LG Düsseldorf doesn`t like Facebook: Der "Gefällt-mir" bzw. "Like"-Button von Facebook ist nicht mehr ohne Weiteres verwendbar!
Das LG Düsseldorf hat in seiner aktuellen Entscheidung (Urteil vom 09.03.2016, Az.: 12 O 151/15) festgestellt, dass Unternehmen (und damit auch Online-Händler) den "Like"-Button nicht ohne Angaben über Zweck und Funktion und ohne Einwilligung der Seitenbesucher auf ihren Internetseiten integrieren dürfen. Die Richter stuften die Verwendung des "Like"-Buttons des sozialen Netzwerks Facebook als datenschutzwidrig ein. Der Facebook-"Like"-Button sammelt und überträgt Daten von Webseiten-Besuchern unabhängig davon, ob der Webseitenbesucher einen Facebook-Account hat oder nicht. Welche Bedeutung dieses Urteil für das Schicksal des "Like"-Buttons hat und wie dieser in Zukunft weiter verwendet werden kann, lesen Sie in unserem Beitrag.
Inhaltsverzeichnis
- I. Das Verdikt der Datenschutzwidrigkeit des "Gefällt-mir"- bzw. "Like"-Buttons von Facebook
- II. Die Vorgeschichte
- 1. Funktionalität des "Like"-Buttons
- 2. Vorhandene Datenschutzerklärung war ungenügend
- 3. Nachträgliche Einbindung der sog. "2-Klick"-Lösung
- III. Das Gericht attestiert die Datenschutzwidrigkeit
- 1. Blick in die Vergangenheit: KG Berlin
- 2. Die Urteilsgründe des LG Düsseldorf im aktuellen Fall
- IV. Was sind die Auswirkungen des Urteils?
- V. Lösungsvorschläge für die Verwendung des "Like"-Buttons für die Zukunft
- 1. Entfernen des "Like"-Buttons von der Internetseite
- 2. Verwendung der sog. "2-Klick"- bzw. "Shariff"- Lösung
- 4. Hausaufgabe für Webseitenbetreiber
- VI. Fazit
I. Das Verdikt der Datenschutzwidrigkeit des "Gefällt-mir"- bzw. "Like"-Buttons von Facebook
Die Datenübertragung des Facebook-"Like"-Buttons war der Verbraucherzentrale NRW ein Dorn im Auge. Nach Ansicht der Verbraucherzentrale ist eine solche Datenübertragung nur dann zulässig, wenn diese durch eine vorherige ausdrückliche Einwilligung des Webseitenbesuchers legitimiert wurde.
Die abgemahnte und später verklagte Fashion ID GmbH & Co. KG, welche einen Onlineshop für Bekleidung verschiedener Hersteller des Unternehmens Peek & Cloppenburg KG betreibt, wurde seitens des Gerichts verurteilt, es bei Meidung eines Ordnungsmittels zu unterlassen
"im Internet auf der Seite www.fashionid.de das Social Plugin "Gefällt mir“ von Facebook (Facebook Inc. bzw. Facebook Ltd.) zu integrieren,
1. ohne die Nutzer der Internetseite bis zu dem Zeitpunkt, in dem der Anbieter des Plugins beginnt, Zugriff auf die IP- Adresse und den Browserstring des Nutzers zu nehmen, ausdrücklich und unübersehbar die Nutzer der Internetseite über den Zweck der Erhebung unter Verwendung der so übermittelten Daten aufzuklären,
und/ oder
2. ohne die Einwilligung der Nutzer der Internetseite zu dem Zugriff auf die IP- Adresse und den Browserstring durch den Plugin-Anbieter und zu der Datenverwendung einzuholen, jeweils bevor der Zugriff erfolgt,
und/ oder
3. ohne die Nutzer, die ihre Einwilligung im Sinne des Klageantrags zu 2 erteilt haben über deren jederzeitige Widerruflichkeit mit Wirkung für die Zukunft zu informieren."
