LG Düsseldorf v. 9.3.2016 – 12 O 151/15: Wer den Facebook-Like-Button einbindet, ohne den Nutzer datenschutzrechtlich aufzuklären, handelt nicht nur rechtswidrig, sondern auch wettbewerbswidrig

LG Düsseldorf v. 9.3.2016 – 12 O 151/15 – Verbraucherzentrale NRW ./. Fashion ID by Peek & Cloppenburg

Gefällt nicht jedem: Der Facebook-Like-Button

Gefällt nicht jedem: Der Facebook-Like-Button

Geklagt hatte die Verbraucherzentrale Nordrhein-Westfalen gegen Fashion ID, ein Unternehmen der Peek & Cloppenburg (Düsseldorf) Gruppe. Diese betreibt einen Onlineshop für Bekleidung. Die Beklagte band auf ihrer Webseite den von Facebook in Form eines Plugins zur Verfügung gestellten „Like-Button“ ein [Ausschnitt]:

Der beanstandete Button der Beklagten

Der beanstandete Button der Beklagten

Der Like-Button befand sich auf der Startseite am unteren rechten Rand. Die Datenschutzerklärung der Beklagten war über einen Link erreichbar. Darin wies sie ihre Nutzer darauf hin, dass diese sich aus ihren sozialen Netzen ausloggen oder aber „Facebook-Blocker“ nutzen sollten, wenn diese eine Speicherung und Verknüpfung ihrer Daten mit sozialen Netzen verhindern wollten.

Like-Plugin identifiziert Facebook-Nutzer über Cookies und sendet auch IP-Adresse an Facebook

Das Gericht ging im Wesentlichen von folgendem Sachverhalt aus: Das „Like“-Plugin liefert automatisch bei jedem Aufruf Daten an Facebook aus: Unter anderem die (meistens dynamische) IP-Adresse desjenigen Nutzers, der die Seite der Beklagten aufrief und verschiedene weitere Informationen über das Computersystem des Internetnutzer (z.B. Betriebssystem, Browser). Das Plugin veranlasst dabei den Server der Beklagten, an den Browser des Nutzers einen HTML-Code zu versenden, der wiederum den Browser veranlasst, diese Daten an Facebook zu senden. Mit Hilfe dieses Plugins konnte Facebook Nutzer identifizieren, die gerade in ihr Facebook-Konto eingeloggt waren und die Website der Beklagten aufriefen. Über den von Facebook gesetzten Cookie konnten Facebook-Nutzer auch dann identifiziert werden, wenn diese ausgeloggt waren.

Der Kläger beanstandete die Nutzung des Facebook-Plugins als Verstoß gegen das Datenschutzrecht (§§ 12, 13 TMG). Dies sei zugleich wettbewerbswidrig. Denn diese datenschutzrechtlichen Vorschriften seien Marktverhaltensregeln. Eine Datenschutzerklärung müsse wie der Like-Button direkt auf der Seite verfügbar sein. Denn die Datenschutzerklärung müsse vor der Nutzung des Like-Buttons zur Verfügung gestellt werden. Das Landgericht Düsseldorf gab der Klägerin überwiegend Recht.

Entscheidend: Facebook kann Nutzer über IP-Adressse und Cookies identifizieren

Entscheidend für das Gericht war dabei die Möglichkeit von Facebook, einerseits mithilfe der IP-Adresse bei eingeloggten Facebook-Nutzern einen Personenbezug herzustellen und andererseits einen solchen Personenbezug bei ausgeloggten Nutzern mit Hilfe der von Facebook gesetzten Cookies herzustellen.

Das Gericht sah es vor diesem Hintergrund als nicht mehr entscheidend an, ob schon die Übermittlung der IP-Adresse ein Verstoß gegen das Datenschutzrecht sei. Nach Ansicht des Gerichts sei ein solcher Verstoß aber „naheliegend“, weil die IP-Adresse ein personenbezogenes Datum darstelle.

Die Beklagte sei auch „verantwortliche Stelle“ im Sinne den § 3 Abs. 7 BDSG. Denn indem sie das Like-Plugin einbinde, ermögliche sie die Datenerhebung und Datenbeschaffung durch Facebook. Dass die Beklagte keinen Einfluss auf das Facebook-Plugin habe, sei irrelevant, so das Gericht. Es reiche aus, dass ein Websitenbetreiber dadurch, dass er Drittinhalte (das Plugin) integriere, einen Datenverarbeitungsprozess auslöse. Gerechtfertigt sei die Datenübermittlung nicht. Denn die Website der Beklagten funktioniere auch ohne das „Like“-Plugin. Dieses sei nicht zwingend, auch wenn es einen Marketing-Effekt habe.

