Verbraucherzentrale gewinnt vor LG Düsseldorf: Einbinden des "Like"-Buttons auf Website verletzt Datenschutzregeln
© DDRockstar - Fotolia.com
Wer Facebooks Like-Button auf seiner Website integriert, verstößt gegen Datenschutzrecht. Das entschied das LG Düsseldorf - mit derzeit unabsehbaren Folgen für Webseitenbetreiber, erklärt Dario Struwe.
Es ist eine der Selbstverständlichkeiten des Online-Zeitalters. Kaum eine Webseite bindet die Buttons der sozialen Medien nicht ein, über welche Nutzer kundtun können, dass ein Inhalt ihnen zusagt. So teilen sie Inhalte über Facebook, Twitter, Xing, Google+ und Co, machen sie im besten Fall viral bekannt - und machen damit kostenlose Werbung für die Unternehmen.
Datenschützer aber stufen ihn seit langem als datenschutzrechtlich unzulässig bzw. zumindest bedenklich ein. Der Like-Button von Facebook, gegen den in dem vom Landgericht (LG) Düsseldorf entschiedenen Verfahren die Verbraucherzentrale Nordrhein-Westfalen vorging, setzt auf dem Rechner des Nutzers sogenannte Cookies. Dadurch sendet er sofort bei Aufruf der jeweiligen Website durch den Nutzer dessen Daten, u.a. die IP-Adresse, an Facebook in die USA – selbst wenn der Nutzer gar nicht bei Facebook registriert ist. Widersprechen kann der User vorab einer solchen Datenübermittlung nicht, ihr zustimmen ebenso wenig. Zudem wird er weder von dem Betreiber der Website noch von Facebook darüber informiert, welche Daten zu welchen Zwecken an wen übertragen werden.
Das LG Düsseldorf hat nun entschieden, dass diese Nutzung des Like-Buttons – und damit die Übersendung der Daten an Facebook in die USA – Datenschutzvorschriften verletzt, weil die Daten ohne die informierte, ausdrückliche Zustimmung der Nutzer übertragen würden (Urt. v. 09.03.2016, Az. (Az. 12O 151/15).
Mächtige Gegner
Der vorerst unterlegene Gegner in dem Verfahren ist Peek & Cloppenburg, eines von mehreren von der Verbraucherzentrale Nordrhein-Westfalen wegen der Integration des Facebook-Like-Buttons abgemahnten Unternehmen. Das Reiseportal HRS, Nivea (Beiersdorf), das Bonus-System Payback, der Tickethändler Eventim, der Bekleidungshändler Peek & Cloppenburg (Fashion ID) und der Textildiscounter KIK haben hierauf sehr unterschiedlich reagiert:
- HRS, Beiersdorf, Eventim und KIK haben eine Unterlassungserklärung abgegeben und sich dazu verpflichtet, die beanstandeten Social-Media-Buttons auf ihren Webseiten nicht mehr zu verwenden und den von den Vebraucherschützern geforderten Aufklärungspflichten nachzukommen;
- Beiersdorf hat zudem auf die Integration des Like-Buttons verzichtet und diesen von der Website entfernt;
- HRS, Eventim und KIK verwenden zwar weiterhin Social Media PlugIns, setzen aber eine technische Lösung ein, die eine automatische Übertragung von Daten an Facebook unterbindet;
- Gegen Peek & Cloppenburg und Payback hat die Verbraucherzentrale Klagen in Düsseldorf bzw. München eingereicht.
Die Reaktion: Peek & Cloppenburg steigt auf Zwei-Klick-Lösung um
Der Bekleidungshändler hat bereits auf das Düsseldorfer Urteil reagiert. Auf der abgemahnten Website müssen nun Social-Media-Inhalte ausdrücklich aktiviert werden. Somit ist eine automatische Übersendung von Nutzerdaten ausgeschlossen. Dort heißt es jetzt:
Social Media aktivieren
Aktivieren Sie Social Media, wenn Sie Inhalte in sozialen Netzwerken teilen möchten.
Mit der Aktivierung von Social Media stimmen Sie zu, dass Daten an die Betreiber der sozialen Netzwerke übertragen werden. Weitere Informationen hierzu finden Sie in unseren Datenschutzbestimmungen.
Dieses Vorgehen ist nicht neu. Es wird allgemein als "Zwei-Klick-Lösung" bezeichnet. Aber auch deren Einsatz ist nicht unbedenklich und unter Datenschützern umstritten. Denn eine wirksame Einwilligung in die Datenübertragung setzt auch immer eine vorausgehende Information voraus: über die erhobenen personenbezogenen Daten, den Zweck ihrer Erhebung und ihre Empfänger.
Peek & Cloppenburg hat aber - wie auch jeder andere Betreiber einer Website - gar keinen Einfluss darauf, welche Daten zu welchen Zwecken an Facebook übertragen werden.
Verweis auf Datenschutzerklärungen reicht nicht
Entsprechend wird bei Einsatz der Zwei-Klick-Lösung oft schlicht auf die jeweils einschlägigen Datenschutzerklärungen von Facebook, Twitter und Co. verwiesen. Ob ein solcher Verweis ausreichend ist, ist aber wiederum fraglich – zumal sich aus diesen Datenschutzerklärungen oftmals gar nicht genau bestimmen lässt, welche Daten zu welchen Zwecken verwendet werden. Daher stehen diese Erklärungen oftmals ihrerseits selbst in der Kritik der Datenschutzbehörden.
Die Datenschützer argumentieren daher, dass mangels ausreichender Information der Nutzer über die Verwendung ihrer Daten gar keine wirksame Einwilligung erfolgen könne – auch nicht von denjenigen Nutzern, denen die Datenverarbeitung egal sei.
Zu berücksichtigen ist andererseits, dass sich das LG Düsseldorf in seiner Entscheidung insbesondere auf die Übertragung der IP-Adressen der Nutzer bezieht. Ob IP-Adressen überhaupt personenbezogene Daten darstellen, d.h. dem Datenschutz unterfallen, ist aber umstritten, der Bundesgerichtshof hat diese Frage dem Europäischen Gerichtshof (Rs. C-582/14) vorgelegt (Beschl. v. 28.10.2014, Az. VI ZR 135/13).
Zudem steht die Entscheidung des LG München hinsichtlich der Klage gegen Payback noch aus.
Ob die Nutzung von Social Media PlugIns wie dem Facebook-Like-Button in Zukunft überhaupt noch datenschutzkonform möglich sein wird, bleibt daher auch nach der Entscheidung des LG Düsseldorf völlig offen.
Der Autor Dr. Dario Struwe ist für die Frankfurter Kanzlei FPS tätig. Er berät und vertritt nationale und internationale Unternehmen insbesondere im IT-, Urheber- und Wettbewerbsrecht sowie in Fragen des Datenschutzes.
