Das Landgericht (LG) Düsseldorf entschied gestern im Rechtsstreit zwischen der Verbraucherzentrale NRW und der Unternehmensgruppe Peek & Cloppenburg KG, dass der so genannte Facebook Like-Button in der ursprünglichen Form auf der Firmenseite des Modehändlers gegen das Datenschutzrecht verstoße (LG Düsseldorf, Urteil vom 09.03.2016, Az. 12 O 151/15). Das Gericht gab somit der Verbraucherzentrale Recht, die die Einbindung des Facebook Like-Button auf mehreren bekannten Webseiten gerügt hatte. Das Hauptargument: Facebook wertet bereits beim Aufruf der Seite durch den Nutzer erhebliche Daten aus, selbst wenn dieser gar nicht auf dem sozialen Netzwerk angemeldet ist.
Der Facebook Like-Button („Gefällt-mir“ Button) ist den deutschen Datenschützern schon seit Jahren ein Dorn im Auge. Ist dieser doch auf gefühlt 90 Prozent aller deutschsprachigen Webseiten integriert, um die Nutzer zu animieren, sich auf Facebook mit dem jeweiligen Unternehmen zu verknüpfen. Der Like-Button kann durch die manuelle Integration des Code-Schnipsels im Quellcode der Seite oder bei z.B. WordPress durch zahlreiche social plugins sehr einfach integriert werden und ist für die meisten Seitenbetreiber (und Social Media Abteilungen) längst ein „must have“. Doch trotz der einfachen Bedienung weiß niemand so recht, welche Analyseprogramme im Hintergrund des Browsers zwischengeschaltet sind, die ihre Ergebnisse auf die Server und Facebook-Server ablegen. Ob nun in anonymisierter Form oder nicht: Es werden möglicherweise etliche Nutzerdaten wie beispielsweise die IP-Adresse und Datum des Seitenbesuchs – nach hiesiger Auffassung – als personenbezogene Daten im Sinne von § 3 Abs. 1 Bundesdatenschutzgesetz (BDSG) auf die Server in die USA übermittelt, dort gesammelt und unter Umständen mit anderen Daten zusammengeführt werden . Im „worst case“ entsteht auf diese Weise eine lange Liste, auf welchen Seiten der Facebook-Nutzer X oder auch das Nichtmitglied Y zum Zeitpunkt Z unterwegs war und was angeklickt worden ist. Über weitere Meta-Daten und Speicherdauer, Umfang usw. kann nur spekuliert werden. Wird die Seite über das Smartphone aufgerufen, könnten theoretisch sogar noch Standortdaten übermittelt werden. Damit hinterlässt der User ein Zustandstripel aus Gegenstand, Ort und Zeit. Wie viel Aussagekraft und Geldwert dieses Datensammelsurium hat, kann sich jeder an den Umsätzen von facebook ansehen.
Aus diesem Grund ging die Verbraucherzentrale Nordrhein-Westfalen (VZ) schon im Frühjahr 2015 dagegen vor und mahnte mehrere Unternehmen ab, die den Like-Button auf Ihren Webseiten integriert hatten. Von den insgesamt 6 abgemahnten Unternehmen hatten vier bereits eine Unterlassungserklärung abgegeben und die Funktion entfernt. Gegen die Unternehmensgruppe Peek & Cloppenburg KG und das Unternehmen Payback erhob die VZ sodann später die Klage wegen eines Verstoßes gegen das Wettbewerbsrecht nach dem UWG.
Aus datenschutzrechtlicher Sicht ist es von entscheidender Bedeutung, inwieweit der Seitenbetreiber seine Seitenbesucher über die datenschutzrechtlich bedenkliche Übermittlung von personenbezogenen Daten an Server von Facebook in die USA und dazwischen befindliche Schnittstellen aufklärt und ob sie in diesem technischen Vorgang im Hintergrund der Webseite ausdrücklich einwilligen – aber auch diesem widersprechen können. Hieran fehlt es in der Regel, wenn der Facebook Like-Button in der ursprünglichen Form bereits beim Seitenaufruf aktiviert ist und keinerlei (optisch auffälliger) Hinweis auf die Datenverarbeitung erfolgt.
Deshalb entwickelten bereits einige Programmierer vermeintlich datenschutzkonforme Like-Buttons und Social Plugins, bei welchen analog des „Double Opt-in“ das zweimalige „aufklappen“ bzw. bestätigen erforderlich ist, ehe die Funktion der verlinkten sozialen Netzwerke aktiviert wird. Allerdings fehlt auch hierbei die vorherige Aufklärung des Nutzers über Umfang und Zweck der Datenübermittlung. Diese „Zwei-Klick“-Variante stand zwar in diesem Rechtstreit nicht zur Diskussion, könnte aber zukünftig die Gerichte abermals beschäftigen.
Das LG Düsseldorf (Urteil vom 09.03.2016, Az. 12 O 151/15) folgte in seinem Urteil grundsätzlich der Ansicht der Verbraucherzentrale NRW. Das Gericht sah den Datenschutzverstoß durch die Nutzung des Facebook Like-Button in der beanstandeten Art und auch die damit einhergehende Übermittlung der Daten des Nutzers an Server in die USA ohne die informierte und ausdrückliche Einwilligung des Nutzers als begründet an.
Die vom Gericht vorgenommene Prüfung der Rechtslage erfolgt angesichts der Vorgehens der Verbraucherzentrale auf Grundlage des Wettbewerbsrecht. So sei die Einbindung unlauter im Sinne von § 3a UWG i.V.m. § 13 TMG , da der Seitenbetreiber hiermit den datenschutzrechtlichen Vorschriften zuwiderhandele und der Verstoß auch geeignet sei, die Interessen der Verbraucher spürbar zu beeinträchtigen. Ein Rechtsverstoß gegen § 12, 13 TMG wurde bejaht. Zudem sei auch der Gefällt-mir Button nicht unabdingbar für den Betrieb einer Seite. Ferner soll ein Hinweis diesbezüglich in den Datenschutzbedingungen auch nicht ausreichen.
