facebook-plugin-like-button-wettbewerbswidrig
LG Düsseldorf: Facebook-Plugin ist wettbewerbswidrig – was Sie jetzt tun sollten
Die datenschutzrechtlichen Aspekte bei Verwendung eines Like-Buttons auf einer Internetseite durch ein sogenanntes Facebook-Plugin sind nicht abschließend geklärt.
Neben rechtlichen Aspekten ist insbesondere nicht ganz klar, welche Daten Facebook bei Verwendung des Plugins erhebt und was mit diesen Daten eigentlich konkret geschieht.
Das Landgericht Düsseldorf (LG Düsseldorf, Urteil vom 09.03.2016, Az.: 12 O 151/15) hat sich nunmehr auf eine Klage der Verbraucherzentrale NRW hin mit diesen Fragen näher befasst. Das Urteil ist noch nicht rechtskräftig, die Folgen sind jedoch bereits jetzt für Seitenbetreiber weitreichend, da die Verwendung von Facebook-Plugins unter mehreren Aspekten erheblich rechtlich kritisiert wird.
Um was ging es?
Die Verbraucherzentrale NRW hatte ein Unternehmen verklagt, welches einen Onlineshop für Bekleidung des Unternehmens Peek & Cloppenburg betreibt.
Auf der Internetseite befand sich ein Like-Button, der durch ein Plugin von Facebook eingebunden war. Wie üblich gab es im Rahmen des Buttons die Funktion “Gefällt mir”. Wie üblich gab es unterhalb des Buttons die Angabe, wie viele Facebook-Nutzer den Button bereits betätigt hatten. Waren Facebook-Nutzer in ihr Profil eingeloggt, wurden weiterhin verschiedene Profilbilder von Facebook-Nutzern abgebildet, die die Funktion “Gefällt mir” bereits für diesen Internetauftritt genutzt hatten.
Was nach Ansicht des Landgerichtes Düsseldorf technisch passiert
Welche Daten genau von Facebook zu welchem Zweck abgefragt werden, halten wir für nicht abschließend geklärt. Das Landgericht Düsseldorf hat sich mit dieser Frage jedoch intensiv und ausführlich beschäftigt:
“Für die Button-Funktionalität stellt das soziale Netzwerk Facebook der Beklagten ein Programmcode zur Verfügung, den diese in die html-Programmierung ihrer Webseite mittels eines sogenannten Iframes einband. Die Einbettung eines Plugins hat zur Folge, dass bei jedem Aufruf der Internetseite mit Plugin automatisch Daten an den Anbieter des Plugins übertragen werden. Der technische Ablauf bei Aufruf der Beklagtenseite ist wie folgt:
Der Browser des Internetnutzers, der die Webseite aufruft, sendet eine Anfrage an die IP-Adresse des Webservers, auf dem die Beklagtenseite gehostet wird, an die eigene IP-Adresse, den html-Code der Seite zu senden. Der Webserver der Beklagten sendet dann den html-Code an die Internetseite an die IP-Adresse des Nutzers, dessen Browser die html-Daten interpretiert. Hierbei identifiziert der Browser anhand des html-Codes der Beklagten auch die zusätzlich zu ladenden Ressourcen, einschließlich des eingebundenen Facebook-Plugins. Wie durch den html-Code vorgegeben, fragt er bei der in dem Code eingebundenen Adresse, dem Server von Facebook unter Mitteilung unter anderem der eigenen IP-Adresse und des sogenannten Browserstrings, eine Angabe über den benutzten Browser, um Übermittlung der Ressource, also der Button-Darstellung und der Funktionalität, an die IP-Adresse des Browsers (…) Dieser Vorgang bedeutet, dass Facebook bereits mit Aufruf der Seite der Beklagten und unabhängig davon, ob die Funktion “Gefällt mir” durch Anklicken genutzt wird, eine Mitteilung über den Seitenaufruf und bestimmte Informationen über die Abfrage erhält. So werden in jedem Fall eines Aufrufes der Seite der Beklagten bestimmte Grunddaten an Facebook übermittelt, jedenfalls die IP-Adresse, unter der der Nutzer “online” ist, und des String des genutzten Browsers. Bei diesen Daten handelt es sich um die gleichen Daten, die bei Aufruf einer Webseite an den Server, auf dem die Internetseite gehostet ist, übermittelt werden. Die Übermittlung an Facebook erfolgt aber nicht über den Server des Internetseitenanbieters, sondern auf Grundlage des html-Codes direkt von dem Nutzercomputer an Facebook.
Unstreitig erhält Facebook bei dieser Datenübermittlung auch eine Information über die besuchte Webseite, hier also jede der Beklagten, eine eindeutige ID dieser Webseite sowie im Einzelnen durch die Parteien nicht dargelegten Daten des Computersystems, über das der Internetnutzer die Seite der Beklagten aufruft.”