II. Die Vorgeschichte
Die abgemahnte und später verklagte Fashion ID GmbH & Co. KG hatte in ihrem Onlineshop den "Like"-Button des sozialen Netzwerks Facebook eingebunden.
1. Funktionalität des "Like"-Buttons
Das Landgericht Düsseldorf fasste die Funktionalität des "Like"-Buttons in technischer Hinsicht äußerst anschaulich zusammen:
Für die Button-Funktionalität stellt das soziale Netzwerk Facebook der Beklagten einen Programmcode zur Verfügung, den diese in die HTML-Programmierung Ihrer Webseite mittels eines sog. Iframes (= Inline-Frames) einband (sog. "Plugin"). Die Einbettung eines Plugins hat zur Folge, dass bei jedem Aufruf der Internetseite mit Plugins automatisch Daten an den Anbieter des Plugins übertragen werden. Der technische Ablauf beim Aufruf der Beklagtenseite ist wie folgt: der Browser des Internetnutzers, der die Webseite aufruft, sendet eine Anfrage an die IP-Adresse des Webservers, auf dem die Beklagtenseite gehostet wird, an die eigene IP-Adresse den HTML-Code der Seite zu senden.
Der Webserver der Beklagten sendet dann den HTML-Code der Internetseite an die IP-Adresse des Nutzers, dessen Browser die HTML- Daten interpretiert. Hierbei identifiziert der Browser anhand des HTML-Codes der Beklagten auch die zusätzlich zu ladenden Ressourcen, einschließlich des eingebundenen Facebook-Plugins. Wie durch den HTML-Code vorgegeben, fragt er bei der in den Code eingebundenen Adresse, dem Server von Facebook, unter Mitteilung u.a. der eigenen IP- Adresse und des sog. Browserstrings, einer Angabe über den benutzten Browser, um Übermittlung der Ressourcen, also der Button-Darstellung und der Funktionalität, an die IP- Adresse des Browsers.
Die erhaltenen Daten werden dann an der durch den HTML-Code vorgegebenen Stelle in der Bildschirmwiedergabe der Internetseite des Beklagten dargestellt. Dieser Vorgang bedeutet, dass Facebook bereits mit Aufruf der Seite der Beklagten und unabhängig davon, ob die Funktion „Gefällt mir“ durch Anklicken genutzt wird, eine Mitteilung über den Seitenaufruf und bestimmte Informationen über die Abfrage erhält. So werden in jedem Fall eines Aufrufs der Seite der Beklagten bestimmte Grunddaten an Facebook übermittelt, jedenfalls die IP- Adresse, unter der der Nutzer "online" ist, und der String des genutzten Browsers. Bei diesen Daten handelt es sich um die gleichen Daten, die bei Aufruf einer Webseite an den Server, auf dem die Internetseite gehostet ist, übermittelt werden. Die Übermittlung an Facebook erfolgt aber nicht über den Server des Internetseitenanbieters, sondern auf Grundlage des HTML-Codes direkt von dem Nutzercomputer an Facebook. Unstreitig erhält Facebook bei dieser Datenübermittlung auch eine Information über die besuchte Webseite, hier also jene der Beklagten, eine eindeutige ID dieser Webseite sowie im einzelnen durch die Parteien nicht dargelegte Daten des Computersystems, über das der Internetnutzer die Seite der Beklagten aufruft.
2. Vorhandene Datenschutzerklärung war ungenügend
Das beklagte Unternehmen hielt eine Datenschutzerklärung vor. Diese informierte die Seitenbesucher über Art und Umfang der Erhebung und Nutzung personenbezogener Daten. Unter einer eigenen Datenschutzklausel wurde innerhalb dieser Datenschutzerklärung der Seitenbesucher hinsichtlich der Nutzung sog. Social Plugins informiert. Hierbei wurde darauf hingewiesen, dass es zur Vermeidung der Speicherung persönlicher Daten ratsam sei, sich vor dem Besuch der Internetseite der Beklagten aus dem entsprechenden sozialen Netzwerk auszuloggen. Ferner wurde in der Datenschutzerklärung mitgeteilt, dass unter Verwendung spezieller Add-Ons die Funktionalität des Facebook-Plugins blockiert werden könne. Zuletzt verlinkte das beklagte Unternehmen im Rahmen seiner Datenschutzerklärung auf die Datenschutzrichtlinien von Facebook, welche weitere Informationen über die stattfindenden Datenerhebungs- und Verarbeitungsvorgänge enthielt.