Welche Folgen könnte diese Entscheidung haben?
Das Urteil ist noch nicht rechtskräftig. Und auf die Entscheidung im Rechtsstreit in gleicher Sache gegen Payback vor dem LG München ist noch zu warten. Es kann somit nur darüber spekuliert werden, ob diese Entscheidung rechtskräftig wird und welche Folgen daraus entstehen. Die VZ begrüßte und feierte das Urteil hingegen bereits jetzt schon als Sieg des Verbrauchers:
„[..] Mit dem heutigen Urteil des LG Düsseldorf hat die Verbraucherzentrale NRW nun eine Stärkung der Datenschutzrechte von Verbrauchern in puncto Facebook-Like-Button erreicht. „Der Praxis von Facebook, Daten ohne Wissen und Einwilligung der Nutzer abzugreifen, wird nun ein Riegel vorgeschoben“, bringt Wolfgang Schuldzinski, Vorstand der Verbraucherzentrale NRW die Bedeutung des Landgerichturteils für den Verbraucherschutz auf den Punkt.[..]“ (Pressemitteilung VZ vom 09.03.2016)
Es wäre denkbar, dass zukünftig zahlreiche weitere Unternehmen durch die VZ oder andere abmahnfähige Verbände abgemahnt werden mit dem Hinweis auf dieses Urteil! Grundsätzlich steht es nach dem UWG sogar jedem Mitbewerber zu, Ansprüche nach § 8 ff UWG bei unlauteren geschäftlichen Handlungen eines Konkurrenten geltend zu machen. Fraglich ist, ob der Verstoß gegen das Datenschutzrecht auch als ein Wettbewerbsverstoß zu qualifizieren ist.
Um sich vor Abmahnungen und teuren Rechtsstreitigkeiten zu schützen, könnte die Facebook „Gefällt-mir“ Schaltfläche schneller aus dem Netz wieder verschwinden als gedacht oder möglicherweise durch die 2-Klick-Lösung ersetzt werden, über welche dann die Gerichte zu befinden haben werden. Auch müsste wohl der rechtliche Hinweis bezüglich des Datenschutzes bei den social plugins deutlich auffälliger und erkennbarer gestaltet werden, wie auch immer dies aussehen wird. Die Entscheidung kann sich also in einem nächsten Schritt auch auf ähnliche Funktionen bei twitter, xing und anderen Social Media Diensten auswirken. Bekannte Rechtsanwälte aus dem Medienrecht raten bereits zum Einsatz der 2-Klick-Variante. Die Rechtsanwälte dürften sich vielleicht über diese zusätzliche Arbeit freuen. Wer auf der sicheren Seite sein will, sollte also derartige Like/Share Schaltflächen gänzlich von seiner Webseite verbannen.
Ungeachtet dessen ist es nicht ganz unwahrscheinlich, dass sich der Bundesgerichtshof (BGH) mit diesem Fall noch zu beschäftigen haben wird (wenn es also in die nächste Instanz geht). Zu viele grundlegende Rechtsfragen sind von dieser Thematik tangiert. So ist es immer noch umstritten, ob die IP-Adresse als ein personenbezogenes Datum nach dem BDSG gilt und wie eine datenschutzrechtskonforme Einwilligung des Nutzers in die Übermittlung und Auswertung seiner personenbezogenen Daten durch die sozialen Netzwerke auszusehen hat. Zumal im Datenschutzrecht bekanntlich derzeit viel im Wandel ist.
Offen ist derzeit auch, inwieweit sich die Datenschutzbehörden der Thematik erneut öffentlich und nachdrücklich annehmen, die ihrerseits schon im Jahre 2011 rechtliche Bedenken geäußert haben.
“[..]In Deutschland ansässige Unternehmen, die durch das Einbinden von Social Plugins eines Netzwerkes auf sich aufmerksam machen wollen oder sich mit Fanpages in einem Netzwerk präsentieren, haben eine eigene Verantwortung hinsichtlich der Daten von Nutzerinnen und Nutzern ihres Angebots. Es müssen zuvor Erklärungen eingeholt werden, die eine Verarbeitung von Daten ihrer Nutzerinnen und Nutzer durch den Betreiber des sozialen Netzwerkes rechtfertigen können. Die Erklärungen sind nur dann rechtswirksam, wenn verlässliche Informationen über die dem Netzwerkbetreiber zur Verfügung gestellten Daten und den Zweck der Erhebung der Daten durch den Netzwerkbetreiber gegeben werden können.[..]“ (Vgl. Entschließung des Düsseldorfer Kreises vom 8. Dezember 2011)
In Betracht käme die Anordnung eines Bußgeldverfahren nach § 43 BDSG für die verantwortliche Stelle.
Viel ist in dieser Zeit nicht passiert, obgleich das Unternehmen Facebook eigentlich an einer rechtskonformen Einsatzmöglichkeit der wohl wichtigsten, externen Funktion seines Netzwerks interessiert sein dürfte. Insgesamt könnte durch diese Entscheidung des LG Düsseldorf nun wieder Bewegung in die Sache kommen, drohen doch eine offensichtliche Rechtsunsicherheit und Abmahn-Gefahr für unzählige Seitenbetreibern hierzulande. Zumal das Entfernen dieser social plugins zum Verlust eines bedeutenden Marketinginstruments im Internet führt.
Facebook dürfte diese Gerichtsentscheidung mit: Gefällt mir nicht – bewerten.