Es wird dann ausgeführt, dass die dynamische IP-Adresse des Endnutzers zur Verfügung gestellt wird. Nur der jeweilige Kommunikationsanbieter des Nutzers kann Auskunft darüber erteilen, wer zu diesem Zeitpunkt der konkrete Anschlussnehmer einer IP-Adresse ist. Der Browserstring ermöglicht ebenfalls keine unmittelbare Identifizierung des Nutzers. Wie unklar die konkrete Datenverarbeitung bei Facebook eigentlich ist, wird aus folgender Formulierung deutlich:
“Facebook erhält so jedoch die Möglichkeit, die dort bereits vorhandenen Daten ihrer Nutzer in einer von den Parteien nicht genau geschilderten Weise mit den so gewonnenen IP-Daten zum Abgleich zu bringen.”
Personalisierung von Facebook
Das Landgericht Düsseldorf führt weiter aus:
“Im Streitfall wurden die nutzerbezogenen Daten von Facebook unter anderem dafür benutzt, Inhalte, die über das Plugin ausgeliefert wurden, für den jeweiligen Nutzer zu personalisieren. Hatten bereits Facebook-Freunde des Webseiten-Besuchers die “Gefällt mir” für die jeweilige Webseite bzw. die Webseite der Beklagten benutzt, so wurden die Profilbilder dieser Freunde durch Facebook bevorzugt unter dem Button angezeigt…. Konnte hingegen Facebook den Internetnutzer nicht identifizieren, wurde nur abstrakt angezeigt, wie vielen Personen die Internetseite gefiel.”
Die Datenschutzerklärung des Webseitennutzers
Der Seitenbetreiber hielt eine Datenschutzerklärung vor, in der er anriet, es sei ratsam, sich zuvor aus dem entsprechenden sozialen Netzwerk auszuloggen oder einen Facebook-Blocker zu verwenden.
Das Urteil
Das Landgericht Düsseldorf hat folgende Unterlassungsanordnungen in das noch nicht rechtskräftige Urteil für begründet erachtet:
Im Internet auf der Seite … das Social Plugin “Gefällt mir” von Facebook zu integrieren,
1.
ohne die Nutzer der Internetseite bis zu dem Zeitpunkt, in dem der Anbieter des Plugins beginnt, Zugriff auf die IP-Adresse und den Browserstring des Nutzers zu nehmen, ausdrücklich und unübersehbar die Nutzer der Internetseite über den Zweck der Erhebung und der Verwendung der so übermittelten Daten aufzuklärenund/oder
2.
ohne die Einwilligung des Nutzers der Internetseite zu dem Zugriff auf die IP-Adresse und dem Browserstring durch den Plugin-Anbieter und zu der Datenverarbeitung einzuholen, jeweils bevor der Zugriff erfolgtund/oder
3.
ohne die Nutzer, die ihre Einwilligung im Sinne des Klagantrages zu 2. erteilt haben, über deren jederzeitige Widerruflichkeit mit Wirkung für die Zukunft zu informieren.
Die Begründung
Verstoß gegen § 13 Abs. 1 Satz 1 TMG.
Gemäß § 13 Abs. 1 Satz 1 Telemediengesetz hat der Betreiber eines Telemediendienstes den Nutzer zu Beginn des Nutzungsvorganges über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogender Daten sowie über deren Verarbeitung in den Staaten außerhalb des Europäischen Wirtschaftsraums in allgemein verständlicher Form zu unterrichten. Nach Ansicht des Landgerichtes werden personenbezogene Daten bei Nutzung des Plugins erhoben. Das Landgericht räumt in diesem Zusammenhang ein, dass die Frage der Verwendung der Daten durch Facebook nicht abschließend geklärt ist. Der Webseitenbetreiber ist in diesem Zusammenhang auch eine verantwortliche Stelle im Sinne des § 3 Abs. 7 Bundesdatenschutzgesetz. Dass der Webseitenbetreiber keinen Einfluss auf die Datenerhebungstätigkeit des Plugins hat, entlastet ihn nicht:
“Allein, dass die Beklagte keinen direkten Einfluss auf die Funktionsweise des Buttons und die Verarbeitung der Daten hat, ihr deren Umfang sogar unbekannt sein mag und dass sich ihre aktive Tätigkeit auf die Einbindung des Plugins erschöpft, steht dem ebenso wenig entgegen, wie die Tatsache, dass nicht die Beklagte an sie übermittelte und ihrem Besitz stehende Daten an Facebook weiterleitet, sondern die Erfassung der IP-Adresse unmittelbar durch Facebook erfolgt. Denn der Vorgang wird durch einen html-Befehl auf der Beklagtenseite initiiert.”
Datenübermittlung nicht nach § 15 TMG gerechtfertigt
Eine erforderliche Datenübertragung wäre nach § 15 Telemediengesetz gerechtfertigt, wenn sie für die Funktion und den Betrieb der Webseite der Beklagten erforderlich wäre. Dieser Ansicht erteilt das Landgericht eine Absage.
2-Klick-Lösung als Lösung?
