Internet-Law

Onlinerecht und Bürgerrechte 2.0

10.3.16

Sind Social Plugins rechtswidrig?

Das Landgericht Düsseldorf hat in einem brandaktuellen Urteil (Urteil vom 09.03.2016, Az.: 12 O 151/15) einem Unternehmen untersagt, auf seiner Website das „Social Plugin „Gefällt mir“ von Facebook zu integrieren“, ohne die Nutzer vorab darüber zu informieren, dass Facebook Zugriff auf die IP-Adresse und den Browserstring des Nutzers nimmt und ohne insoweit ausdrücklich und unübersehbar über den Zweck der Erhebung und Verwendung der an Facebook übermittelten Daten aufzuklären. Zusätzlich wurde dem Unternehmer auch verboten, das Plugin zu verwenden, ohne vorab die Einwilligung des Nutzers in die Datenverwendung einzuholen.

Wenn sich diese Rechtsprechung durchsetzt, kann man den Like Button und das Page Plugin von Facebook in Deutschland wohl nicht mehr rechtskonform in die eigene Website einbauen. Denn eine konkrete Information des Nutzers darüber, wie und zu welchem Zweck Facebook die Daten verarbeitet, ist schon deshalb nicht möglich, weil  kein Webseitenbetreiber mit Sicherheit sagen kann, was Facebook mit den Daten macht. Einen Ausweg bietet hier allenfalls die sog. Zwei-Klick-Lösung, wobei sich auch hier die Frage stellt, ob eine informierte Einwilligung des Nutzers in Betracht kommt, nachdem der Umfang der Datenverarbeitung durch Facebook am Ende immer unklar bleibt.

Das Landgericht Düsseldorf schließt sich in seinem Urteil zunächst der Meinung vom absoluten Personenbezug an und geht davon aus, dass (dynamische) IP-Adressen stets als personenbezogene Daten zu bewerten sind.

Anschließend qualifiziert das Landgericht Düsseldorf den Webseitenbetreiber als verantwortliche Stelle im Sinne des Datenschutzrechts. Dies scheint mir der zentrale, diskutable Aspekt der Entscheidung zu sein. Letztlich stützt das Landgericht seine Auffassung primär darauf, dass der Webseitenbetreiber die Daten, die Facebook dann verarbeitet, beschafft. Das Landgericht stellt damit eine Kausalitätsbetrachtung an, die in der Tendenz auf eine datenschutzrechtliche Störerhaftung hinausläuft.

Durch die Einbindung des Codes wirkt der Webseitenbetreiber natürlich an der Erhebung von Daten mit und er macht dies auch für eigene Zwecke, denn er möchte damit ja eine Empfehlung seines Angebots erreichen. Andererseits ist er nicht derjenige, der den Datenverarbeitungsvorgang steuert und kontrolliert.

Nach Art. 2 d) der Datenschutzrichtlinie ist Verantwortlicher die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Wenn man das eng am Wortlaut auslegt, wird man den Webseitenbetreiber nicht ohne weiteres als Verantwortlichen betrachten können, denn er entscheidet nicht (zusammen mit Facebook) über die Zwecke und Mittel der Datenverarbeitung. Er weiß im Zweifel noch nicht einmal genau, welche Daten Facebook erhebt. Andererseits leistet er zweifellos einen kausalen Beitrag für die Datenverabeitung durch Facebook, weshalb man ihn durchaus als eine Art Gehilfen von Facebook betrachten kann, der zudem auch ein gewisses Eigeninteresse an dem Vorgang der Datenverarbeitung hat.

Letztlich regelt das Gesetz diese Konstellation nicht eindeutig. Die entscheidende Frage lautet hier also, ob allein Facebook verantwortliche Stelle im Sinne des Datenschutzrechts ist oder ob daneben (auch) der Webseitenbetreiber datenschutzrechtlich verantwortlich ist. Ist verantwortliche Stelle also nur derjenige, der die Kontrolle und Herrschaft über die Daten und den Datenverarbeitungsvorgang hat, oder darüber hinausgehend jeder, der in kausaler Weise an der Beschaffung oder Verarbeitung der Daten mitwirkt? Diese Frage wird die Rechtsprechung eindeutig zu klären haben.

Das Urteil ist noch nicht rechtskräftig.

Thomas Schwenke hat FAQs zum Urteil zusammengestellt.

posted by Stadler at 11:01  

11 Comments

  1. Wie ist denn das mit Werbebannern, wenn man die Logik dieses Urteils auf das Einbinden von Werbebannern durch von Dritten betriebene Adserver anwendet. Diese erhalten ja dieselben Daten wie Facebook und setzen wie Facebook auch Cookies zur Wiedererkennung von Usern über Sitegrenzen hinweg,.

