Mit Urteil vom 09. März 2016 (Az.: 12 O 151/15) hat das Landgericht Düsseldorf die Nutzung des sog. „Page-Plugins“ von Facebook in der jetzigen Form als unzulässig erachtet. Das Urteil geht über den Einzelfall hinaus und eröffnet eine neue Gefahr für Abmahnungen.
Ein Modehaus hatte auf seiner Homepage das sog. „Page-Plugin“ von Facebook eingebunden und wurde daraufhin von einem Verbraucherverband abgemahnt . Das Plugin zeigt den Like-Button, die Anzahl der Facebook-Fans sowie deren Profilbilder an.
Das Gericht sah in der Nutzung des Plugins einen Verstoß gegen § 13 TMG. Durch das Page-Plugin würden personenbezogene Daten ohne Kenntnis der Nutzer an Facebook übertragen. Das Gericht hat dabei insbesondere auch die IP-Adresse der Nutzer als personenbezogenes Datum angesehen.
Der Betreiber habe über die Zwecke, nämlich Werbung und entsprechende Analysen durch Facebook, nach Ansicht des Gerichts nicht hinreichend aufgeklärt. Problematisch war insbesondere auch, dass Facebook die Daten automatisch mit dem Besuch der Seite sammelt. Nicht nur von Facebook-Nutzern, sondern von allen Besuchern der Homepage. Dies geschieht etwa über das Setzen von sog. Cookies beim Nutzer.
Auch wenn das Urteil selbst sich nur auf das sog. „Page-Plugin“ von Facebook bezieht, so ergibt sich aus der Begründung doch eine deutlich größere Reichweite.
Die maßgebliche Problematik, die Übertragung von personenbezogenen Daten der Nutzer an Dritte, geschieht nicht nur beim Page-Plugin. Dies betrifft darüber hinaus auch den Like-Button, eingebettete Facebook-Postings und Videos, andere Social-Plugins sowie den Conversion Pixel. Und natürlich betrifft diese Problematik nicht nur Facebook, sondern auch gleichartige Plugins von anderen Firmen wie Google, YouTube und Twitter. Jeder Einzelfall erfordert eine Prüfung auf mögliche Datenübertragungen.
Die für Webseitenbetreiber nun wohl dringendste Frage lautet eindeutig, wie man sich vor Abmahnungen schützen kann.
Die radikale Möglichkeit wäre zunächst der Verzicht auf jegliche Plugins, die Daten an Dritte übermitteln. Dies wird vielfach nicht im Interesse der Webseitenbetreiber sein.
Als weitere Möglichkeit ließe sich eine Vorschaltseite aufführen. Der Nutzer erfährt vor dem eigentlichen Betreten der gewünschten Webseite von den genutzten Plugins und der Datenverarbeitung. Erst nach einer ausdrücklichen Einwilligung würde der Nutzer zur eigentlichen Hauptseite weitergeleitet werden. Dies ist keine wünschenswerte Lösung für Webseitenbetreiber. Nutzer werden abschreckt und halten sich womöglich von der Webseite fern.
Einen Mittelweg könnte die sog. Zwei-Klick-Lösung darstellen. Hierbei werden zunächst nur Grafiken angezeigt, nicht aber das eigentliche Plugin. Eine Datenübertragung findet noch nicht statt. Erst nachdem der Nutzer die Grafik ansteuert, erscheint ein Hinweis über die Datennutzung. Ein weiterer Klick aktiviert die eigentlichen Plugins.
Diese Lösung wird zwar allgemein noch für sicher gehalten, es verbleibt aber auch dabei ein Restrisiko. Ein weiteres Problem: für das Page-Plugin gibt es bisher keine Zwei-Klick-Lösung.
An dem Urteil gibt es durchaus auch aus rechtlicher Sicht Bedenken. So hat das LG Düsseldorf nicht ausreichend begründet, warum deutsches Recht anwendbar sein soll. Hier wurde lediglich pauschal darauf abgestellt, dass durch das Einbetten des Page-Plugins die Erhebung und Verwendung der Daten durch Facebook „ermöglicht“ werde. Diese „Ermöglichung“ ist aber keine der in § 3 Abs. 7 BDSG genannten Voraussetzungen für eine datenschutzrechtliche Verantwortung.
