17. März 2016
Datenschutz Brexit
Datenschutzrecht

Vorsicht beim Einsatz der „Gefällt mir″ Funktion von Facebook

LG Düsseldorf begrenzt den Einsatz der "Gefällt mir" Funktion von Facebook – Handlungsbedarf für Webseitenbetreiber beim Einsatz von Social Plugins.

Die Verbraucherzentrale Nordrhein-Westfallen hatte Klage beim Landgericht Düsseldorf erhoben. Sie war der Auffassung, dass die „Gefällt mir″ Funktion von Facebook, die Webseitenbetreiber in ihr eigenes Angebot einbauen können, in bestimmten Konstellationen gegen Datenschutzvorschriften verstößt.

Dem folgte das Gericht (LG Düsseldorf, Urteil v. 09.03.2016 – 12 O 151/15). Die Einbindung des „Gefällt mir″ Plugins von Facebook verletze dann Datenschutzvorschriften, wenn durch das Plugin unmittelbar bei Besuch der Webseite Daten an Facebook übermittelt würden, der Nutzer vor dem Besuch der Webseite nicht der Verwendung des Plugins zugestimmt habe und auch nicht über dessen Funktionsweise aufgeklärt worden sei.

Social Plugins – Facebook, Google+, Twitter & Co.

Social Plugins sind im heutigen Internet kaum wegzudenken: Sie bieten Webseitenbetreibern die Möglichkeit, dass ihre Inhalte über die bekannten sozialen Netzwerke einfach geteilt werden können. Die Betreiber diverser sozialer Netzwerke bieten oft fertige Code-Schnipsel an, die Webseitenbetreiber simpel in ihre eigenen Angebote integrieren können.

Besucht der Nutzer eine Webseite, auf der ein solches Plugin eingebaut ist, kann er mit wenigen Klicks Inhalte von dieser Webseite mit seinen Followern oder Freunden in sozialen Netzwerken teilen. Nutzer können ihre Follower und Freunde schnell und einfach über interessante Inhalte informieren. Im Gegenzug gewinnen Unternehmen und Webseitenbetreiber damit an Reichweite und bekommen kostenlose Werbung.

Datenübermittlung an Facebook

So simpel die Integration der Social Plugins oftmals ist, so weitreichend ist das, was technisch im Hintergrund abläuft. Denn sobald der Nutzer eine Webseite besucht, auf der beispielsweise das „Gefällt mir″ Plugin von Facebook eingebunden ist, wird unter anderem seine IP-Adresse an Facebook übermittelt. Dies geschieht automatisch im Hintergrund, ohne, dass der Nutzer hierüber etwas erfährt – in der Regel auch dann, wenn der Nutzer gar kein Mitglied des sozialen Netzwerkes ist.

Sinn und Zweck dieser Datenübermittlung ist unter anderem, dass Facebook die Darstellung des Plugins steuern kann. Ist der Nutzer Mitglied bei dem sozialen Netzwerk, erfolgt die Darstellung des Plugins für den jeweiligen Nutzer individualisiert – haben Freunde die Webseite zum Beispiel bereits mit „Gefällt mir″ markiert, zeigt das Plugin dies dem Nutzer an. Auch kann der Nutzer die Webseite selbst mit einem „Gefällt mir″ markieren und damit seine Meinung im eigenen Freundeskreis kundtun.

Landgericht Düsseldorf setzt dem Einsatz der „Gefällt mir″ Funktion von Facebook Grenzen

Dem Einsatz der Social Plugins von Facebook setzten die Düsseldorfer Richter nun strikte Grenzen. Denn in seinem Urteil entschied das Gericht, dass die konkrete Integration Datenschutzvorschriften verletze.

Bei dem von der Verbraucherzentrale gerügten Angebot war das „Gefällt mir“-Plugin so in die Webseite integriert, dass der Nutzer vor dem Besuch der Webseite und vor der Übertragung seiner IP-Adresse an Facebook hierüber nicht informiert wurde.

Die Richter stellten daher fest, dass der Nutzer keine Wahl hätte, diese Funktion zu verhindern oder ihr vorab zuzustimmen. Ferner hätten weder der Betreiber der Internetseite noch Facebook selbst den Nutzer darüber aufgeklärt, welche Daten überhaupt und zu welchem Zwecke an Facebook übermittelt würden.

„Gefällt mir″  Funktion für Website nicht erforderlich

Die Richter stellten fest, dass die Datenübermittlung nicht nach § 15 Telemediengesetz (TMG) erlaubt sei. Nach dieser Regelung wäre die Übermittlung von personenbezogenen Daten – um die es sich bei IP-Adressen nach Ansicht der Richter handele – gestattet, wenn sie für das Funktionieren der Webseite erforderlich sind. Die Richter nahmen an, dass dies ganz offensichtlich bei dem streitgegenständlichen Social Plugin von Facebook nicht der Fall ist, da dieses vor allem einen Marketing-Effekt haben soll.