Dies genügte dem Gericht jedoch nicht, um die datenschutzrechtlichen Anforderungen zu erfüllen.
3. Nachträgliche Einbindung der sog. "2-Klick"-Lösung
Die Verbraucherzentrale NRW mahnte die Fashion ID GmbH & Co. KG erfolglos ab, da eine strafbewehrte Unterlassungserklärung seitens des Unternehmens nicht abgegeben worden war. Allerdings änderte die Fashion ID GmbH & Co. KG ihre datenschutzrechtliche Praxis insofern, als die unveränderte Einbindung des "Like"- Buttons aufgegeben wurde. Stattdessen verwendete das Unternehmen in der Folge die sog. "2-Klick"-Lösung.
Was ist die "2-Klick"-Lösung?
Bei dieser "2-Klick"-Lösung erscheint beim Seitenaufruf nicht unmittelbar das Social-Plugin des sozialen Netzwerks, sondern zunächst ein Hinweis, dass ein Symbol angeklickt werden müsse, um die Verknüpfung zum sozialen Netzwerk zu aktivieren. Klickt ein Nutzer sodann auf dieses Symbol und bestätigt, dass personenbezogene Daten im Falle des Aktivierens des Social- Plugins übertragen werden, wird das betreffende Social-Plugin nachgeladen und eine Informationsübertragung an das soziale Netzwerk wird sodann aufgebaut.
Die verurteilte Fashion ID GmbH & Co. KG belehrt jetzt über Social-Plugins im Rahmen der Datenschutzerklärung (Stand 09.03.2016) wie nachstehend wiedergegeben (Quelle: https://www.fashionid.de/privacy/):
III. Das Gericht attestiert die Datenschutzwidrigkeit
1. Blick in die Vergangenheit: KG Berlin
Das Kammergericht Berlin war in einer Entscheidung aus dem Jahre 2011 (Beschluss vom 29.04.2011, Az. 5 W 88/11) noch der Auffassung, dass im Falle der Verwendung des "Gefällt-mir"-Buttons kein Wettbewerbsverstoß zu sehen sei.
Diese rechtliche Auffassung wurde durch das Kammergericht noch wie folgt begründet:
„Wie § 7 UWG zeigt, wird der Verbraucher durch unerwünschte Werbung nicht nur in seinem allgemeinen Persönlichkeitsrecht, sondern auch in seiner Stellung als Marktteilnehmer beeinträchtigt […].
Auf der Grundlage des glaubhaft gemachten Vortrages der Antragstellerin ist jedoch nicht davon auszugehen, dass eine danach bestehende wettbewerbsbezogene Schutzfunktion des § 13 Abs. 1 TMG durch das beanstandete Verhalten des Antragsgegners tangiert wird.
Facebookmitglieder, die während ihres Besuchs auf der Webseite des Antragsgegners bei Facebook angemeldet sind, geben dem auf der Seite des Antragsgegners installierten Programm Wunsch und Bereitschaft zu erkennen, dass Facebook ihnen den ‚richtigen sozialen Kontext bzw. das richtige soziale Umfeld‘, d.h. Nachrichten und Empfehlungen von ‚Freunden‘ anzeigt. Das Wettbewerbsrecht will die Privatsphäre jedoch nur vor unzumutbaren Belästigungen durch geschäftliche Handlungen schützen, insbesondere vor Werbung, obwohl erkennbar ist, dass der angesprochene Marktteilnehmer diese Werbung nicht wünscht (vgl. § 7 Abs. 1 UWG)
Für Facebookmitglieder, die während ihres Besuchs auf der Webseite des Antragsgegners angemeldet sind, den „Gefällt-mir-Button“ betätigen und infolgedessen weitere Werbung des Antragsgegners erhalten, gelten die obigen Ausführungen erst recht.“
2. Die Urteilsgründe des LG Düsseldorf im aktuellen Fall
a. Und am Anfang stand das Unwerturteil...
