• Datenschutz im Unternehmen

    Die neue DSGVO stellt große datenschutzrechtliche Anforderungen an Ihr Unternehmen. Gerne beraten wir Sie zu den Vorgaben im Umgang mit Kunden- und Beschäftigtendaten, um Ihnen Bußgelder zu ersparen.
    Weiterlesen
  • Hass und Fake News im Netz

    Wir verstehen soziale Verantwortung als zentralen Bestandteil unserer Unternehmenskultur. Daher kämpfen wir mit juristischen Mitteln gegen Hass und Fake News oder halten Schulvorträge über Cybermobbing. Unter Pro Bono finden Sie alle Informationen zu unserem Engagement.
    Weiterlesen
  • Open Source im Unternehmen

    Gerne beraten wir Sie im differenzierten Umgang mit Open Source Software zur Vermeidung von rechtlichen Risiken. Informieren Sie sich über unsere Artikelsammlung im Portfolio oder kontaktieren Sie uns unverbindlich.
    Weiterlesen
  • JunIT | Kanzlei für IT- und Wirtschaftsrecht

    Wir sind Ihre spezialisierte Rechtsanwaltskanzlei für IT- und Wirtschaftsrecht. Informieren Sie sich über unser Team und Portfolio und kontaktieren Sie uns unverbindlich.
    Weiterlesen
  • 1
  • 2
  • 3
  • 4

Ist der Facebook Like-Button weiterhin datenschutzgerecht nutzbar?

17.03.2016 - Wenn man dem Landgericht Düsseldorf in seinem am 09.03.2016 gesprochenen Urteil folgt, nicht ohne weitere Vorkehrungen des Webseiten-Betreibers und nicht ohne Einwilligung des Nutzers der Webseite, auf der Social Plugins eingebunden sind.

Was war passiert?

Dem Gerichtsverfahren vorausgegangen waren wettbewerbsrechtliche Abmahnungen der Verbraucherzentrale Nordrhein-Westfahlen gegenüber HRS, Nivea (Beiersdorf), Payback, Eventim, Peek & Cloppenburg (Fashion ID) und KIK, wie beck-aktuell berichtet, mit dem Vorwurf, dass diese Unternehmen auf Ihren Webseiten den Facebook Like Button nicht datenschutzkonform eingebunden hätten. Vier dieser Unternehmen gaben daraufhin Unterlassungserklärungen ab, in den anderen Fällen erhob die Verbraucherzentrale Klage, u.a. vor dem Landgericht Düsseldorf.

Wie entschied das Landgericht Düsseldorf?

Datenschutzverstöße wettbewerbsrechtlich abmahnfähig

Zunächst ist klar, dass auch das Landgericht Düsseldorf nach zahlreichen anderen Instanzgerichten in letzter Zeit Verstöße gegen Datenschutzvorschriften für wettbewerbsrechtlich abmahnfähig hält. Dies ist jedenfalls dann absolut nachvollziehbar, wenn Datenverarbeitung, Nutzung und vor allem Datenübermittlungen kommerziellen Interessen der Webseiten-Betreiber dienen, wie es auch bei Einsatz des Facebook Like Buttons oder Social Media Plugins anderer Anbieter der Fall ist.

Die mögliche Rechtsverfolgung von Datenschutzverstößen über das Wettbewerbsrecht wird von uns schon seit geraumer Zeit vertreten (vgl. vertiefend den entsprechenden Fachaufsatz von RA Galetzka).

Kernaussagen des Urteils

Das Landgericht Düsseldorf hat der Klage der Verbraucherzentrale auf Unterlassung stattgegeben, da der Like Button von Facebook auf der Internetseite des verklagten Unternehmens (hier Fashion ID) nicht datenschutzkonform eingesetzt worden sei.
Nach dem Landgericht hatte der Webseiten-Betreiber drei wesentliche Punkte des geltenden TMG-Datenschutzes bei Verwendung von Social Media Pugins nicht beachtet:

 

  1. Auf der Internetseite waren keine Informationen verfügbar, die Nutzer der Internetseite umfassend über den Zweck des Einsatzes des Facebook Like Button und der Verwendung der an Facebook übermittelten Daten aufklärten.
  2. Der Nutzer der Internetseite hätte in diese Nutzung des Like Button einwilligen müssen.
  3. Der Nutzer der Internetseite hätte auf die jederzeitige Widerruflichkeit dieser Einwilligung mit Wirkung für die Zukunft hingewiesen werden müssen.

Fehlende Informationen zur Verwendung des Like Button

Dass Nutzer über sämtliche Vorgänge der Datenverarbeitung auf einer Internetseite, idealerweise im Rahmen einer Datenschutzerklärung aufgeklärt und informiert werden müssen, ist nichts wirklich Neues und ergibt sich aus der Vorschrift des § 13 Abs. 1 TMG. Umso erstaunlicher ist, dass es immer noch Webseiten-Betreiber gibt, die diese elementare Vorgabe des TMG nicht oder zumindest nicht vollständig beachten.