Auch eine Einwilligung durch den Nutzer lag nach Auffassung des Gerichts nicht vor. Diese prüften die Richter nach dem Maßstab des § 13 Abs. 2 TMG und führten aus, dass eine bewusste und eindeutige Erteilung einer Einwilligung erforderlich gewesen wäre. Vor allem müsste diese Einwilligung, so die Richter weiter, der Datenverarbeitung vorangehen und nicht erst nachträglich eingeholt werden. Diesen Anforderungen genügte der konkrete Einsatz des Plugins jedoch nicht, da automatisch mit dem Laden der Internetseite eine Datenweitergabe an Facebook erfolgte und der Nutzer hierauf keinen Einfluss mehr nehmen konnte.

Dass die bei Facebook registrierten Nutzer ihr dortiges Benutzerkonto im Wissen der Datenschutzrichtlinien von Facebook angelegt hatten, genügte nach Ansicht der Richter nicht. Im Übrigen sah aber auch die Internetseite des Webseitenbetreibers bloß in der Fußzeile eine Datenschutzerklärung vor – was wiederum gleichfalls nicht zu einem der Datenübertragung vorgelagerten Hinweis führen könnte, so die Richter.

Sind IP-Adressen überhaupt personenbezogene Daten?

Das Landgericht Düsseldorf vertrat im vorliegenden Fall die Ansicht, dass es sich bei IP-Adressen um personenbezogene Daten handelt. Allerdings mit der Besonderheit im vorliegenden Fall, dass – so die Richter – bei Facebook eingeloggte Nutzer über ihr dortiges Konto und ihre IP-Adresse auch ihrem konkreten Konto zugeordnet werden könnten. Für diese Gruppe, so die Richter, sei daher ein Personenbezug in jedem Fall gegeben.

Mit Blick auf nicht bei Facebook angemeldete Nutzer folgte das Landgericht Düsseldorf der Theorie, nach der bereits die Übermittlung von IP-Adressen auch die Übermittlung personenbezogener Daten darstellt. Der Bundesgerichtshof hatte diese Frage in einem anderen Zusammenhang dem Europäischen Gerichtshof vorgelegt. In einer Stellungnahme zu dieser Vorlagefrage hatte sich beispielsweise die EU-Kommission der Ansicht angeschlossen, dass dynamische IP-Adressen personenbezogen seien.

Es bleibt mit Spannung zu beobachten, welcher Ansicht sich der Europäische Gerichtshof anschließt.

Handlungsbedarf für Webseitenbetreiber bei dem Einsatz von Social Plugins

Die Folgen des Urteils sind für Webseitenbetreiber weitreichend. Denn es finden sich auf vielen Onlineshops und Webseiten immer mehr solcher Social Plugins, vor allem auch vom sozialen Netzwerk Facebook.

Das Urteil des Landgericht Düsseldorfs setzt dem Einsatz solcher Funktionen vorerst Grenzen. Webseitenbetreiber sollten daher die bei ihnen eingesetzten Social Plugins kritisch überprüfen – anderenfalls drohen Abmahnungen. Vor dem Landgericht München ist derzeit ein ähnliches Verfahren anhängig. Es bleibt zu beobachten, ob die Richter auch dort der Argumentation des Landgerichts Düsseldorf folgen.

Bietet Zwei-Klick-Lösung einen Ausweg?

Ob die sogenannte Zwei-Klick-Lösung einen Ausweg aus der vom Landgericht geschaffenen Misere bedeuten könnte, bleibt unklar.

Bei dieser Zwei-Klick-Lösung müssen Nutzer vorab das Plugin ausdrücklich aktivieren, erst dann kommt es zu einer Datenübermittlung. Das Landgericht Düsseldorf nahm hierzu, obwohl das betroffene Unternehmen inzwischen auf eine solche Lösung umgestellt hatte, keine Stellung. Anknüpfungspunkt des Urteils war lediglich die vorherige – nach Ansicht des Gerichts unzulässige – Einbindung des Plugins.

Aber auch bei der Zwei-Klick-Lösung ergibt sich bei vielen sozialen Netzwerken das Problem, dass der Webseitenbetreiber nicht wirklich weiß, welche Daten durch das Plugin an das jeweilige Netzwerk übermittelt werden. Es ist ihm daher nicht möglich, den Nutzer über die Datenübermittlung abschließend aufzuklären, was aber – auch nach Ansicht der Düsseldorfer Richter – erforderlich wäre. Der Einsatz von Zwei-Klick-Lösungen ist datenschutzrechtlich daher ebenfalls nicht unproblematisch.

Tags: Datenschutzrecht Gefällt mir Plugin