Das Landgericht Düsseldorf stellt zu Beginn seiner Entscheidungsgründe fest, dass der "normale" Einsatz des "Like"-Buttons auf einer Internetseite unzulässig sei:
Die Nutzung des Facebook-Plugins „Gefällt mir“ auf der Webseite der Beklagten, ohne dass die Beklagte die Nutzer der Internetseite vor der Übermittlung deren IP-Adresse und Browserstring an Facebook über diesen Umstand aufklärt, ist unlauter im Sinne des § 3a UWG i.V.m. § 13 TMG.
Nach § 13 Abs. 1 Satz 1 TMG hat der Betreiber eines Telemediendienstes den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs des EWR in allgemein verständlicher Form zu unterrichten. Dieser Pflicht ist die Beklagte hinsichtlich ihrer Internetseite in dem Stand, der der gerichtlichen Beurteilung unterliegt, nicht nachgekommen.
b. Keine Rechtfertigung der Datenübertragung nach § 15 TMG
Die Datenübermittlung ist nach Ansicht des LG Düsseldorf nicht gemäß § 15 TMG gerechtfertigt, da diese Datenübermittlung für den funktionierenden Betrieb der Webseite nicht erforderlich sei:
"Der „Gefällt mir“-Button ist für den Betrieb der Seite der Beklagten nicht unabdinglich. Vielmehr ist sie, wie jede Webseite, auch ohne Social Plugins zu betreiben und für die Nutzer aufzurufen. Eine große Verbreitung der Plugins oder Vorteile für die Beklagte auf Grund eines Marketing-Effekts führen nicht dazu, dass diese das Plugin in der beanstandeten Weise zwingend einzusetzen hätte."
c. Webseitenbetreiber ist für eingebundene Social-Plugins verantwortlich
Das Gericht führte hinsichtlich der rechtlichen Verantwortlichkeit der Beklagten wie folgt aus:
"Denn der Vorgang wird durch den HTML-Befehl auf der Beklagtenseite initiiert. Die Eigenschaft als verantwortliche Stelle ist nicht streng an den Besitz der Daten und die physische Herrschaft über den Verarbeitungsprozess gebunden. Löst ein Webseitenbetreiber durch die Einbindung von Drittinhalten in das eigene Angebot einen Verarbeitungsprozess aus, ist er hierfür auch datenschutzrechtlich verantwortlich. Denn allein durch konkrete Gestaltung der Webseite wird die Datenweitergabe an Facebook und damit die Datennutzung initiiert (...)."
d. Einwilligung in Datenübertragung notwendig
Das Gericht stellte klar, dass im folgenden Fall die Einholung einer wirksamen Einwilligung in die Datenübertragung notwendig gewesen wäre:
Personenbezogene Daten dürfen zur Bereitstellung von Telemedien nur erhoben und verwendet werden, sofern das TMG oder eine andere telemedienrechtliche Vorschrift dies erlauben oder der Nutzer eingewilligt hat. § 12 Abs. 1 TMG wiederholt damit das in § 4 Abs. 1 BDSG erhaltene Datenverarbeitungsverbot mit Erlaubnisvorbehalt für Telemedien.
Eine elektronische Einwilligung ist zulässig, sofern sie die Voraussetzungen des § 13 Abs. 2 TMG erfüllt. Danach ist u.a. sicherzustellen, dass der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat. Dies setzt eine aktive Handlung des Nutzers, wie etwa das Setzen des Häkchens in einer Checkbox, voraus.
Eine Einwilligung ist zudem nur zulässig, wenn sie auf der freien Entscheidung des Betroffenen beruht. Weiter ist er auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie ggf. auf die Folgen der Verweigerung der Einwilligung hinzuweisen (§ 4a Abs. 1 BDSG).Dies bedeutet, dass eine Einwilligung freiwillig und informiert zu erfolgen hat. Die Einwilligung muss der Datenverarbeitung vorangehen und darf nicht erst nachträglich eingeholt werden. Die Einwilligung wiederum verlangt, dass der Nutzer über die Weitergabe seiner Daten vorher unterrichtet wird."
e. Datenschutzverstoß = Wettbewerbsverstoß!
