Social Plugins von Facebook, Twitter und Co (wie beispielsweise der Facebook Like-Button) gehören mittlerweile zum Standardrepertoire von Internetseiten. Vorteile die sich Webseitenbetreiber hierdurch erhoffen sind Kundenbindung, Personalisierung der User-Experience, zielgerichtetes Marketing und viele mehr.
Einzige Hürde ist der Datenschutz: Die Social Plugins sind technisch so beschaffen, dass die IP-Adresse des Users bereits beim ersten Aufruf der Webseite automatisch an den jeweiligen Social Media Dienst übermittelt wird. Hierbei sind die Tracking-Möglichkeiten der Social Networks nicht trivial, denn getrackt wird alles – von Beginn bis Ende des Webseitenbesuchs. Hat der jeweilige Nutzer zudem noch ein eigenes Konto bei dem betreffenden Social Media Dienst, werden alle gesammelten Daten dem Konto zugeordnet – wenn er während dem Besuch eingeloggt ist, sofort, wenn er sich später einloggt, dann im Nachgang.
Datenschutzrechtlich ist die Einbettung der Social Plugins schon lange in Diskussion. Vor allem hinsichtlich der Fragen, ob es einer Einwilligung des Nutzers für das Tracking und die Datenübermittlung an die Social Media Dienste bedarf, wie diese technisch umzusetzen ist und was alles Inhalt der Datenschutzerklärung sein muss.
Nun hat sich das Landgericht Düsseldorf – als eins der wenigen Urteile, die es zu diesem Thema gibt – dazu ausgesprochen und näher definiert, unter welchen Voraussetzungen Social Plugins auf Webseiten eingebettet werden können.
Hintergrund
In dem vom Landgericht Düsseldorf zu entscheidenden Fall hatte die Beklagte den Facebook Like-Button in ihren Online-Shop eingebettet. Dieses Plugin bewirkte, dass bei jedem Aufruf der Internetseite – und nicht erst bei Betätigung des in dem Plugin vorhandenen Gefällt-mir Buttons – automatisch Daten an Facebook übertragen wurden, die es Facebook anschließend möglich machten, eine Synchronisation mit dem betreffenden Facebook-Nutzerkonto vorzunehmen. Die Beklagte hielt auf ihrer Internetseite eine von jeder Unterseite mittels eines Klicks auf den am unteren Seitenrand befindlichen Link erreichbare Datenschutzerklärung bereit. Die Beklagte hat die Internetnutzer darin auf die Nutzung des Facebook Plugins und auf die Blockierungsmöglichkeit durch sog. Add-Ons hingewiesen und im Übrigen auf die Datenschutzerklärung von Facebook verwiesen.
Der Kläger ist ein Verbraucherschutzverband. Dieser verlangte von der Beklagten die Unterlassung der Integration des Plugins ohne Einwilligung und Aufklärung der Nutzer. Er argumentierte im Wesentlichen damit, dass die Datenweitergabe an Facebook ohne vorherige aktive Einwilligung des Nutzers unzulässig ist und die Datenschutzerklärung, die nicht schon vor der Datenweitergabe an Facebook den Nutzer aufklärt, nicht die gesetzlichen Voraussetzungen erfülle.
Die Beklagte stellte sich hauptsächlich auf den Standpunkt, dass die Nutzer in ihrer Datenschutzerklärung, die auf jeder ihrer Internetseiten einfach über einen Link abrufbar sei, rechtzeitig, also bei Beginn der Nutzung über die Datenverwendung durch Facebook informiert hat. Eine Pflicht zur Information des Nutzers darüber, was Facebook mit den Daten macht, träfe sie nicht. Zu diesbezüglichen Belehrungen sei Facebook selbst gesetzlich verpflichtet.
Zur Entscheidung
Das Landgericht Düsseldorf hat entschieden, dass die Beklagte den Nutzer bei Beginn des Nutzungsvorgangs über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb Europas nicht richtig unterrichtet habe.
Zunächst stellte das Gericht fest, dass es sich bei den an Facebook übermittelten Daten, wie der IP-Adresse um personenbezogene Daten handelt, da Nutzer der betreffenden Webseite, die während des Besuchs in ihrem Facebook-Konto eingeloggt sind, direkt zugeordnet werden können und bei denen die ausgeloggt sind mittels gesetzter Cookies zu einem späteren Zeitpunkt eine Zuordnung zu ihrem Facebook-Konto erfolgen könne.
Das Landgericht führte weiterhin aus, dass die Beklagte auch verantwortliche Stelle für die Datenerhebung sei, da die Datenerhebung technisch in ihrem eigenen Tätigkeits- und Haftungsbereich stattfinde und deshalb ein Link auf die Datenschutzerklärung von Facebook nicht ausreiche.
Ferner ist eine der Datenerhebung vorangehende Einwilligung des Nutzers erforderlich, da das Facebook Plugin, namentlich der Gefällt-mir-Button, nicht für den Betrieb des Online-Shops unabdinglich ist. Marketingvorteile begründen nach Auffassung des Gerichts keine Notwendigkeit der Implementierung eines Facebook Plugins.
Die Einwilligung dürfe nicht erst nachträglich eingeholt werden. Sie müsse durch eine aktive Handlung des Nutzers, wie etwa das Setzen eines Häkchens in einer Checkbox eingeholt werden. Die Einwilligung sei nur dann wirksam, wenn der Nutzer über die Weitergabe seiner Daten vorher unterrichtet wird. Zudem muss der Nutzer nach Auffassung des Gerichts auf sein Widerrufsrecht hingewiesen werden.