    Comment by isotopp — 10.03, 2016 @ 11:38

  2. Der Betreiber der Website hat aktiv und wissentlich Code in seine Seite eingebaut, der bestimmte Daten der Besucher an Facebook überträgt. D.h. er hat ganz bewußt entschieden, diese Daten an Facbook zu übertragen. Insofern sehe ich ihn sehrwohl als Verantwortlichen.

    Comment by A. Nonymous — 10.03, 2016 @ 12:03

  3. @isotopp: seh ich anders. ein werbebanner kann eine stumpfe grafik sein, die auf fliesen-meier.org linkt. das bedingt keine bidirektionale kommunikation oder datenerhebung (auch wenns mittlerweile häufig so implementiert wird). der like-button funktioniert schon per definition anders als ein banner.

    Comment by petra — 10.03, 2016 @ 13:57

  4. Werbebanner von Dritten ist ziemlich genau das gleiche Spiel. Was machen die mit den Daten? Werden sie vielleicht sogar weiterverkauft? Keine Ahnung.

    @petra Werbebanner sind sehr selten nur statische Grafiken.

    Comment by Alex — 11.03, 2016 @ 09:28

  5. Man kann doch nur liken, wenn man auch ein Profil bei facebook hat. Ergo hat man dort der Nutzung der Daten bereits zugestimmt.
    Eine zwei klick Lösung sollte doch dann funktionieren.

    Was ist mit „sign in with…..“ ? Discus etc. da geht bald gar nichts mehr auf der eigenen Webseite mit externen Diensten.

    Comment by Troll — 11.03, 2016 @ 15:57

  6. Tja, hier gehen tatsächlich Technik und Anschauung des Großteils der Bevölkerung auseinander. Technisch gesehen ist der Nutzer dafür verantwortlich, dass Facebook die Daten bekommt, denn er klickt auf den Button und weist damit seinen Browser an, die programmierten Daten an Facebook zu senden. Da im Browser aber im Normalfall nur die Quellseite foobar.de angezeigt wird, könnte Ottonormalverbraucher auf die Idee kommen, dass durch der eigene Browser durch den Button mit foobar.de statt facebook.com kommuniziert. So naiv sollte Ottonormalbürger aber dann doch nicht sein, weil für einfache Links die gleichen Aussagen gelten. Bei denen kann man aber per hover-over die Zieldomain und damit den Kommunikationspartner erkennen. Funktioniert das bei den Like-Buttons auch?

    Comment by Heinz Handtuch — 11.03, 2016 @ 19:38

  7. Ich „like“ so: 1! oder so: :-)
    Wozu braucht man Fratzenbuch? Wer braucht das?
    Ich würde mich freuen, wenn sich dieses Urteil durchsetzt und sämtliche Webseiten von dieser Krake befreit werden würden.

    Comment by Dr.Klusenbreuker — 14.03, 2016 @ 08:07

  8. @Heinz Handtuch
    Leider ist das ja genau nicht der Fall. In dem Moment, wo der „Gefällt mir“-Knopf auf der Seite platziert ist und beim Seitenaufruf geladen wird, werden schon Daten über den Seitenbeusch an FB geschickt, ein Klick ist nicht nötig. D.h. egal ob Sie es möchten oder nicht weiß Facebook über ihre Surfhistorie Bescheid.
    Da hilf tnur Ghostery

    Comment by nobbs — 14.03, 2016 @ 10:21

  9. Das Urteil geht in die falsche Richtung. Anders herum sollte endlich verlangt sein, wie es vor der Lobbyistenänderung auch klar in der Richtline für Barrierefreiheit stand, daß jede Seite auch bei abgeschaltetetem Scripting grundsätzlich, wenn auch vielleicht weniger komfortabel, funktionieren muß. Einen besonderen Geschmack hat es, daß ausgerechnet alle Banken mich zwingen, ausgerechet bei Zugriff auf mein Konto meinen Rechner für allerlei Schnüffelei auch von dritten öffen zu müssen. Das gehört abgeschafft. Wer Schnüffelei ausdrücklich und explizit bei sich zulässt, der möge nicht meckern, wenn geschnüffelt wird.

    Comment by Axel Berger — 14.03, 2016 @ 18:07

  10. @noobs Ah, das war mir neu. Wie wird das denn technisch gelöst und welche Einstellung bei Chrome und Firefox verhindert, dass er ohne meine Erlaubnis mit Facebook kommuniziert?

    Comment by Heinz Handtuch — 14.03, 2016 @ 20:56

  11. Die Zwei-Klick-Lösung ist eigentlich die praktikabelste und schützt User davor, schon beim Seitenaufruf Daten an soziale Netzwerke zu Übertragen. Dazu gibt ey auch einen Infobutton, der auf die Informationsseite des Heise Verlages verlinkt ist. Ich frage moch, was daran nicht Datenschutzrechtskonform sein soll?

    Comment by Thore Rehbach — 14.03, 2016 @ 21:11

RSS feed for comments on this post.

Sorry, the comment form is closed at this time.