Gangart angeschlossen. Wir werden dies weiter verfolgen.