Lange Zeit umstritten war, ob Datenschutzverstöße auch zugleich unlautere Handlungen darstellen und damit wettbewerbsrechtlich geahndet werden können. Zuletzt hatte das LG Köln (Beschluss vom 26.11.2015, Az.: 33 O 230/15) entschieden, dass eine fehlende Datenschutzerklärung einen abmahnbaren Verstoß darstelle.
Hinweis: Durch das "Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts", welches am 24.02.2016 im Bundesgesetzblatt verkündet worden ist, werden unter anderem die Abmahnbefugnisse von Verbraucherschutzverbänden (= Verbandsklagerecht) auf datenschutzrechtliche Verstöße erweitert. Somit wird es in Zukunft ohne Weiteres für Verbraucherschutzverbände möglich sein, datenschutzrechtliche Verstöße wettbewerbsrechtlich zu verfolgen!
Das LG Düsseldorf hatte bereits die neu eingeführte Norm des § 2 Nr. 11 UKlaG (welcher erst durch das "Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts" eingeführt worden ist) als Begründung für das Vorliegen eines Wettbewerbsverstoßes herangezogen. Darüber hinaus begründete das Gericht den Wettbewerbsverstoß wie folgt:
"Es handelt sich bei den §§ 12, 13 TMG, die Umstände des Einzelfalls berücksichtigend (...) nicht nur um Verbraucherschutzgesetze nach § 2 Nr. 11 UKlaG (in der Fassung vom 24.02.2016), sondern auch um Marktverhaltensregeln im Sinne des § 3a UWG. Gesetze, die die Erhebung von Daten betreffen, schützen im Einzelfall nicht nur das Persönlichkeitsrecht und das informationelle Selbstbestimmungsrecht, sondern auch den Wettbewerb an sich (...), und es ist zu berücksichtigen, dass die zunehmende wirtschaftliche Bedeutung der Erhebung elektronischer Daten diese nicht nur als Wirtschaftsgut erscheinen lässt, sondern auch die Entwicklung des Verständnisses des Datenschutzrechts beeinflusst."
IV. Was sind die Auswirkungen des Urteils?
Das Urteil des LG Düsseldorf ist im Zeitpunkt der Veröffentlichung dieses Beitrag noch nicht rechtskräftig, das beklagte Unternehmen kann hiergegen noch das Rechtsmittel der Berufung einlegen. Jedoch bleibt festzuhalten, dass mit dieser gerichtlichen Entscheidung die Tür für wettbewerbsrechtliche Abmahnungen von Social-Plugins, allen voran des "Like"-Buttons, geöffnet wurde.
Das unveränderte Einbinden des "Like"-Buttons (und anderer Social-Plugins) sollte im eigenen wohlverstandenen Interesse unterlassen werden, denn die unveränderte Verwendung dieser Social-Plugins ist nicht mehr ohne Weiteres möglich!
Zudem ist zu berücksichtigen, dass die Verbraucherzentrale NRW ein weiteres gerichtliches Verfahren vor dem LG München I gegen Payback wegen der Verwendung des "Like"-Buttons führt - eine Entscheidung ist in diesem Verfahren noch nicht ergangen. Es bleibt abzuwarten, ob die Münchener Richter sich dem Urteilsspruch aus Düsseldorf anschließen werden.
Ausblick: Es steht zu erwarten, dass auch das LG München I die datenschutzrechtliche Unzulässigkeit der Verwendung des "Like"-Buttons annehmen wird. Sollte dies so eintreffen, wird die Lage außerordentlich ernst für Webseitenbetreiber!
