Nathalie Grudzinski

13. Mai 2016

LG Düsseldorf: Facebook „Gefällt mir“-Button wettbewerbswidrig

LG Düsseldorf vom 9.3.2016: Website-Betreiber verstoßen gegen Wettbewerbsrecht, wenn sie auf ihrer Website den Facebook „Gefällt mir“-Button einbinden, ohne die Besucher/innen der Website rechtzeitig über die mit dem Facebook-Button verbundene Datenübermittlung zu unterrichten und die erforderliche Einwilligung einzuholen.

Anlass für das Urteil des LG Düsseldorf vom 9.3.2016 war die Klage der Verbraucherzentrale NRW. Die Verbraucherzentrale mahnte verschiedene namhafte Website-Betreiber ab, darunter Unternehmen wie HRS, Nivea (Beiersdorf), Payback und Peek & Cloppenburg (Fashion ID). Die Unternehmen sollten die Einbindung des Facebook-Buttons unterlassen und eine strafbewehrte Unterlassungserklärung abgeben. Einige der Unternehmen gaben anlässlich der Abmahnung eine Unterlassungserklärung ab, andere taten dies nicht – und so landete der Streit vor Gericht.

Nach Ansicht der Verbraucherzentrale muss der Website-Betreiber die Nutzer/innen über die Funktion des „Gefällt mir“-Buttons und die damit verbundene Nutzung ihrer Daten unterrichten und die Einwilligung der Nutzer in die Datennutzung einholen muss, bevor Facebook über das Plugin Zugriff auf die Daten erhält.

Das LG Düsseldorf teilte diese Ansicht.

LG Düsseldorf gibt Verbraucherzentrale Recht  

Mit dem Besuch der Website, in denen das Facebook-Plugin integriert ist, werden Nutzungsdaten der Besucher, nämlich die IP-Adresse, erhoben. Die IP-Adresse ist personenbezogen, wenn die Nutzer der Website beim Aufruf der Seite noch bei Facebook eingeloggt sind. Diese Nutzer können mit ihrer IP-Adresse ihrem Facebook-Konto zugeordnet werden. Das gleiche gilt für die Nutzer, die sich vor dem Besuch der Website bei Facebook zwar ausgeloggt haben, aber die von Facebook gesetzten Cookies noch nicht gelöscht haben.

Das LG Düsseldorf hat die Frage offen gelassen, ob auch die Nutzer betroffen sind, die bei Facebook  gar kein Konto haben bzw. die zwar ein Konto haben, aber ausgeloggt sind und die Cookies gelöscht haben. Das Gericht tendiert aber in die Richtung, dass bereits die Übermittlung von IP-Adressen eine Übermittlung personenbezogener Daten darstellt.

Website-Betreiber verantwortlich für die Datenerhebung

Der Betreiber der Website ist aus datenschutzrechtlicher Sicht verantwortlich für die Datenerhebung – selbst wenn die IP-Adresse über das Plugin von Facebook erfasst wird. Der datenschutzrechtliche Begriff der Verantwortlichkeit, so das Gericht, sei weit zu verstehen und erfasse

„jede Stelle, die personenbezogene Daten über Dritte erhebt, verarbeitet oder verarbeiten lässt. Die Erhebung besteht in einem Beschaffen von Daten, § 3 Abs. 3 BDSG.“

Während Facebook mit Hilfe des Plugins die Daten verarbeitet, beschafft der Website-Betreiber die Daten, denn durch das Einbinden des Plugins wird die Erhebung und spätere Verwendung der Daten ermöglicht.

Facebook-Button nicht für Website-Betrieb erforderlich

Das LG Düsseldorf stellt weiter fest, dass das Einbinden des Facebook Buttons nicht für den Betrieb der Website erforderlich ist. Hier geht es um § 15 Telemediengesetz (TMG), der es den Anbietern von Telemediendiensten, also den Website-Betreibern, erlaubt, personenbezogene Daten zu erheben und zu verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen.

Da die Website aber ohne Weiteres auch ohne Facebook Plugin betrieben werden kann, ist die Datenübermittlung nicht nach § 15 TMG gerechtfertigt. Das Gericht führt dazu aus:

„Eine große Verbreitung der Plugins oder Vorteile für die Beklagte auf Grund eines Marketing-Effekts führen nicht dazu, dass diese das Plugin in der beanstandeten Weise zwingend einzusetzen hätte.“

2-Klick-Lösung datenschutzkonform?    

Die Einbindung von externen Diensten wie dem Facebook-Button ist nach Ansicht des Gerichts weiterhin möglich, die Betreiber müssten dabei nur die Rechte der Nutzer angemessen wahren.  In diesem Zusammenhang weist das Gericht auf die Möglichkeit der 2-Klick-Lösung hin, bei der die Datenweiterleitung erst nach einer Einverständnisabfrage erfolgt. Allerdings betont das Gericht zugleich, dass es die Frage offen lassen kann, ob die 2-Klick-Lösung den gesetzlichen Anforderungen genügt.

Datennutzung ohne Einwilligung der Nutzer

Das Gericht bemängelt, dass keine Einwilligung der Nutzer in die Datennutzung vorliegt.

Nach § 12 Abs. 1 TMG darf der Diensteanbieter personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat.

Die Erlaubnis kann elektronisch erteilt werden. Dann muss jedoch sicher gestellt sein, dass

  1. der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat,
  2. die Einwilligung protokolliert wird,
  3. der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und
  4. der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann, vgl. § 13 Abs. 2 TMG.