Datenschutzrechtliche Einwilligung muss bewusst und eindeutig sein

Eine Einwilligung in die Erhebung oder Weitergabe personenbezogener Daten müsse auch bewusst und eindeutig erklärt werden (§ 13 Abs. 2 TMG). Der bloße Link der Beklagten auf eine Datenschutzerklärung sei daher nicht ausreichend gewesen. Die Einbindung des Like-Buttons sei der Beklagten nicht unmöglich. Sie könne ja – was sie inzwischen auch tut – eine Einverständnisabfrage an den Nutzer vorschalten und diesen zu einem aktiven Einverständnis in die Datenweitergabe auffordern.

Der datenschutzrechtliche Verstoß sei schließlich auch wettbewerbswidrig. §§ 12 und 13 TMG seien nicht nur Verbraucherschutzgesetze, sondern auch „Marktverhaltensregeln“ (§ 3a UWG). Denn die Einbindung des Facebook-Plugins diene der Beklagten auch für Absatz und Werbung. Denn das Plugin beeinflusst das Nutzerverhalten insoweit, als die Anzahl derjenigen Nutzer angezeigt wird, die ein „Like“ gegeben haben.

Die Entscheidung überrascht nicht: Dass ein Gericht die weitverbreitete Praxis der Einbindung des „Like-Buttons“ ohne Einholung einer Einverständniserklärung des Nutzers als rechtswidrig ansehen würde, war nur eine Frage der Zeit. Ebenso wenig überraschend war die Einordnung von IP-Adressen als personenbezogene Daten. Denn das hatte der BGH bereits in seinen beiden „Websperren-Urteilen“ festgestellt, wenn auch eher beiläufig (BGH v. 26.11.2015 – I ZR 3/14, Rz. 64 – 3dl.am; BGH v. 26.11.2015 – I ZR 174/14, Rz. 77 – Haftung des Access-Providers).

Auch die Einordnung datenschutzrechtlicher Vorschriften als wettbewerbsrelevante Marktverhaltensregeln ist keine Sensation.

Zahlreiche Gerichte halten datenschutzrechtliche Vorschriften für wettbewerbsrelevant

Vorschriften über die Datenverarbeitung zu Werbezwecken (§§ 4, 28 BDSG)

halten für wettbewerbsrechtlich relevant:

  • OLG Karlsruhe (Urteil v. 9.5.2012, 6 U 38/11Neuer Versorger)
  • OLG Köln (Urteil v. 14.8.2009, 6 U 70/09Rückgewinnungsschreiben)
  • OLG Stuttgart (Urteil v. 22.2.2007, 2 U 132/06Werbung mit rechtswidrig erlangten Kundendaten)

Abgelehnt wird diese Annahme von:

  • OLG München (Urteil v. 12.1.2012, 29 U 3926/11Nutzung von Daten für Werberundschreiben)
  • OLG Frankfurt (Urteil v. 30.6.2005, 6 U 168/04Skoda-Autokids-Club)

Verstöße gegen die datenschutzrechtliche Informationspflicht im Internet, § 13 TMG

hält das Hanseatische Oberlandesgericht zugleich für einen Verstoß gegen das Wettbewerbsrecht (OLG Hamburg, v. 27.6.2013, 3 U 26/12Unter Alltagsbedingungen).

Abgelehnt wird diese Auffassung vom Kammergericht Berlin (KG v. 29.4.2011, 5 W 88/11Fehlende Belehrung über die Datennutzung in sozialen Netzwerk). In diesem Urteil ging es ebenfalls um die Nutzung des „Like-Buttons“ bei Facebook.

Datenschutzrechtskonforme Einwilligungen einholen: Plugins und Trackingsoftware (Google-Analytics, PIWIK, etc.)

Jeder, der eine Website betreibt, muss genau prüfen, welche Informationen seine Plugins oder die implementierte Tracking-Software sammelt und weitergibt. Mit einem entsprechenden Browser-Plugin kann jeder leicht feststellen, welche Tracking-Software eine Website verwendet.

Google-Analytics beispielsweise liefert ständig zahlreiche Informationen an Google-Server aus, darunter auch die IP-Adresse des jeweiligen Nutzers. Wer Google-Analytics datenschutzkonform nutzen möchte, muss mit Google einen vorformulierten Vertrag über die Nutzung von Google-Analytics mit Regelungen über die Auftragsdatenverarbeitung abschließen und die IP-Adressen teilanonymisieren.

PIWIK sendet zwar keine Daten an externe Server (vorausgesetzt, PIWIK wird auf einem eigenem Server betrieben), setzt aber Cookies. PIWIK kann aber mithilfe eines Plugins die IP-Adressen teilanonymisieren.

Einwilligung “zu Beginn des Nutzugsvorgangs”

Wer also personenbezogene Daten des Nutzers erhebt und verwendet, muss den Nutzer der betreffenden Internetseite hierüber unterrichten und dessen Einwilligung einholen. Sonst drohen nicht nur datenschutzrechtliche Sanktionen, sondern auch wettbewerbsrechtliche Abmahnungen. Auch der Zeitpunkt der Einwilligung ist gesetzlich klar geregelt: “Zu Beginn des Nutzungsvorgangs”, § 13 Abs. 1 TMG.

 

Comments are closed.