V. Lösungsvorschläge für die Verwendung des "Like"-Buttons für die Zukunft
Die IT-Recht Kanzlei hatte sich bereits im letzten Jahr 2011 im Rahmen des Beitrags Verwendung von Social Plugins aus datenschutzrechtlicher Sicht – speziell: Facebook Like Button und Google +1 Button und im letzten Jahr im Beitrag Verstößt der „Gefällt mir“-Button von Facebook auf Webseiten gegen Datenschutzrecht? mit der datenschutzrechtlichen Problematik der Verwendung des "Like"-Buttons auseinandergesetzt.
Wir haben einige Lösungsvorschläge erarbeitet und teilen im Rahmen der nachfolgenden Präsentation mit, was die jeweiligen Vor- und Nachteile der Lösungsvarianten betrifft:
1. Entfernen des "Like"-Buttons von der Internetseite
Wer ganz auf Nummer sicher gehen möchte, sollte den "Like"-Button von seiner Internetseite nehmen. Hierdurch ist sichergestellt, dass kein datenschutzwidriges Einbindung von Social-Plugins begangen wird. Jedoch erscheint diese Möglichkeit nicht äußerst attraktiv, da Webseitenbetreiber (wie vor allem Online-Händler) sich der Marketing-Möglichkeiten der Verbreitung Ihrer Angebot via sozialer Netzwerke nur sehr ungern entledigen möchten.
Problem: Online-Händler etwa auf eBay und Amazon sehen sich mit der unausweislichen Realtität konfrontiert, dass auf diesen Verkaufsplattformen die Social-Plugins (hierunter auch von Facebook) fest in das Layout der Artikeldetailseiten implementiert sind:
Standardmäßig eingebundenes Facebook-Social-Plugin auf eBay
Standardmäßig eingebundenes Facebook-Social-Plugin auf Amazon
Auf die Einbindung des Facebook-Social-Plugins auf den Verkaufsplattformen haben die Online-Händler keinen Einfluss, da hier keinerlei Änderungen an der plattformseitigen Infrastruktur vorgenommen werden können. Es verbleibt hier lediglich die Abwägung, ob das Risiko einer Abmahnung in Kauf genommen werden soll.
Was wir unternehmen: Die IT-Recht Kanzlei wird Verbindung zu den Verkaufsplattformen eBay und Amazon aufnehmen und diese um eine Stellungnahme hinsichtlich der eigenen Rechts- und Risikoeinschätzung auffordern.
2. Verwendung der sog. "2-Klick"- bzw. "Shariff"- Lösung
a. Die "2-Klick"-Lösung
Eine Möglichkeit wäre die von c't und heise entwickelte sog. "2-Klick"-Lösung. Dabei wird zwar optisch der „Gefällt mir“-Button in den eigenen Webauftritt eingebunden, nicht jedoch dessen volle Funktionalität – soll heißen: zwar erscheint der „Gefällt mir“-Button bereits beim Aufrufen der Webseite durch den Nutzer, jedoch werden noch keine personenbezogenen Daten an Facebook übermittelt. Erst wenn der Nutzer auf den "Like"-Button klickt, anschließend gemäß der rechtlichen Vorgaben aus § 13 TMG informiert worden ist und dann durch einen zweiten Klick ausdrücklich bestätigt, dass die entsprechenden Daten an Facebook übermittelt werden sollen, geschieht dies auch.
Die Teilen-Buttons bleiben deaktiviert und übertragen keine persönlichen Daten an Facebook, Google und Twitter – bis der Nutzer sie einschaltet.
Problem: Nach einem Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis am 08.12.2011) sind die Anbieter deutscher Websites jedoch „regelmäßig nicht in der Lage, die für eine informierte Zustimmung ihrer Nutzerinnen und Nutzer notwendige Transparenz zu schaffen.“ Denn: Eine wirksame Einwilligung setze voraus, dass Nutzende wissen, worin sie einwilligen. Da Facebook aber bisher nicht offenlegt, welche Daten genau erhoben werden und was es mit diesen geschieht, fehlt es an der nötigen Information, um eine informierte Einwilligungserklärung abgeben zu können. Das bedeutet, dass auch die "2-Klick"-Lösung die Bedenken der Datenschützer nicht vollständig ausräumen kann.
