Facebook-Like-Button und Verantwortlichkeit nach Datenschutzrecht – das Landgericht (LG) Düsseldorf entschied mit Urteil vom 09.03.2016, Az. 12 O 151/15: Einem Unternehmen ist es untersagt, auf seiner Website das Social Plugin „Gefällt mir“ („Like-Button“) von Facebook zu integrieren, ohne die Nutzer vorab darüber zu informieren, dass Facebook Zugriff auf die IP-Adresse und den Browserstring des Nutzers nimmt und ohne insoweit ausdrücklich und unübersehbar über den Zweck der Erhebung und Verwendung der an Facebook übermittelten Daten aufzuklären. Einem Unternehmer ist es auch untersagt, das das Social Plugin „Gefällt mir“ („Like-Button“) von Facebook zu verwenden, ohne vorab die Einwilligung des Nutzers in die Datenverwendung einzuholen.
Inhalt
Facebook-Like-Button und das LG Düsseldorf – was war geschehen?
Klägerpartei: Verbraucherzentrale Nordrhein-Westfalen. Beklagt: Fashion ID GmbH & Co. KG, die einen Online-Shop für Bekleidung verschiedener Hersteller des Unternehmens Peek & Cloppenburg KG aus Düsseldorf betreibt. In die Website der Beklagten war der Facebook-Like-Button („Gefällt mir“) eingebaut.
Der Kläger mahnte die Beklagte unter Hinweis darauf ab, die Integration der Funktion „Gefällt mir“ verstoße gegen Wettbewerbs- und Telemedienrecht, und forderte zur Abgabe einer strafbewehrten Unterlassungserklärung auf. Die Beklagte änderte daraufhin die Einbindung des Buttons ab. Auf der Seite ist der Button nunmehr nur noch in einer sog. „2-Klick-Lösung“ eingebunden. Eine Unterlassungserklärung aber gab die Beklagte nicht ab. Daraufhin machte der Kläger seinen Unterlassungsanspruch vor dem LG Düsseldorf geltend.
Wie entschied das LG Düsseldorf über den Facebook-Like-Button?
Das LG Düsseldorf gab der Klage in großen Teilen statt. Es entschied, dass (dynamische) IP-Adressen stets als personenbezogene Daten zu bewerten sind und die beklagte Seitenbetreiberin als verantwortliche Stelle im Sinne des Datenschutzrechts haftet.
_ IP-Adresse gehört zu personenbezogenen Daten
Die IP-Adresse des Nutzers gehöre zu den personenbezogenen Daten:
„Bereits mit dem Besuch der Webseite der Beklagten werden Nutzungsdaten, also Daten, die erforderlich sind, um eine Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (§ 15 Abs. 1 S. 1 TMG) erhoben. Zu solchen gehören nämlich auch Merkmale zur Identifikation des Nutzers, wie dessen IP-Adresse (vgl. Föhlisch/Pilou, a.a.O., S. 632).
Die Daten sind personenbezogen.“
Nicht entscheidend sei, ob Nutzer bei Aufruf der Seite in ihrem Facebook-Account eingeloggt seien:
„Nutzer der Beklagtenseite, die bei deren Aufruf auf Facebook eingeloggt sind, können mittels der IP-Adresse direkt ihrem Facebook-Konto zugeordnet werden, so dass für diese Gruppe ein Personenbezug gegeben ist. Auch bei Facebook-Nutzern, die sich zwar ausloggen, jedoch nicht ihre Cookies löschen, kann mittels gesetzter Cookies eine Zuordnung erfolgen.“
_ Webseiten-Betreiber sind verantwortliche Stellen
Die Beklagte sei die verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG:
„Während die Anbieterin des Plugins ohne Zweifel die Daten verarbeitet, beschafft die Beklagte diese im vorgenannten Sinne. Durch das Einbinden des Plugins ermöglicht sie die Datenerhebung und spätere Verwendung der Daten durch Facebook. Sie könnte durch ein Entfernen des Buttons den Zugriff von vorneherein verhindern bzw. durch eine vorgeschaltete Abfrage bei den Nutzern, ob die Funktionalität aktiviert werden soll, den Zugriff auf die Daten und hierdurch deren Verwendung einschränken. Bei der Beklagten handelt es sich nicht um eine Auftragnehmerin von Facebook, sondern sie wirkt durch die Einbindung des Plugins unmittelbar an der Erhebung durch Facebook mit. Ihre Entscheidung und die technische Implementierung sorgen dafür, dass die Erhebung und die Verarbeitung stattfinden.
Die Integration des Plugins ist nicht nur Vorbereitungshandlung für den Erhebungsprozess, sondern nimmt seinen Beginn damit, dass die Beklagte über ihren Server einen HTML-Code aussenden lässt, der den Browser des Nutzers zur Mitteilung seiner Daten an Facebook veranlasst. Die Aussendung des HTML-Codes ist damit erster Teilakt des Abrufs des ‚Gefällt mir‘-Buttons und der darin liegenden Funktionalität. Die Erhebung der Daten zu deren Verwendung findet damit im eigenen Tätigkeits-und Haftungsbereich der Beklagten statt.