Das Gericht erläutert, dass eine Einwilligung nur zulässig ist, wenn

„sie auf der freien Entscheidung des Betroffenen beruht. Weiter ist er auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie ggf. auf die Folgen der Verweigerung der Einwilligung hinzuweisen (§ 4a abs. 1 BDSG). Dies bedeutet, dass eine Einwilligung freiwillig und informiert zu erfolgen hat. Die Einwilligung muss der Datenverarbeitung vorangehen und darf nicht erst nachträglich eingeholt werden. Die Einwilligung wiederum verlangt, dass der Nutzer über die Weitergabe seiner Daten vorher unterrichtet wird“.

Danach hätten die Nutzer, bevor das Plugin auf der Website erschien und die Datenübermittlung stattfand, eine entsprechende Erklärung abgeben bzw. anklicken müssen. Das war aber nicht der Fall. Dass der Website-Betreiber zumindest in seiner Datenschutzerklärung über das Plugin belehrte, half ihm dabei nicht. Schließlich fand auch keine Unterrichtung vor der Weiterleitung der Daten statt. Das Gericht stellt klar:

„Der bloße Link zu einer Datenschutzerklärung in der Fußzeile der Webseite stellt keinen Hinweis zu Beginn bzw. vor Einleitung des Verarbeitungsvorgangs dar.“

§ 12 und 13 Telemediengesetz (auch) zum Schutze des Wettbewerbs

Schließlich stellt das Gericht fest, dass Gesetze, die die Datenerhebung betreffen, neben dem Persönlichkeitsrecht und dem Recht auf informationelle Selbstbestimmung auch den Wettbewerb schützen.

„Das eingesetztes Plugin dient (auch) dem Absatz und der Werbung der Beklagten. Dem konkreten Verstoß kommt so auch wettbewerbliche Relevanz zu“.

Fazit

Der Facebook „Gefällt mir“-Button ist auf unzähligen Websites eingebunden, damit Besucher/innen Beiträge auf der Website mit ihren Facebook-Freunden teilen. Von dem Facebook Plugin werden Daten der Nutzer/innen an den Server des sozialen Netzwerks übermittelt – und zwar auch dann, wenn der Button gar nicht geklickt wird. So kann Facebook über das Plugin das Surfverhalten der Nutzer verfolgen (User Tracking).

Die datenschutzrechtliche Relevanz von Social Plugins ist seit langem bekannt: Schon im Jahr 2011 befasste sich das Berliner Kammergericht mit dem Facebook „Gefällt mir“-Button und stellte einen Verstoß gegen § 13 TMG fest. Das Gericht erkannte aber in der Verwendung des Facebook Plugins keinen Wettbewerbsverstoß.

Nunmehr hat das Landgericht Düsseldorf nochmals die datenschutzrechtliche Relevanz der Einbindung des Facebook-Buttons unterstrichen – und zusätzlich einen Wettbewerbsverstoß festgestellt.

In nächster Zeit wird sich zu dieser Frage auch das Landgericht München äußern, denn dort klagt die Verbraucherzentrale gegen ein anderes Unternehmen, das die Unterlassungserklärung nicht abgegeben hat.

Unabhängig davon, wie das LG München entscheidet:

Anlässlich des Urteils des LG Düsseldorf besteht die Gefahr einer Abmahnung für Website-Betreiber, die Social Plugins ohne vorherige Unterrichtung über die Datenweiterleitung und ohne Einwilligung der Nutzer verwenden.

Praxistipp: Einbindung von Social Plugins

Um einer Abmahnung vorzubeugen sollten Social Plugins von Facebook und auch die Plugins anderer sozialer Netzwerke wie Google + oder Twitter nicht wie in der oben genannten Konstellation eingebunden werden.

Stattdessen empfiehlt sich die von Heise entwickelte 2-Klick-Lösung bzw. die weiterentwickelte Version Shariff. Zwar hat das LG Düsseldorf sich nicht mit der Frage befassen müssen, ob das 2-Klick-Verfahren datenschutzkonform ist. Es ist aber in jedem Fall ein datenschutzfreundlicheres Verfahren, als die Social Plugins sofort aktiv in die Website einzubinden.

So funktioniert die 2-Klick-Lösung von Heise

Hier wird das Social Plugin zunächst in deaktivierter Fassung so in die Website eingebunden, dass kein Kontakt mit dem Server des sozialen Netzwerks hergestellt wird. Der Nutzer muss den Button durch einen Klick aktivieren – und hat es damit in der Hand, ob die Datenübertragung startet. Mit einem 2. Klick kann sodann die Empfehlung übermittelt werden.

Weiterentwicklung mit Shariff

Inzwischen wurde die 2-Klick-Lösung überarbeitet: Die ebenfalls von Heise entwickelte Version „Shariff“ kommt mit einem Klick weniger aus, denn anstelle der IP-Adresse wird nur die Server-Adresse des Nutzers an das soziale Netzwerk übermittelt. Wenn der Nutzer nicht auf den Button klickt, werden beim Besuch der Website keine Daten an das soziale Netzwerk übertragen.

Mehr dazu und mit ausführlicher Anleitung zur technischen Einbindung erfahren Sie auf der Seite von Heise Medien

Hier geht´s zur Entscheidung des LG Düsseldorf , Urteil v. 9.3.2016, Az. 12 O 151/15