Facebook-Like-Button, Datenschutzrecht und das Landgericht Düsseldorf – Abmahnungen drohen

Facebook-Like-Button auf der Website eines Unternehmens – das Landgericht Düsseldorf entschied mit Urteil vom 09.03.2016, Az. 12 O 151/15:

Einem Unternehmen ist es untersagt, auf seiner Website das Social-Plugin „Gefällt mir“ („Like-Button“) von Facebook zu integrieren, ohne die Nutzer vorab darüber zu informieren, dass Facebook Zugriff auf die IP-Adresse und den Browserstring des Nutzers nimmt und ohne insoweit ausdrücklich und unübersehbar über den Zweck der Erhebung und Verwendung der an Facebook übermittelten Daten aufzuklären.

Einem Unternehmer ist es auch untersagt, das Social Plugin „Gefällt mir“ („Like-Button“) von Facebook zu verwenden, ohne vorab die Einwilligung des Nutzers in die Datenverwendung einzuholen.

Oder zusammengefasst: Wer auf der eigenen Website den „Gefällt mir“-Button so einbaut, wie er von Facebook angeboten wird, verstößt gegen Datenschutzrecht – und kann deshalb abgemahnt werden.

Facebook-Like-Button und das Landgericht Düsseldorf – worum geht es?

Klägerpartei: Verbraucherzentrale Nordrhein-Westfalen. Beklagt: Fashion ID GmbH & Co. KG, die den Webshop für Bekleidung verschiedener Hersteller für das Bekleidungshaus Peek & Cloppenburg KG aus Düsseldorf betreibt. In die Website der Beklagten war der Facebook-Like-Button („Gefällt mir“) eingebaut.

Die Verbraucherzentrale mahnte die Beklagte unter Hinweis darauf ab, die Integration der Funktion „Gefällt mir“ verstoße gegen Wettbewerbs- und Telemedienrecht, und forderte zur Abgabe einer strafbewehrten Unterlassungserklärung auf. Die Beklagte änderte daraufhin die Einbindung des Buttons ab. Auf der Seite ist der Button nunmehr nur noch in einer sog. „2-Klick-Lösung“ eingebunden. Eine Unterlassungserklärung aber gab die Beklagte nicht ab. Daraufhin machte der Kläger seinen Unterlassungsanspruch vor dem LG Düsseldorf geltend.

Landgericht Düsseldorf: Facebook-Like-Button und das deutsche Datenschutzrecht

Das Landgericht Düsseldorf entschied, dass (dynamische) IP-Adressen stets personenbezogene Daten sind und die beklagte Seitenbetreiberin als verantwortliche Stelle im Sinne des Datenschutzrechts haftet.

IP-Adresse gehört zu personenbezogenen Daten

Die IP-Adresse des Nutzers gehöre zu den personenbezogenen Daten:

„Bereits mit dem Besuch der Webseite der Beklagten werden Nutzungsdaten, also Daten, die erforderlich sind, um eine Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (§ 15 Abs. 1 S. 1 TMG) erhoben. Zu solchen gehören nämlich auch Merkmale zur Identifikation des Nutzers, wie dessen IP-Adresse (vgl. Föhlisch/Pilou, a.a.O., S. 632).

Die Daten sind personenbezogen.“

Bereits der Bundesgerichtshof (BGH) entschied in seinen beiden Urteilen vom 26.11.2015, dem Urteil „Störerhaftung des Access-Providers“, Az. I ZR 174/14, sowie dem weiteren Urteil zum gleichen Thema unter dem Az. I ZR 3/14 ganz unauffällig in der Begründung – im Urteil I ZR 174/14 „Störerhaftung des Access-Providers“ unter Randnummer 77, im Urteil I ZR 3/14 unter Randnummer 64 – und ohne ausführliche Erörterung der bisherigen Rechtsmeinungen, dass die IP-Adresse zu den personenbezogenen Daten gehört.