Heise hatte schon vor Jahren die Lösung “Zwei Klicks für mehr Datenschutz” vorgeschlagen und eingesetzt. Die Teilen-Buttons bleiben deaktiviert und übertragen keine persönlichen Daten bis der Nutzer sie ausdrücklich einschaltet.
Die 2-Klick-Lösung begrüßt das Landgericht ausdrücklich:
“Will die Beklagte weiterhin die Vorteile einer Verknüpfung mit Facebook nutzen, so muss sie lediglich die Rechte derer, die eine Drittweitergabe ihrer Daten weder erwarten noch wünschen, angemessen beachten, etwa durch das von ihr nunmehr auch angewendete sogenannte “2 Klick-Verfahren”, bei dem der Datenweiterleitung eine Einverständnisabfrage vorgeschaltet ist.
Aktive Einwilligung notwendig
Zu diesem Punkt führt das Landgericht aus:
“Eine elektronische Einwilligung ist zulässig, sofern Sie die Voraussetzungen des § 13 Abs. 2 TMG erfüllt. Danach ist unter anderem sicherzustellen, dass der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat. Dies setzt eine aktive Handlung des Nutzers, wie etwa das Setzen des Häkchens in einer Checkbox, voraus.
Eine Einwilligung ist zudem nur zulässig, wenn sie auf einer freien Entscheidung des Betroffenen beruht. Weiter ist er auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie ggf. auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Dies bedeutet, dass eine Einwilligung freiwillig und informiert zu erfolgen hat. Die Einwilligung muß der Datenverarbeitung vorangehen und darf nicht erst nachträglich eingeholt werden.”
Nach Ansicht des Landgerichtes stellt der bloße Link zu einer Datenschutzerklärung keine Einwilligung dar.
LG rudert dann zur 2-Klick-Lösung zurück
Während im Tatbestand auf der einen Seite nach Ansicht das Landgericht die 2-Klick-Lösung zulässig ist, rudert das Landgericht an einer späteren Stelle in den Entscheidungsgründen zurück:
“Soweit die Beklagte ihren Webauftritt nunmehr auf die sogenannte “2-Klick-Lösung” umgestellt hat, braucht die Kammer nicht zu bewerten, ob diese den gesetzlichen Anforderungen genügt, denn der Unterlassungsanspruch gründet auf der vorherigen Art der Einbindung des Plugins…”
Wie den Like-Button von Facebook rechtskonform einsetzen?
Zunächst einmal dürfen wir darauf hinweisen, dass die Entscheidung des Landgerichtes Düsseldorf noch nicht rechtskräftig ist. Wir gehen davon aus, dass letztlich der BGH sich dieser Frage annehmen wird. Der Datensammelwut von Facebook wurde jedoch ganz klar ein Riegel vorgeschoben.
Ein grundsätzliches Problem besteht nach unserer Auffassung schon darin, dass die Art der erhobenen Daten und deren tatsächliche Verwendung bei Facebook unklar ist. Fakt ist jedenfalls, dass ein Facebook-Plugin ohne “Vorschaltstufe” wohl nicht mehr rechtskonform eingesetzt werden kann.
Die einfachste und rechtssicherste Möglichkeit ist es, auf das Facebook-Plugin zu verzichten und stattdessen nur auf Facebook zu verlinken. In diesem Fall werden keine Daten übertragen.
Die 2-Klick-Lösung hat unter Umständen das Problem, dass nach “Aktivierung” des Plugins über das Plugin selber -wie bisher- immer noch Daten an Facebook übertragen werden, von denen vollkommen unklar ist, um was für Daten es sich für welche Zwecke eigentlich handelt.
Das Beste wäre somit, wenn gewährleistet ist, dass gar keine Daten an Facebook übertragen werden. Heise hat die Zwei-Klick-Lösung weiterentwickelt zu “Shariff”. In diesem Fall übernimmt die Kommunikation mit den sozialen Netzwerken ein auf dem Server des Webseitenbetreibers abgelegten Skript. Erst wenn der Nutzer den Like-Button betätigt, entsteht eine direkte Verwendung. Diese Lösung wird von Thilo Weichert, dem ehemaligen Datenschutzbeauftragten des Landes Schleswig-Holstein, als datenschutzfreundliche Technologie begrüßt.
Der große Vorteil dieser Lösung scheint zu sein, dass die Zahl der Likes abgefragt werden. Die Besucher der Seite bleiben jedoch anonym.
Die Hoffnung, dass Facebook oder andere Plugin-Anbieter auf die deutsche Rechtsprechung reagieren und ihren Datenhunger zurückstellen, haben wir nicht.
Seitenbetreiber sollten daher zeitnah reagieren. Entweder nur verlinken, Like-Button gar nicht mehr anzeigen oder Vorschaltlösung sind aktuell die Handlungsempfehlungen.
Was übrigens unsere Internetseite angeht: Techniker ist informiert 🙂
Stand: 10.03.2016
Es beraten Sie: Rechtsanwalt Johannes Richard und Rechtsanwalt Andreas Kempcke
https://ssl-vg03.met.vgwort.de/na/72dc98cb54794b9f87bdcf15debe1926