Das Landgericht folgt zudem der sehr strengen Ansicht, dass es sich bei der IP-Adresse um personenbezogene Daten handeln würde (sog. „absolute Theorie“). Der Accessprovider könnte den Nutzern hinter der IP-Adresse ermitteln. Die Bundesregierung vertritt bislang die gegenteilige Auffassung (sog. „relative Theorie“) und auch der BGH hielt sich bislang zurück, was diese Frage angeht. Allerdings hat sich der BGH kürzlich fast beiläufig für die absolute Theorie ausgesprochen (Urteil v. 26.11.2015 – I ZR 3/14, I ZR 174/14) und erklärt:
Personenbezogene Daten im Sinne des § 3 Abs. 1 BDSG sind unter anderem die IP-Adressen, weil der Access-Provider einen Bezug zwischen den IP-Adressen und der Person des Nutzers herstellen kann.
Das letzte Wort ist allerdings noch nicht gesprochen. Mit Spannung darf die Entscheidung des EuGH abgewartet werden.
Das Urteil des LG Düsseldorf ist also durchaus angreifbar und bislang nicht rechtskräftig. Dennoch steigt bereits jetzt die Gefahr von Abmahnungen unter Berufung auf dieses Urteil. Nicht zuletzt, weil Datenschutzverstöße zunehmend eine beliebte Abmahnmöglichkeit für Wettbewerber bieten.
Bei dem vom LG Köln zu entscheidenden einstweiligen Verfügungsverfahren hatte die Antragstellerin unter anderem eine fehlende Datenschutzerklärung auf den Internetseiten der Antragsgegnerin bemängelt.
Das Gericht kam zu dem Entschluss, dass eben dieses Fehlen wettbewerbswidrig sei und somit abgemahnt werden könne. So verpflichtete das Gericht die Antragsgegnerin dazu, es zu unterlassen,
auf den Internetseiten der Domain www.anonym.de keine Datenschutzerklärung i.S.d. § 13 TMG zu platzieren.
§ 13 TMG besagt, dass der Diensteanbieter den Nutzer über über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten zu unterrichten hat. Die Vorschrift fordert aber nicht ausdrücklich die Form einer Datenschutzerklärung.
Das Gericht griff zwar auf die auch zuvor im Bereich des Wettbewerbsrechts genutzte Marktverhaltensregel des § 13 TMG zurück (vgl. OLG Hamburg, 27.06.2013 – 3 U 26/12), konkretisierte sie aber, indem es die Vorhaltung einer Datenschutzerklärung verlangte.
Eine Begründung ist dem Beschluss des LG Köln nicht zu entnehmen. Fest steht aber, dass man als Internetseitenbetreiber die datenschutzrechtlichen Vorschriften nicht ignorieren sollte. Wie auch bei fehlerbehaftetem oder fehlendem Impressum drohen bei fehlender, nicht korrekter oder unvollständiger Datenschutzerklärung Abmahnungen.
Hinzu kommt, dass am 24.02.2016 das Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts in Kraft getreten ist.
Auf dessen Grundlage wird der Umfang des „Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen“ (UKlaG) erweitert. Das Gesetz erlaubt Interessenverbänden, Verbraucherschutzverbänden und den Industrie- und Handelskammern, gegen verbraucherschutzwidrige Vorgänge auf Unterlassung zu klagen. Ziel ist dabei der Schutz des Rechtsverkehrs.
Zu den verbraucherschützenden Normen zählen nun auch Vorschriften, die die Erhebung, Verarbeitung und Nutzung personenbezogener Daten regeln. Durch diese Erweiterung kann nicht ausgeschlossen werden, dass Verbände zukünftig verstärkt Abmahnungen wegen fehlerhafter Datenschutzerklärungen versenden.
Das LG Düsseldorf erklärt Facebooks „Page-Plugin“ für rechtswidrig. Eine neue Gefahrenquelle für Abmahnungen ist geschaffen.
Das LG Köln hat entschieden, dass das Fehlen einer Datenschutzerklärung i.S.d. § 13 TMG einen abmahnfähigen Wettbewerbsverstoß darstellen kann (Beschluss vom 26.11.2015, Az.: 33 O 230/15).