Das Landgericht Düsseldorf folgt dieser Linie.

Nicht entscheidend ist nach Auffassung der Düsseldorfer Richter, ob Nutzer bei Aufruf der Seite in ihrem Facebook-Account eingeloggt sind:

„Nutzer der Beklagtenseite, die bei deren Aufruf auf Facebook eingeloggt sind, können mittels der IP-Adresse direkt ihrem Facebook-Konto zugeordnet werden, so dass für diese Gruppe ein Personenbezug gegeben ist. Auch bei Facebook-Nutzern, die sich zwar ausloggen, jedoch nicht ihre Cookies löschen, kann mittels gesetzter Cookies eine Zuordnung erfolgen.“

Website-Betreiber sind verantwortliche Stellen gemäß Datenschutzrecht

Die Beklagte sei die verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG:

„Während die Anbieterin des Plugins ohne Zweifel die Daten verarbeitet, beschafft die Beklagte diese im vorgenannten Sinne. Durch das Einbinden des Plugins ermöglicht sie die Datenerhebung und spätere Verwendung der Daten durch Facebook. Sie könnte durch ein Entfernen des Buttons den Zugriff von vorneherein verhindern bzw. durch eine vorgeschaltete Abfrage bei den Nutzern, ob die Funktionalität aktiviert werden soll, den Zugriff auf die Daten und hierdurch deren Verwendung einschränken. Bei der Beklagten handelt es sich nicht um eine Auftragnehmerin von Facebook, sondern sie wirkt durch die Einbindung des Plugins unmittelbar an der Erhebung durch Facebook mit. Ihre Entscheidung und die technische Implementierung sorgen dafür, dass die Erhebung und die Verarbeitung stattfinden.

(…)

Die Erhebung der Daten zu deren Verwendung findet damit im eigenen Tätigkeits-und Haftungsbereich der Beklagten statt.

(…)

Die Eigenschaft als verantwortliche Stelle ist nicht streng an den Besitz der Daten und die physische Herrschaft über den Verarbeitungsprozess gebunden. Löst ein Webseitenbetreiber durch die Einbindung von Drittinhalten in das eigene Angebot einen Verarbeitungsprozess aus, ist er hierfür auch datenschutzrechtlich verantwortlich. Denn allein durch konkrete Gestaltung der Webseite wird die Datenweitergabe an Facebook und damit die Datennutzung initiiert...“

Die Datenübermittlung sei nicht nach § 15 TMG gerechtfertigt, da sie für das Funktionieren und den Betrieb der Webseite der Beklagten nicht erforderlich sei:

„Eine große Verbreitung der Plugins oder Vorteile für die Beklagte auf Grund eines Marketing-Effekts führen nicht dazu, dass diese das Plugin in der beanstandeten Weise zwingend einzusetzen hätte.“

2-Klick-Lösung als Alternative

Die Einbindung von Drittinhalten wie etwa dem Facebook-Like-Button wird durch das Urteil aus Düsseldorf aber nicht völlig unmöglich gemacht:

„Will die Beklagte weiterhin die Vorteile einer Verknüpfung mit Facebook nutzen, so muss sie lediglich die Rechte derer, die eine Drittweitergabe ihrer Daten weder erwarten, noch wünschen, angemessen beachten, etwa durch das von ihr nunmehr auch angewendete sog. ‚2 Klick-Verfahren‘, bei dem der Datenweiterleitung eine Einverständnisabfrage vorgeschaltet ist.“

Datenschutzrecht ist Verbraucherschutzgesetz und ist Marktverhaltensregel – und deshalb Grundlage für Abmahnungen

Die hier entscheidenden datenschutzrechtlichen Normen, nämlich §§ 12 und 13 TMG, sind nach den Festellungen des Landgerichts Düsseldorf nicht nur Verbraucherschutzgesetze nach § 2 Nr. 11 UKlaG in der Fassung vom 24.02.2016, sondern auch Marktverhaltensregeln im Sinne von § 3a UWG:

„Gesetze, die die Erhebung von Daten betreffen, schützen im Einzelfall nicht nur das Persönlichkeitsrecht und das informationelle Selbstbestimmungsrecht, sondern auch den Wettbewerb an sich …“

Technischer und datenschutzrechtlicher Hintergrund beim Facebook-Like-Button

Der in eine Website als Plugin integrierte Facebook-Like-Button ist nach bisheriger Kenntnis so konfiguriert, dass er sofort bei Aufruf der Seite Daten desjenigen Rechners, mit dem die Seite besucht wird, erfasst und an Facebook überträgt – und zwar unabhängig davon, ob auf „Gefällt mir“ geklickt wird oder nicht.

In der Sprache des Datenschutzrechts liegt damit eine Datenübermittlung an Facebook vor. Für eine solche – hier ja für den Betrieb der Website nicht zwingend erforderliche – Datenübermittlung muss der Seitenbetreiber als „verantwortliche Stelle“ die Einwilligung des Betroffenen, also des Seitenbesuchers, einholen. Und diese Einwilligung ist, so die zwingende Vorgabe des Datenschutzrechts, einzuholen, bevor die Datenerfassung und die Datenübertragung beginnt.

Hier liegt beim Facebook-Like-Button das Problem: Der Seitenbesucher wird auf den Like-Button erst aufmerksam, nachdem die Seite im Browser aufgebaut ist – indem er den Like-Button sieht. Nun erst kann er in der vorgeschriebenen Weise darüber belehrt werden, dass dieses Plugin im Hintergrund Daten erfasst und überträgt, und im Anschluss erst kann der Besucher seine Einwilligung erteilen – oder verweigern. Zu diesem Zeitpunkt ist es aber längst zur Datenübertragung gekommen, wenn der Like-Button in seiner Standard-Konfiguration in die Seite eingebunden ist.

Welche Auswirkung hat das Urteil auf die Praxis rund um den Facebook-Like-Button?

Das Urteil verweist auf das „2-Klick-Verfahren“ als eine Möglichkeit, den Facebook-Like-Button (und die Social-Media-Buttons von Twitter und Google+) in die eigene Website einzubinden. Hierbei sind die Buttons beim Aufruf der Seite noch inaktiv (ausgegraut). Durch einen ersten Klick des Seitenbesuchers werden die Buttons zunächst aktiviert, was sich daran zeigt, dass sie nun farbig dargestellt sind. Erst durch einen zweiten Klick auf den jeweiligen Button drückt der Besucher das „gefällt mir“ aus oder teilt den Inhalt über Twitter oder Google+. So erhält der Besucher die Gelegenheit, zunächst die Datenschutzerklärung der Seite durchzulesen – die freilich die erforderlichen Angaben zu den Social-Media-Plugins enthalten muss …

Das Urteil des LG Düsseldorf vom 09.03.2016 ist noch nicht rechtskräftig. Es muss also zunächst abgewartet werden, ob die unterlegene Beklagte gegen das Urteil noch Rechtsmittel einlegen wird. Darauf kommt es aber nicht an. Alleine bereits aufgrund der beiden Urteiles des Bundesgerichtshofs steht aber schon jetzt fest: Sorglos eingebundene Social-Media-Plugins wie auch wackelige Datenschutzerklärungen werden in Zukunft ein großes Thema sein – die neueste Rechtsprechung bietet Stoff für die eine oder andere Abmahnung.

Aber noch eines sollte am Ende zu denken geben: Umsichtig praktizierter und offensiv kommunizierter Datenschutz ist immer auch ein Marketing-Instrument. Datenschutz schafft Vertrauen und trägt zur Kundenbindung bei. Grund genug, sich um den Datenschutz beim eigenen Web-Auftritt zu kümmern.