Integration des „Like-Buttons“ in die eigene Internetpräsenz rechtswidrig

Das Landgericht Düsseldorf hat mit Urteil vom 9. März 2016 (Az.: 12 O 151/15) die Vorgaben an eine rechtskonforme Einbindung des „Like-Buttons“ von Facebook in den eigenen Internetauftritt präzisiert und die generelle Übermittlung von personenbezogenen Daten ohne vorherige Einwilligung des Nutzers durch Einbindung des „Like-Buttons“ als Verstoß gegen das Wettbewerbs- oder Telemedienrecht bewertet. Die sich aus dem Urteil ergebenden Vorgaben zum rechtskonformen Einsatz von Social-Plugins sollten Sie als Betreiber von Websites berücksichtigen und umsetzen.

Worum geht es?
Die Verbraucherzentrale Nordrhein-Westfalen ist gegen eine Vielzahl von Unternehmen vorgegangen, die den Facebook „Like-Button“ auf ihrer Website einsetzen. Ein Unternehmen der Peek & Cloppenburg (P&C) Unternehmensgruppe hatte sich auf die Abmahnung der Verbraucherzentrale geweigert, den „Like-Button“ von Facebook datenschutzkonform in die eigene Internetpräsenz einzubauen und wurde daraufhin vor dem LG Düsseldorf gerichtlich auf Unterlassung in Anspruch genommen.

Die Beklagte hatte den „Like-Button“ so in ihre Internetseite integriert, dass dieser durchgehend aktiv war und bereits beim bloßen Öffnen der Seite schon Informationen des Nutzers an Facebook gesendet wurden, unabhängig davon, ob dieser bei Facebook angemeldet war oder der Datenübermittlung zugestimmt hatte. Der Nutzer konnte erst bei Aufruf der Seite sehen, dass ein aktiver „Like-Button“ integriert war. Zu diesem Zeitpunkt waren aber bereits Daten an Facebook übertragen worden, ohne dass er zuvor die Möglichkeit hatte hierauf Einfluss zu nehmen.

Das LG Düsseldorf hat nun entschieden, dass diese Praxis gegen datenschutzrechtliche Vorschriften verstößt und die so erfolgte Einbindung des „Gefällt mir“ Buttons als wettbewerbswidrig eingestuft. Sie sei unzulässig, weil ohne ausdrückliche Zustimmung des Nutzers personenbezogene Daten, nämlich seine IP-Adresse, weitergegeben werden. Als Betreiberin der Website sei die Beklagte auch die hierfür im datenschutzrechtlichen Sinne verantwortliche Stelle.

Warum sollten die Vorgaben von Ihnen umgesetzt werden?
Generell ist die Einbindung von Social-Plugins von Unternehmen wie Facebook, Google oder Twitter mit erheblichen datenschutzrechtlichen Risiken verbunden. Bei stets aktiven Social-Plugins erfolgt Unmittelbar durch den Aufruf der Website eine Übermittlung von Daten des Nutzers (insb. IP-Adresse) an die Betreiber des Social-Plugins (Facebook, Google, twitter, Youtube etc.). Für den Nutzer besteht bei generell aktiven Social-Plugins keine Möglichkeit dies beim Aufruf einer Website zu verhindern. Nach den derzeit geltenden Bestimmungen des Datenschutzrechts erfordert die Übermittlung personenbezogenen Daten aber eine vorherige Einwilligung des Betroffenen. Fehlt diese, ist eine Datennutzung grundsätzlich rechtswidrig. Ein allgemeiner Hinweis auf die Datenübermittlung in der auf Websites üblicherweise verwendeten Datenschutzerklärung reicht nach Auffassung des LG Düsseldorf nicht aus. Vielmehr muss die datenschutzrechtliche Einwilligung aktiv erklärt werden.

Besondere praktische Relevanz erlangt das Urteil dadurch, dass erstmals ein Unternehmen datenschutzrechtlich in Anspruch genommen wurde, welches Social-Plugins einsetzt und nicht als Anbieter von eigenen Social-Plugins auftritt. In Zukunft können Betreiber von Websites nicht mehr davon ausgehen, dass sie keine „verantwortliche Stelle“ für die Datennutzung durch Social-Plugins sind. Die im vorliegenden Fall relevanten datenschutzrechtlichen Vorschriften (§§ 12, 13 TMG) sind nach Auffassung des LG Düsseldorf auch Marktverhaltensregeln im Sinne des Wettbewerbsrecht gemäß § 3a UWG. Danach ist jedes Unternehmen „Täter“ im Sinne des Wettbewerbsrechts, wenn es auf der eigenen Website Social-Plugins wie beispielsweise den Facebook „Like-Button“ einbindet. Es besteht dann ein erhebliches Risiko, dass es bei Nichteinhaltung der Datenschutzpflicht zu einer kostenpflichtigen, wettbewerbsrechtlichen Abmahnung kommt.

Was müssen Betreiber von Onlineshops jetzt tun?
Absolute Rechtssicherheit besteht aktuell nur dann, wenn auf den Einsatz von Social-Plugins vollständig verzichtet wird. Natürlich ist dies weder zeitgemäß, noch im Sinne eines effektiven viralen Marketings. Trotzdem müssen Betreiber von Websites sicherstellen, dass sie nicht ohne ausdrückliche Einwilligung des Nutzers dessen Daten an Betreiber von Social-Plugins übermitteln. Sie müssen daher, wenn Sie den Social-Plugins weiterhin in Ihre Internetpräsenz integrieren wollen dafür Sorge tragen, dass nicht bereits beim ersten Aufruf der Seite schon Daten weitergeleitet werden. Dies kann beispielsweise durch die sogenannte „2-Klick-Lösung“ erreicht werden, die „Heise“ oder „Shariff“ anbieten. Bei diesem Verfahren erscheint zunächst beim Öffnen der Internetseite ein Symbol, dass der Nutzer anklicken kann, um der Datenübertragung durch das Social- Plugin zuzustimmen. Erst wenn der Nutzer dieses Symbol angeklickt und die entsprechenden Hinweise über die Datenvermittlung bestätigt hat, wird das Social-Plugin (z.B. der Like-Button von Facebook) aktiv und die Daten können übermittelt werden. Auch wenn die sogenannte „2-Klick-Lösung“ durch das LG Düsseldorf und einzelne Datenschutzbehörden als positiv bezeichnet wurde verbleibt ein Restrisiko, da die Datenübermittlung eine wirksame Einwilligungserklärung nach eindeutiger vorheriger Belehrung erfordert. Mangels Kenntnis über den tatsächlichen Umfang der Datennutzung durch die Betreiber der Social-Plugins kann nicht aber ausgeschlossen werden, dass eine kritische Datenschutzbehörde jeden Belehrungstext als nicht ausreichend ansieht. Trotzdem ist die unverzügliche Implementierung der sogenannten „2-Klick-Lösung“, mangels einer geeigneten Alternative, bis zu einer weiteren rechtlichen Klärung dringend zu empfehlen. Gleichzeitig muss die Datenschutzerklärung auf der eigenen Website überprüft und gegebenenfalls an die neuen Anforderungen angepasst werden.

Unser Autor J. Clemens Burgenmeister LL.B. ist Rechtsanwalt in der auf IP-, IT- und Medienrecht spezialisierten Kanzlei NESSELHAUF Rechtsanwälte in Hamburg. Er berät insbesondere im Online-Marketing und E-Commerce sowie in allen Fragen des gewerblichen Rechtsschutzes.