Allein, dass die Beklagte keinen direkten Einfluss auf die Funktionsweise des Buttons und die Verarbeitung der Daten hat, ihr deren Umfang sogar unbekannt sein mag, und dass sich ihre aktive Tätigkeit auf die Einbindung des Plugins erschöpft, steht dem ebenso wenig entgegen, wie die Tatsache, dass nicht die Beklagte an sie übermittelte und in ihrem Besitz stehende Daten an Facebook weiterleitet, sondern die Erfassung der IP-Adresse unmittelbar durch Facebook erfolgt (so aber ohne nähere Begründung: Voigt/Alich NJW 2011, 3541; Piltz CR 2011, 657 mit dem Argument, es erscheine ’nicht angebracht‘, den Webseitenbetreiber als verantwortliche Stelle einzusehen, da er keine Verfügungsgewalt über die Daten erlange). Denn der Vorgang wird durch den HTML-Befehl auf der Beklagtenseite initiiert. Die Eigenschaft als verantwortliche Stelle ist nicht streng an den Besitz der Daten und die physische Herrschaft über den Verarbeitungsprozess gebunden. Löst ein Webseitenbetreiber durch die Einbindung von Drittinhalten in das eigene Angebot einen Verarbeitungsprozess aus, ist er hierfür auch datenschutzrechtlich verantwortlich. Denn allein durch konkrete Gestaltung der Webseite wird die Datenweitergabe an Facebook und damit die Datennutzung initiiert (so auch: KG Berlin BeckRS 2011,10432; Föhlisch/Pilou, a.a.O.; Ernst NJOZ 2010,1917).“
_ Facebook-Like-Button nicht zwingend erforderlich
Die Datenübermittlung sei nicht nach § 15 TMG gerechtfertigt, da sie für das Funktionieren und den Betrieb der Webseite der Beklagten nicht erforderlich sei:
„Eine große Verbreitung der Plugins oder Vorteile für die Beklagte auf Grund eines Marketing-Effekts führen nicht dazu, dass diese das Plugin in der beanstandeten Weise zwingend einzusetzen hätte.“
_ 2-Klick-Lösung als Alternative
Die Einbindung von Drittinhalten werde durch das im Urteil ausgesprochene Verbot nicht unmöglich gemacht:
„Will die Beklagte weiterhin die Vorteile einer Verknüpfung mit Facebook nutzen, so muss sie lediglich die Rechte derer, die eine Drittweitergabe ihrer Daten weder erwarten, noch wünschen, angemessen beachten, etwa durch das von ihr nunmehr auch angewendete sog. ‚2 Klick-Verfahren‘, bei dem der Datenweiterleitung eine Einverständnisabfrage vorgeschaltet ist.“
_ Datenschutzrecht: Verbraucherschutzgesetz und Marktverhaltensregel
Die §§ 12 und 13 TMG seien nicht nur Verbraucherschutzgesetze nach § 2 Nr. 11 UKlaG in der Fassung vom 24.02.2016, sondern auch Marktverhaltensregeln im Sinne von § 3a UWG:
„Gesetze, die die Erhebung von Daten betreffen, schützen im Einzelfall nicht nur das Persönlichkeitsrecht und das informationelle Selbstbestimmungsrecht, sondern auch den Wettbewerb an sich…“
Das eingesetzte Plugin diene auch dem Absatz und der Werbung der Beklagten.
Welche Auswirkung hat das Urteil auf die Praxis rund um den Facebook-Like-Button?
Das Urteil verweist auf das „2-Klick-Verfahren“ als eine Möglichkeit, den Facebook-Like-Button in die eigene Website einzubinden. Hierbei handelt es sich um den von c’t herausgebrachten „Shariff“, bei dem die Social-Media-Buttons von Facebook, Twitter und Google+ zunächst inaktiv (gegrayt) sind und erst durch einen Klick des Nutzers aktiv werden.
Der Bundesgerichtshof (BGH) entschied in seinen beiden Urteilen vom 26.11.2015, dem Urteil „Störerhaftung des Access-Providers“, Az. I ZR 174/14, sowie dem weiteren Urteil zum gleichen Thema unter dem Az. I ZR 3/14 ganz unauffällig in der Begründung – im Urteil I ZR 174/14 „Störerhaftung des Access-Providers“ unter Randnummer 77, im Urteil I ZR 3/14 unter Randnummer 64 – und ohne ausführliche Erörterung der bisherigen Rechtsmeinungen, dass die IP-Adresse zu den personenbezogenen Daten gehört.
Das Landgericht Düsseldorf folgt dieser Linie.
Das Urteil des LG Düsseldorf vom 09.03.2016 ist noch nicht rechtskräftig. Es muss nun also abgewartet werden, ob die unterlegene Beklagte gegen das Urteil noch Rechtsmittel einlegen wird. Eines steht aber schon jetzt fest: Sorglos eingebundene Social-Media-Plugins wie auch wackelige Datenschutzerklärungen werden in Zukunft ein großes Thema sein – die neueste Rechtsprechung bietet Stoff für die eine oder andere Abmahnung. Aber noch eines sollte zu denken geben: Umsichtig praktizierter und offensiv kommunizierter Datenschutz ist immer auch ein Marketing-Instrument. Grund genug, sich dem Datenschutz beim eigenen Web-Auftritt aufgeschlossen zu nähern.
© RA Stefan Loebisch | Kontakt