Der Like-Button von Facebook ist – ohne vorherige Info und Einverständnis des Nutzers – unzulässig

10. März 2016
Gastbeitrag von: Sabine Heukrodt-Bauer - Bette Westenberger Brink
Datenschutzrecht, E-Commerce

Das Landgericht (LG) Düsseldorf hat gestern entschieden, dass der einfache Einbau des Social Plugins „Like Button“ von Facebook unzulässig ist, auch wenn in der Datenschutzerklärung darauf hingewiesen wird (Urteil vom 09.03.2016, AZ. 12 O 151/15). Das Urteil entspricht praktisch dem, was Datenschützer schon immer kritisiert hatten und ist nicht überraschend. Es betrifft nicht nur Facebook, sondern auch alle anderen Plugins, mit deren Hilfe Nutzerdaten an Soziale Netzwerke übertragen werden.
Entschieden wurde jetzt über den Like-Button von Facebook, wenn dieser auf der eigenen Webseite über ein Social Plugin integriert wird. In dem Fall hatte die Firma Fashion ID GmbH & Co. KG in ihrem Onlineshop den sog. Like-Button über ein solches Plugin von Facebook eingebunden. Facebook hatte dazu den Programmcode zur Verfügung gestellt, der in die HTML-Programmierung der Webseite über einen sog. lframes integriert wurde.
Nach den Feststellungen des Gerichts hatte die Einbettung des Plugins zur Folge, dass bei jedem Aufruf der Internetseite mit Plugin automatisch Daten vom Endgerät des Webseitenbesuchers direkt an Facebook übertragen werden. Hierbei handelte es sich insbesondere um die IP-Adresse des Nutzers – und zwar unabhängig davon, ob der Webseitenbesucher selbst einen Account bei Facebook hat oder nicht. In der Datenschutzerklärung auf der Webseite hatte Fashion-ID auch darüber informiert, dass das Facebook-Plugin im Onlineshop eingebaut war.
Das Düsseldorfer Gericht stufte die Nutzung des Facebook-Plugins „Gefällt mir“ auf der Webseite jetzt als unlautere Handlung nach § 3 a des Gesetzes gegen den unlauteren Wettbewerb (UWG) wegen Verstoßes gegen § 13 Telemediengesetz (TMG) und damit als wettbewerbswidrig ein:
Nach § 13 Abs. 1 Satz 1 TMG hat der Betreiber eines Telemediendienstes den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs des EWR in allgemein verständlicher Form zu unterrichten. Dieser Pflicht sei die Beklagte nicht nachgekommen:
Selbst Nutzer, die über einen Facebook-Account verfügten und beim Besuch des Onlineshops der Beklagten eingeloggt seien, könnten mittels der IP-Adresse direkt ihrem Facebook-Konto zugeordnet werden. Damit könne Facebook bereits bei diesem Personenkreis direkt einen Personenbezug herstellen. Daher sei es auch unerheblich, ob auch die Daten von Nutzern ohne Facebook-Mitgliedschaft ebenfalls übertragen würden.
Die für die Datenübertragung erforderliche Einwilligung der Webseitenbesucher liege nicht vor. Allein das Setzen eines Links zur Datenschutzerklärung reiche nicht aus, denn auch dadurch werde der Nutzer weder zu Beginn noch vor der Datenübermittlung an Facebook ausreichend informiert.
Bei der Onlineshop-Betreiberin handele es sich auch um die verantwortliche Stelle im Sinne des § 3 Abs. 7 Bundesdatenschutzgesetz (BDSG). Das sei jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch Andere im Auftrag vornehmen lässt. Die Betreiberin des Onlineshops beschaffe über den Einbau des Plugins die Daten, die Facebook dann verarbeite. Sie wirke unmittelbar an der Datenerhebung durch Facebook mit. Nur die Integration des Plugins auf der Webseite ermögliche es Facebook überhaupt, die Daten zu erheben und zu verarbeiten.
Was können Webseitenbetreiber jetzt tun?
Das Urteil ist nicht überraschend und es gilt letztlich das, was bereits seit Jahren aus rechtlicher Sicht zu empfehlen ist:
1.
Der Einbau von Social Media Plugins – egal, von welchem Netzwerk – ist nur zulässig, wenn VOR der Datenerhebung das ausdrückliche Einverständnis der Webseitenbesucher dafür eingeholt wird. Die Plugins dürfen daher nicht vorab aktiviert sein.
Heise hat dazu im Laufe der letzten Jahre zwei kostenlose Tools entwickelt, mit deren Hilfe die Datenerhebung und – übertragung unterbunden wird, solange der Nutzer die Plugins nicht selbst aktiviert.
Informationen dazu finden Sie hier:
http://www.heise.de/newsticker/meldung/Fuer-mehr-Datenschutz-Neue-Version-der-2-Klick-Empfehlungsbuttons-2101045.html
http://www.heise.de/newsticker/meldung/Datenschutz-und-Social-Media-Der-c-t-Shariff-ist-im-Einsatz-2470103.html
2.
In der Datenschutzinformation sind die Webseitenbesucher zu Beginn des Nutzungsvorgangs über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten zu informieren. Es ist daher ein ausführlicher Informationstext innerhalb der Seite „Datenschutz“ erforderlich, der darüber informiert, wer welche Daten zu welchem Zweck erhebt.

Das könnte Sie ebenfalls interessieren:
Kostenloser Ratgeber
Rechtssichere b2c-Onlineshops
Was Onlinehändler beim Verkauf an Verbraucher zu beachten haben.
Februar 2016, Format 12 x 12 cm, 28 Seiten, pdf-Datei, 1,5 MB
Jetzt hier kostenlos downloaden!

Gastbeitrag von: Sabine Heukrodt-Bauer - Bette Westenberger Brink