So war es in dem vom LG Düsseldorf entschiedenen Fall aber nicht. Die Beklagte des Verfahrens Fashion ID informierte im Rahmen ihrer Datenschutzerklärung über den Einsatz des Like Button und zumindest ansatzweise auch zum Umfang der Datenverarbeitung über das Plugin. Jedoch hätte ausdrücklich und unübersehbar zusätzlich über den Zweck der Erhebung und der Verwendung der so übermittelten Daten aufgeklärt werden müssen und zwar bis zu dem Zeitpunkt, in dem der Anbieter des Plugins (hier Facebook) beginnt, Zugriff auf die IP-Adresse und den Browserstring des Nutzers zu nehmen.

Problematisch an der Einbindung von Social Media Plugins – nicht nur des Like Button von Facebook – ist, dass bei direkter Einbindung des Plugin-Codes (meist über einen iFrame-Tab) über die entsprechende Schaltfläche bereits Daten wie die IP-Adresse oder der Browserstring des Nutzers erhoben und an den jeweiligen Social Media Anbieter übermittelt werden. Dies erfolgt sogar, ohne dass der Nutzer der Internetseite die Schaltfläche überhaupt anklicken oder auf seinem Nutzerkonto bei dem jeweiligen Social Media Dienst eingeloggt sein muss.

Kernpunkt der Abmahnung der Verbraucherzentrale NRW und des von ihr angestrengten Klageverfahrens war damit die Art der Integration des Like Button. 

Einwilligung des Nutzers erforderlich

 Äußerst kurz fällt die Begründung des LG Düsseldorf zur Notwendigkeit einer Einwilligung aus. Ob hier eine vorherige ausdrückliche Einwilligung als Opt-in erforderlich oder auch eine Opt-out-Erklärung z.B. vorformuliert in einer Datenschutzerklärung ausreichend ist, lässt das Gericht leider offen.

Datenschutzrechtlich besteht immer dann ein Einwilligungserfordernis, wenn kein gesetzlicher Tatbestand greift, der die konkrete Art der Datenverarbeitung oder -nutzung erlaubt. Bei Verwendung des Like Button greife keine gesetzliche Erlaubnisnorm des TMG, da der Einsatz des Social Media Plugins nicht für den Telemediendienst erforderlich sei, so das LG Düsseldorf. Somit sei eine Einwilligung des Nutzers erforderlich. Wie diese Einwilligung eingeholt werden kann, beantwortet das Gericht nicht. Es führt hierzu lediglich aus, dass die Belehrung über Plugins an sich hierfür nicht genüge. Auch sei auf der Internetseite der Beklagten nichts diesbezügliches zu erklären oder anzuklicken gewesen. Hier hätte man sich für mehr Rechtssicherheit Ausführungen des Gerichts z.B. zur 2-Klick-Lösung gewünscht (hierzu sogleich).

Zusätzlich Hinweis auf jederzeitige Widerruflichkeit der Einwilligung für die Zukunft

Darüber hinaus ist bei anzunehmendem Erfordernis einer Einwilligung der Nutzer auch darauf hinzuweisen, dass er die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. Auch diese Information fehlte auf der Internetseite der Beklagten.

Was wir davon halten - Praxisfolgen

Die Entscheidung des LG Düsseldorf ist zu begrüßen, da sie den Datenschutz gerade bei Datenübermittlungen ins außereuropäische Ausland stärkt. Jedoch trägt sie den bisherigen Streit über die Abmahnfähigkeit von Datenschutzverstößen auf dem Rücken der Webseiten-Betreiber aus. Außerdem schürt sie die Gefahr einer Abmahnwelle wegen solcher Datenschutzverstöße, wenn der Like Button oder andere Social Media Plugins nicht ordnungsgemäß nach den gerichtlichen Vorgaben in die Internetseite eingebunden werden.

Wir können Webseiten-Betreiber derzeit nur zur Verwendung der sog. 2-Klick-Lösung für die Einbindung von Social Media Plugins raten. Auch wenn das LG Düsseldorf diese Form der Einbindung nicht anhand der gesetzlichen Anforderungen bewerten musste, stellt sie nach unserer Einschätzung eine verlässliche Möglichkeit dar, die Vorgaben des Urteils umzusetzen.

Die 2-Klick-Lösung verhindert technisch, dass eine Datenübermittlung an Facebook schon dann stattfindet, wenn der Nutzer die Internetseite besucht. Die jeweiligen Social Media Schaltflächen sind nämlich zunächst als Platzhalter in die Internetseite eingebunden und werden erst nachgeladen, wenn der Nutzer auf das Platzhalter-Symbol klickt. Idealerweise sollten die Platzhalter mit einem ausdrücklichen und unübersehbaren Verweis auf die Datenschutzerklärung verbunden sein.

Im Rahmen der Datenschutzerklärung muss dann ebenfalls der 2-Klick-Lösung entsprechend informiert werden.


Thema: Pro-Bono-Mandate

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6

SITEMAP

  • KONTAKT

    JunIT | Kanzlei für IT- und Wirtschaftsrecht

    Salvatorstr. 21, DE-97074 Würzburg

    +49 931.6639.232

    +49 931.52235

    info@kanzlei-jun.de

    Mo-Do: 08.00 - 18.00 | Fr: 08.00 - 16.30