Internet-Law

Onlinerecht und Bürgerrechte 2.0

10.3.16

Sind Social Plugins rechtswidrig?

Das Landgericht Düsseldorf hat in einem brandaktuellen Urteil (Urteil vom 09.03.2016, Az.: 12 O 151/15) einem Unternehmen untersagt, auf seiner Website das „Social Plugin „Gefällt mir“ von Facebook zu integrieren“, ohne die Nutzer vorab darüber zu informieren, dass Facebook Zugriff auf die IP-Adresse und den Browserstring des Nutzers nimmt und ohne insoweit ausdrücklich und unübersehbar über den Zweck der Erhebung und Verwendung der an Facebook übermittelten Daten aufzuklären. Zusätzlich wurde dem Unternehmer auch verboten, das Plugin zu verwenden, ohne vorab die Einwilligung des Nutzers in die Datenverwendung einzuholen.

Wenn sich diese Rechtsprechung durchsetzt, kann man den Like Button und das Page Plugin von Facebook in Deutschland wohl nicht mehr rechtskonform in die eigene Website einbauen. Denn eine konkrete Information des Nutzers darüber, wie und zu welchem Zweck Facebook die Daten verarbeitet, ist schon deshalb nicht möglich, weil  kein Webseitenbetreiber mit Sicherheit sagen kann, was Facebook mit den Daten macht. Einen Ausweg bietet hier allenfalls die sog. Zwei-Klick-Lösung, wobei sich auch hier die Frage stellt, ob eine informierte Einwilligung des Nutzers in Betracht kommt, nachdem der Umfang der Datenverarbeitung durch Facebook am Ende immer unklar bleibt.

Das Landgericht Düsseldorf schließt sich in seinem Urteil zunächst der Meinung vom absoluten Personenbezug an und geht davon aus, dass (dynamische) IP-Adressen stets als personenbezogene Daten zu bewerten sind.

Anschließend qualifiziert das Landgericht Düsseldorf den Webseitenbetreiber als verantwortliche Stelle im Sinne des Datenschutzrechts. Dies scheint mir der zentrale, diskutable Aspekt der Entscheidung zu sein. Letztlich stützt das Landgericht seine Auffassung primär darauf, dass der Webseitenbetreiber die Daten, die Facebook dann verarbeitet, beschafft. Das Landgericht stellt damit eine Kausalitätsbetrachtung an, die in der Tendenz auf eine datenschutzrechtliche Störerhaftung hinausläuft.

Durch die Einbindung des Codes wirkt der Webseitenbetreiber natürlich an der Erhebung von Daten mit und er macht dies auch für eigene Zwecke, denn er möchte damit ja eine Empfehlung seines Angebots erreichen. Andererseits ist er nicht derjenige, der den Datenverarbeitungsvorgang steuert und kontrolliert.

Nach Art. 2 d) der Datenschutzrichtlinie ist Verantwortlicher die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Wenn man das eng am Wortlaut auslegt, wird man den Webseitenbetreiber nicht ohne weiteres als Verantwortlichen betrachten können, denn er entscheidet nicht (zusammen mit Facebook) über die Zwecke und Mittel der Datenverarbeitung. Er weiß im Zweifel noch nicht einmal genau, welche Daten Facebook erhebt. Andererseits leistet er zweifellos einen kausalen Beitrag für die Datenverabeitung durch Facebook, weshalb man ihn durchaus als eine Art Gehilfen von Facebook betrachten kann, der zudem auch ein gewisses Eigeninteresse an dem Vorgang der Datenverarbeitung hat.

Letztlich regelt das Gesetz diese Konstellation nicht eindeutig. Die entscheidende Frage lautet hier also, ob allein Facebook verantwortliche Stelle im Sinne des Datenschutzrechts ist oder ob daneben (auch) der Webseitenbetreiber datenschutzrechtlich verantwortlich ist. Ist verantwortliche Stelle also nur derjenige, der die Kontrolle und Herrschaft über die Daten und den Datenverarbeitungsvorgang hat, oder darüber hinausgehend jeder, der in kausaler Weise an der Beschaffung oder Verarbeitung der Daten mitwirkt? Diese Frage wird die Rechtsprechung eindeutig zu klären haben.

Das Urteil ist noch nicht rechtskräftig.

Thomas Schwenke hat FAQs zum Urteil zusammengestellt.

posted by Stadler at 11:01