Die streitgegenständliche Datenschutzerklärung war dahingehend nicht ausreichend, da sie weder vor einer Weiterleitung der Daten an Facebook, noch während des Beginns der Nutzung der Internetseite über die Umstände der Datenerhebung und –weitergabe unterrichte. Der bloße Link zu einer Datenschutzerklärung in der Fußzeile der Webseite stellt, so das Landgericht, nämlich keinen ausreichenden Hinweis zu Beginn bzw. vor Einleitung des Verarbeitungsvorgangs dar.
Fazit
Zunächst klärt das Landgericht Düsseldorf mit seinem Urteil vom 9. März die lange offene und viel diskutierte Frage, wer für die Datenverarbeitung bei der Einbindung von Social Plugins verantwortlich ist und folgt der strengen Sicht der Datenschutzbehörden. Verantwortliche Stelle ist danach nicht nur der Social Media Dienst – sondern (auch) der Webseitenbetreiber. Das Gericht versteht den Begriff der Verantwortlichkeit weit und fasst darunter jede Stelle, die personenbezogene Daten über Dritte erhebt, verarbeitet oder verarbeiten lässt. Diese Entscheidung ist nachvollziehbar und aus unserer Sicht richtig. Ein Webseitenbetreiber, der das Plugin einbettet, verschafft Facebook die Möglichkeit auf die IP-Adressen seiner Webseitennutzer zuzugreifen und ist damit unmittelbar verantwortlich für den Beschaffungsprozess der Daten. Die Tatsache, dass Facebook die Daten allein weiterverarbeitet und der Webseitenbetreiber keine Kenntnis darüber hat und auch nicht beeinflussen kann, was im Verarbeitungsprozess geschieht, steht dem nicht entgegen, da es im Sinne des BDSG auch zwei nebeneinander stehende verantwortliche Stellen für dieselben Daten bzw. Datenverarbeitung geben kann. In diesem Fall haben wir eine verantwortliche Stelle für die Beschaffung der Daten (Webseitenbetreiber) und eine für die Verarbeitung (Facebook bzw. sonstiger Social Media Anbieter).
Mit diesem Urteil ist klar, dass sich jeder Webseitenbetreiber – wenn er es nicht schon getan hat – spätestens jetzt um die Erfüllung der rechtlichen Anforderungen an die Einbindung von Social Plugins kümmern muss. Diese sind rechtlich und technisch, so wie das Urteil sie ausführt, als hoch einzustufen:
- Der Nutzer einer Internetseite mit integriertem Social Plugin muss durch eine aktive Handlung seine Einwilligung in die Datenweitergabe erteilen.
- Er muss vor Übermittlung seiner IP-Adresse an den jeweiligen Social Media Anbieter ausführlich über die Datenverarbeitung aufgeklärt und
- auf die Widerrufsmöglichkeit hingewiesen werden.
Der besonders vorsichtige Internetseitenbetreiber, müsste – um den Anforderungen des LG Düsseldorf zu genügen – ein Pop-Up-Fenster oder einen Banner mit einer Einwilligungserklärung einführen. Nach Ansicht des Gerichts sollte dies ein Opt-in mit Checkbox sein. Dies müsste, wenn man das Urteil ernst nimmt, so ausgestaltet sein, dass die Datenübertragung erst nach Anklicken eines Häkchens erfolgt. Eine Einwilligung in der Datenschutzerklärung oder bei der Registrierung genügt danach nicht, da die Einwilligung der Datenverarbeitung vorangehen müsse.
Diese Argumentation und die Forderung nach einem ausdrücklichen Opt-in ist durchaus angreifbar.
Beispielsweise hat vor kurzem das OLG Frankfurt in einem Fall, wo es um die Zulässigkeit des Einsatzes von Cookies ging, eine Einwilligung per Opt-Out ausdrücklich für rechtmäßig angesehen.
Fest steht aber jedenfalls, dass Unternehmen vermehrt Post von Verbraucherverbänden bekommen werden. Die jetzige Entscheidung war noch auf Wettbewerbsrecht gestützt, durch eine Gesetzesänderung des Unterlassungsklagengesetzes wird es zukünftig für Verbraucherverbände jedoch noch leichter sein, wegen Datenschutzverstößen klagen. Durch die Gesetzesänderung wurde ihnen nämlich expliziert auch ein Klagerecht bei Datenschutzverstößen eingeräumt.
Empfehlung
Wir empfehlen die 2-Klick-Lösung oder das etwas benutzerfreundlichere Shariff-Tool vom Heise-Verlag zu nutzen und in die Webseite einzubinden. Damit wird der Hauptkritikpunkt des Urteils abgefangen und zwar die unkontrollierte Datenübermittlung an Facebook. Dies könnte man mit einem kurzen Infotext über die Weitergabe der Daten an den Social Media Dienst kombinieren, der auf detailliertere Informationen in der Datenschutzerklärung verweist.
In Einzelfällen ist durchaus auch vorstellbar, dass eine Einwilligung nicht erforderlich ist, wenn es sich z.B. um eine Internetseite handelt, die extra dafür angelegt ist, mit Social Plugins zu interagieren, beispielsweise wenn Sinn und Zweck der Internetseite das Teilen von Inhalten ist, da man dann von einer Unabdingbarkeit der Plugins ausgehen könnte. Solche Fälle werden aber selten sein und bedürften der näheren Begutachtung.