Zudem dürfte Facebook an dieser Lösung wenig Gefallen finden, weil sich das Unternehmen den „Gefällt mir“-Button so nicht vorgestellt hat.
Möglicherweise könnte Facebook daher Verstöße gegen die Nutzungsbedingungen für die Einbindung des „Gefällt mir“-Buttons geltend machen oder sich auf Markenrechtsverstöße gegen die (möglicherweise) unbefugte Verwendung der eingetragenen Marken bzw. des Kennzeichens berufen. Jedenfalls ist hier Vorsicht geboten: bei dieser Lösung könnte Ungemach von Facebook drohen.
"2-Klick"-Lösung nach LG Düsseldorf ausreichend? Das Landgericht Düsseldorf hatte entgegen der Ansicht der obersten Aufsichtsbehörden für den Datenschutz die vorgestellte "2-Klick"-Lösung (wohl) als ausreichend bewertet, um den "Like"-Button von Facebook datenschutzkonform zu verwenden, das Gericht führte hierzu aus:
"Will die Beklagte weiterhin die Vorteile einer Verknüpfung mit Facebook nutzen, so muss sie lediglich die Rechte derer, die eine Drittweitergabe Ihrer Daten wider Erwarten, noch wünschen, angemessen beachten, etwa durch das von ihr nunmehr auch angewendete sog. "2 Klick-Verfahren", bei dem der Datenweiterleitung eine Einverständnisabfrage vorgeschaltet ist."
Später in den Urteilsgründen "rudert" das LG Düsseldorf ein wenig zurück, da es ausdrücklich erklärt, über die Datenschutzkonformität der "2-Klick"-Lösung im vorliegenden Fall nicht entscheiden zu müssen.
Anmerkung: Ob sich das Gericht bei der vorgenannten Aussage auch wirklich im Klaren darüber war, dass ein Nutzer gar keine informierte Einwilligung erteilen kann, da schlichtweg die notwendigen Informationen hierfür fehlen, welche Daten konkret zu welchem Zweck erhoben und verarbeitet werden, bleibt stark zu bezweifeln!
Weiteres Problem: Online-Händler auf eBay und Amazon haben nicht die Möglichkeit die sog. "2-Klick"-Lösung auf den Verkaufsplattformen zu verwenden.
Wir werden die beiden größten Verkaufsplattformen auch hierzu kontaktieren und um konkrete Lösungsvorschläge bitten.
Beim Einsatz der "2-Klick"-Lösung ist auf jeden Fall eine spezielle Datenschutzerklärung notwendig, um den Seitenbesucher entsprechend zu informieren!
b. Die "Shariff"-Lösung
Die ebenfalls von c`t und heise entwickelte "Shariff"-Lösung stellt eine Weiterentwicklung der "2-Klick"-Lösung dar, da sich beim Einsatz der "2-Klick"-Lösung kleine Nachteile für Webseitenbetreiber offenbart hatten: Zum einen verleiten die Buttons nicht allzu sehr, Inhalte impulsiv und schnell zu teilen – zwei Klicks sind eben eine gewisse Hemmschwelle. Das zweite Problem ist die unauffällige Gestaltung der Empfehlungsbuttons: Die ausgegrauten Flächen verdeutlichen zwar den inaktiven Zustand, springen aber nicht so sehr ins Auge wie die bunten Originale von Facebook, Twitter und Google. Letztere ermuntern Besucher viel stärker dazu, Inhalte zu teilen.
Bei der "Shariff"-Lösung fallen die Social-Plugins aufgrund der bunten Gestaltung auf – und schützen die Privatsphäre des Nutzers ebenso gut wie das "2-Klick"-Verfahren nach Aussage von c`t. Bei den neuen Buttons handelt es sich um einfache HTML-Links, die mit CSS individuell gestalten werden können.
Eine Einbettung über iframes ist nicht nötig, weshalb auch die Aktivierung der Knöpfe entfällt. Das erspart einen Klick und das Teilen geht ein bisschen schneller.
