01.09.2016
[Köln, ] Das Landgericht Düsseldorf entschied im März diesen Jahres (Urteil vom 09.03.2016 - Aktenzeichen 12 O 151/15), dass die Einbindung des Facebook „Gefällt mir“-Buttons in eine Webseite einen abmahnfähigen Datenschutzverstoß darstellt, wenn der Nutzer bei Aufruf der Webseite nicht unmissverständlich über die mit der Implementierung des „Gefällt mir“-Buttons einhergehende Erhebung und Nutzung seiner personenbezogenen Daten aufgeklärt werde und dieser Nutzung zugestimmt habe. Denn durch die Einbindung eines solchen sogenannten Social Plug-ins auf einer Webseite wird eine Übertragung bestimmter Daten des Nutzers an Facebook ermöglicht.
Das Urteil hat Auswirkungen auf den generellen Umgang mit Social Plug-Ins, die sich keineswegs auf den „Gefällt mir“-Button beschränken.
Was sind Social Media Plug-Ins?
Ein Social Media Plug-in ist ein von einem sozialen Netzwerk wie Facebook, Twitter oder Xing zur Verfügung gestellter Programmcode, der in die Webseite eines Unternehmens (z.B. eines Online-Shops) eingebunden werden kann und sich für den Nutzer als interaktiver Button zeigt. Dies kann z.B. der besagte „Gefällt mir“-Button sein, aber auch der „Teilen“-Button stellt ein solches Social Plug-in dar.
Automatischer Datentransfer
Die Einbindung eines Social Plug-Ins auf einer Webseite hat zur Folge, dass bereits mit dem Aufrufen der Webseite bestimmte Daten des Nutzers an das Soziale Netzwerk übermittelt werden, und zwar unabhängig davon, ob der Nutzer gerade bei dem betreffenden Netzwerk eingeloggt ist oder überhaupt ein Konto dort hat. Der Nutzer muss also gar nicht mit dem betreffenden Button interagieren, damit Daten transferiert werden. Welche Daten des Nutzers konkret weitergeleitet werden, legen die Sozialen Netzwerke nur begrenzt offen. In der aktuellen Datenrichtlinie von Facebook heißt es dazu lapidar:
Informationen von Webseiten und Apps, die unsere Dienste nutzen.
Wir sammeln Informationen, wenn du Webseiten und Apps Dritter besuchst, die unsere Dienste nutzen (z. B. wenn sie unsere „Gefällt mir“-Schaltfläche oder die Facebook-Anmeldung anbieten oder unsere Messungs- und Werbedienste nutzen). Dazu zählen auch Informationen über die von dir besuchten Webseiten und Apps und über deine Nutzung unserer Dienste auf solchen Webseiten und Apps sowie Informationen, die der Entwickler oder Herausgeber der App oder Webseite dir bzw. uns zur Verfügung stellt.
In einer älteren Fassung der Datenschutzhinweise von Facebook wurde noch offengelegt, dass jedenfalls die IP-Adresse des Nutzers und Informationen über die besuchte Webseite, das Datum und die Uhrzeit sowie andere browserbezogene Informationen weitergegeben werden. Wenn der Nutzer mit dem Social Plug-in interagiert, werden natürlich auch Daten über den Inhalt seiner Interaktion weitergegeben und ggf. mit seinem Nutzerkonto bei dem Netzwerk verknüpft.
Rechtlicher Hintergrund
Das Landgericht Düsseldorf stellt in seiner Entscheidung klar, dass die Einbindung von Social Plug-Ins einen abmahnfähigen Verstoß gegen die datenschutzrechtlichen Vorgaben des Telemediengesetzes darstellt, wenn der Nutzer nicht zuvor über die Folgen des Einsatzes eines solchen Social Plug-ins aufgeklärt wird und er der damit einhergehenden Datennutzung zustimmt. Denn bereits die IP-Adresse des Nutzers wird ganz überwiegend als personenbezogenes Datum angesehen, da mit Hilfe weiterer Informationen ohne Weiteres ein Personenbezug hergestellt werden kann.
Der Webseitenbetreiber kommt seiner Informationspflicht nach §13 Abs.1 S.1 TMG nur nach, wenn er den Nutzer vor dem Datentransfer an das Soziale Netzwerk über Art, Umfang und Zweck der Erhebung und Verwendung seiner personenbezogenen Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des des europäischen Wirtschaftsraums (z.B. USA, wie dies bei einem Datentransfer an Facebook der Fall ist) informiert.
Ist der Nutzer ausreichend informiert, muss er im nächsten Schritt in die Datenweitergabe einwilligen. Denn personenbezogene Daten dürfen grundsätzlich nur erhoben werden, sofern eine gesetzliche Vorschrift dies erlaubt oder der Nutzer hierin eingewilligt hat. Die Einwilligung des Nutzers wird auch nicht dadurch ersetzt, dass der Webseitenbetreiber in seiner Datenschutzerklärung auf die Verwendung von Social-Plug-Ins hinweist. Vielmehr ist eine bewusste Handlung des Nutzers notwendig, damit eine wirksame Einwilligung vorliegt.
Hilft die „2-Klick-Lösung“?
Um den datenschutzrechtlichen Vorgaben gerecht zu werden, wird derzeit die sogenannte „2-Klick-Lösung“ empfohlen. Bei dem Einsatz der 2-Klick-Lösung sind die in der Webseite eingebetteten Social Plug-ins zunächst deaktiviert, wenn der Nutzer die Webseite aufruft. Ein Datentransfer findet nicht statt. Erst wenn der Nutzer sich bewusst für eine Aktivierung des Social Plug-ins entscheidet und hierzu die entsprechende Schaltfläche anklickt, wird das Plug-in aktiviert und sendet Daten. Die Aktivierung des Plug-ins stellt die Einwilligungshandlung des Nutzers dar.
Mit dieser Lösung einher gehen muss aber natürlich eine umfassende Aufklärung des Nutzers über die Datennutzung durch das Social Plug-in. Problem hierbei ist, dass der Webseitenbetreiber den Nutzer nur über diejenige Datennutzung informieren kann, die das betreffende Netzwerk selbst offen legt. Da die Netzwerke hier, wie gezeigt, wenig transparent sind, bietet auch das 2-Klick-Verfahren keine absolut datenschutzkonforme Lösung.
Das Landgericht Düsseldorf musste sich mit der Datenschutzkonformität des 2-Klick-Verfahrens nicht befassen und ließ diese Frage ausdrücklich offen.
Fazit
Dennoch ist Webseitenbetreibern, die auf den Einsatz von Social Plug-ins nicht verzichten möchten, dringend zu raten, die 2-Klick-Lösung einzusetzen, um - im Rahmen des Möglichen - größtmögliche Datenschutzkonformität herzustellen. Anderenfalls besteht das Risiko, dass Wettbewerber Abmahnungen aussprechen und Datenschutzbehörden Bußgelder verhängen.
Wir empfehlen, neben die Social Plug-in Schaltflächen einen kurzen Hinweis über die Möglichkeit und Folgen einer Aktivierung der Plug-ins zu setzen und für Einzelheiten auf die Datenschutzerklärung zu verweisen.
