Mit Urteil vom 09. März 2016 (Az.: 12 O 151/15) hat das Landgericht Düsseldorf die Nutzung des sog. „Page-Plugins“ von Facebook in der jetzigen Form als unzulässig erachtet. Das Urteil geht über den Einzelfall hinaus und eröffnet eine neue Gefahr für Abmahnungen.
Page-Plugin verstößt gegen Datenschutzrecht
Ein Modehaus hatte auf seiner Homepage das sog. „Page-Plugin“ von Facebook eingebunden und wurde daraufhin von einem Verbraucherverband abgemahnt . Das Plugin zeigt den Like-Button, die Anzahl der Facebook-Fans sowie deren Profilbilder an.
Das Gericht sah in der Nutzung des Plugins einen Verstoß gegen § 13 TMG. Durch das Page-Plugin würden personenbezogene Daten ohne Kenntnis der Nutzer an Facebook übertragen. Das Gericht hat dabei insbesondere auch die IP-Adresse der Nutzer als personenbezogenes Datum angesehen.
Der Betreiber habe über die Zwecke, nämlich Werbung und entsprechende Analysen durch Facebook, nach Ansicht des Gerichts nicht hinreichend aufgeklärt. Problematisch war insbesondere auch, dass Facebook die Daten automatisch mit dem Besuch der Seite sammelt. Nicht nur von Facebook-Nutzern, sondern von allen Besuchern der Homepage. Dies geschieht etwa über das Setzen von sog. Cookies beim Nutzer.
Urteil betrifft nahezu alle Social-Plugins
Auch wenn das Urteil selbst sich nur auf das sog. „Page-Plugin“ von Facebook bezieht, so ergibt sich aus der Begründung doch eine deutlich größere Reichweite.
Die maßgebliche Problematik, die Übertragung von personenbezogenen Daten der Nutzer an Dritte, geschieht nicht nur beim Page-Plugin. Dies betrifft darüber hinaus auch den Like-Button, eingebettete Facebook-Postings und Videos, andere Social-Plugins sowie den Conversion Pixel. Und natürlich betrifft diese Problematik nicht nur Facebook, sondern auch gleichartige Plugins von anderen Firmen wie Google, YouTube und Twitter. Jeder Einzelfall erfordert eine Prüfung auf mögliche Datenübertragungen.
Wie Sie sich vor Abmahnungen schützen können
Die für Webseitenbetreiber nun wohl dringendste Frage lautet eindeutig, wie man sich vor Abmahnungen schützen kann.
Die radikale Möglichkeit wäre zunächst der Verzicht auf jegliche Plugins, die Daten an Dritte übermitteln. Dies wird vielfach nicht im Interesse der Webseitenbetreiber sein.
Als weitere Möglichkeit ließe sich eine Vorschaltseite aufführen. Der Nutzer erfährt vor dem eigentlichen Betreten der gewünschten Webseite von den genutzten Plugins und der Datenverarbeitung. Erst nach einer ausdrücklichen Einwilligung würde der Nutzer zur eigentlichen Hauptseite weitergeleitet werden. Dies ist keine wünschenswerte Lösung für Webseitenbetreiber. Nutzer werden abschreckt und halten sich womöglich von der Webseite fern.
Einen Mittelweg könnte die sog. Zwei-Klick-Lösung darstellen. Hierbei werden zunächst nur Grafiken angezeigt, nicht aber das eigentliche Plugin. Eine Datenübertragung findet noch nicht statt. Erst nachdem der Nutzer die Grafik ansteuert, erscheint ein Hinweis über die Datennutzung. Ein weiterer Klick aktiviert die eigentlichen Plugins.
Diese Lösung wird zwar allgemein noch für sicher gehalten, es verbleibt aber auch dabei ein Restrisiko. Ein weiteres Problem: für das Page-Plugin gibt es bisher keine Zwei-Klick-Lösung.
Urteil des LG zu Facebooks Page-Plugin bleibt kritikwürdig
An dem Urteil gibt es durchaus auch aus rechtlicher Sicht Bedenken. So hat das LG Düsseldorf nicht ausreichend begründet, warum deutsches Recht anwendbar sein soll. Hier wurde lediglich pauschal darauf abgestellt, dass durch das Einbetten des Page-Plugins die Erhebung und Verwendung der Daten durch Facebook „ermöglicht“ werde. Diese „Ermöglichung“ ist aber keine der in § 3 Abs. 7 BDSG genannten Voraussetzungen für eine datenschutzrechtliche Verantwortung.
Das Landgericht folgt zudem der sehr strengen Ansicht, dass es sich bei der IP-Adresse um personenbezogene Daten handeln würde (sog. „absolute Theorie“). Der Accessprovider könnte den Nutzern hinter der IP-Adresse ermitteln. Die Bundesregierung vertritt bislang die gegenteilige Auffassung (sog. „relative Theorie“) und auch der BGH hielt sich bislang zurück, was diese Frage angeht. Allerdings hat sich der BGH kürzlich fast beiläufig für die absolute Theorie ausgesprochen (Urteil v. 26.11.2015 – I ZR 3/14, I ZR 174/14) und erklärt:
Personenbezogene Daten im Sinne des § 3 Abs. 1 BDSG sind unter anderem die IP-Adressen, weil der Access-Provider einen Bezug zwischen den IP-Adressen und der Person des Nutzers herstellen kann.
Das letzte Wort ist allerdings noch nicht gesprochen. Mit Spannung darf die Entscheidung des EuGH abgewartet werden.
Das Urteil des LG Düsseldorf ist also durchaus angreifbar und bislang nicht rechtskräftig. Dennoch steigt bereits jetzt die Gefahr von Abmahnungen unter Berufung auf dieses Urteil. Nicht zuletzt, weil Datenschutzverstöße zunehmend eine beliebte Abmahnmöglichkeit für Wettbewerber bieten.