Shariff ist der Nachfolger der "2-Klick"-Lösung, das Teilen funktioniert einfach mit nur einem Klick.
Ein Skript ruft ab, wie oft eine Seite bereits geteilt oder getwittert wurde. Es nimmt über die Programmierschnittstellen (APIs) der Dienste zu diesen Kontakt auf und ruft die Zahlen ab. Die Abfrage geschieht also vom Server aus; statt der IP-Adresse des Besuchers wird lediglich die Server-Adresse an Facebook, Google und Twitter übertragen. Solange der Nutzer nicht auf den Link drückt, um Inhalte zu teilen, bleibt er zumindest für Facebook & Co. unsichtbar.
Auch beim Einsatz der "Shariff"-Lösung ist ebenfalls eine spezielle Datenschutzerklärung zusätzlich notwendig, um den Seitenbesucher entsprechend zu informieren!
4. Hausaufgabe für Webseitenbetreiber
Alle Webseitenbetreiber sind aufgrund der aktuellen Rechtsprechung des LG Düsseldorf aufgerufen, ihre gelebte Praxis im Zusammenhang mit Social-Plugins auf den Prüfstand zu stellen.
VI. Fazit
Das unveränderte Einbinden des normalen "Like"-Buttons (und anderer Social-Plugins) ist nach dem Richterspruch aus Düsseldorf nicht mehr möglich.
Unternehmen dürfen den "Like"-Button von Facebook nicht ohne Einwilligung der betroffenen Seitenbesucher und ohne Angabe über Zweck und Funktionsweise des Buttons auf ihren Webseiten integrieren. Wird der "Like"-Button nicht in datenschutzkonformer Art verwendet, drohen Webseitenbetreibern wettbewerbsrechtliche Abmahnungen und datenschutzbehördliche Ordnungsgelder.
Sollten Webseitenbetreiber auf die Verwendung von Social-Plugins nicht verzichten wollen, ist dringend angeraten, zumindest eine datenschutzverträglichere Form in Gestalt der "2-Klick"- bzw. "Shariff"-Lösung zu verwenden. Ob diese Lösungsmöglichkeiten in Zukunft auch vor Gericht Bestand haben werden, wird die Zeit zeigen.
Wir werden die rechtliche Diskussion und Rechtsprechung für Sie weiter beobachten und über interessante Änderungen unter www.it-recht-kanzlei.de informieren!
Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.
© nanomanpro - Fotolia.com
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
2 Kommentare
Wenn ich den Usern die Möglichkeit gebe, meine Inhalte auf den verschiedenen Plattformen zu verteilen, setze ich doch - wenn auch indirekt - einen Link auf eine im Prinzip unkontrollierbare Seite mit usergenerated Content. Wie schätzen Sie das ein?
<a id="facebook" data-height="400" class="a-link-normal" target="_blank" title="Facebook" href="/gp/redirect.html/ref=cm_sw_cl_fa_dp_gE95wb1G6Z58M?_encoding=UTF8&location=http%3A%2F%2Fwww.facebook.com%2Fshare.php%3Fu%3Dhttp%253A%252F%252Fwww.amazon.de%252Fdp%252FB00DVSDP0U%252Fref%253Dcm_sw_r_fa_dp_gE95wb1G6Z58M&token=6BD0FB927CC51E76FF446584B1040F70EA7E88E1"><i class="a-icon a-icon-share-facebook" aria-label="Facebook"><span class="a-icon-alt">Facebook</span></i></a><span class="a-letter-space"></span>
Da ist also gerade nicht mittels "sog. Iframes (= Inline-Frames) [eingebunden] (sog. "Plugin")."; darum trifft doch hier nicht zu, dass "Die Einbettung eines Plugins hat zur Folge, dass bei jedem Aufruf der Internetseite mit Plugins automatisch Daten an den Anbieter des Plugins übertragen werden." - erst wenn man auf den Link klickt, wird man zu facebook / twitter / pinterest geleitet.
M.E. ist das Urteil für die Konstellation wie auf Amazon Produktdetailseiten vorliegend nicht einschlägig.