Zum Like-Button Urteil in Düsseldorf: Wer ist denn nun für was verantwortlich?

Heute hat das Landgericht Düsseldorf in einem Verfahren zwischen der Verbraucherzentrale NRW und dem Unternehmen Fashion ID ein Urteil (pdf) zu datenschutzrechtlichen Fragen rund um den Facebook Like-Button gefällt (Az 12 O 151/15). Im Ergebnis wurde die Klage der Verbraucherschützer in weiten Teilen für begründet erachtet. Nachfolgend möchte ich kurz auf einige Aspekte des Urteils, teilweise auch kritisch, eingehen.

Das Unternehmen hatte auf seiner Webseite das bekannte Social Plugin eingebunden und hierauf in seiner Datenschutzerklärung, die über einen Link erreichbar war, hingewiesen. Zudem wurde dort darauf aufmerksam gemacht, dass Daten an Facebook übertragen werden und auf die Datenschutzerklärung von Facebook hingewiesen.

Personenbezug von IP-Adressen

Im Tatbestand führt das Gericht zunächst aus, dass es vorliegend um sog. Dynamische IP-Adressen geht. Nur dem jeweiligen Telekommunikationsunternehmen als Anbieter des Internetzugangs sei es möglich, Auskunft darüber zu erteilen, welchem Anschlussnehmer eine IP-Adresse zu einem bestimmten Zeitpunkt zugeordnet war.  Zudem geht das Gericht davon aus, dass beim Aufruf einer Webseite, die den Like-Button integriert hat, mindestens die IP-Adresse und der String des vom Webseitenbesucher genutzten Browsers an Facebook übermittelt werden.

Wichtig ist die Feststellung des Gerichts, dass diese Daten nicht vom Server des Webseitenbetreibers, sondern von dem Endgerät des Nutzers direkt an Facebook übermittelt werden.

In seinen Urteilsgründen geht das Gericht weiter davon aus, dass es Facebook zumindest mit Blick auf registrierte Mitglieder (seien diese ein- oder ausgeloggt, wenn sie die Webseite von Fashion ID besuchen) möglich sei, dieser IP-Adresse und anderen Informationen ein Mitglied zuzuordnen. Für Facebook handelt es sich also bei jenen Informationen, die über den Like-Button erhoben werden, um personenbezogene Daten.

Doch macht das Gericht hier nicht Halt, sondern geht, der sog. absoluten Theorie des Personenbezugs folgend, davon aus, dass damit die IP-Adresse auch für Fashion ID ein personenbezogenes Datum darstelle. Die Übermittlung der IP-Adresse stelle daher eine Übermittlung personenbezogener Daten dar.

Interessanterweise spricht das Gericht hier ausdrücklich von einer „Übermittlung“, obwohl zuvor festgestellt wurde, dass diese Übermittlung nicht, zumindest nicht technisch, durch den Webseitenbetreiber vorgenommen wird, sondern direkt zwischen dem Nutzer und Facebook erfolgt.

Webseitenbetreiber als datenschutzrechtlich verantwortliche Stelle

Danach stellt das Gericht fest, dass Fashion ID eine verantwortliche Stelle nach § 3 Abs. 7 BDSG ist. Es fragt sich jedoch: für was? Bzw. für welche konkreten Datenerhebungs-, – verarbeitungs- oder –nutzungsvorgänge?

Nach Auffassung des Gerichts ist der Begriff der „verantwortlichen Stelle“ weit auszulegen und der Webseitenbetreiber „beschafft“ personenbezogene Daten. Damit liegt eine datenschutzrechtlich relevante Erhebung (§ 3 Abs. 3 BDSG) vor. Diese Feststellung ist meines Erachtens von besonderer Relevanz für das weitere Studium des Urteils. Unter anderem auch deshalb, da später auf andere Verarbeitungsphasen abgestellt wird, was doch irritiert. Und zum anderen deshalb, weil ich eine datenschutzrechtliche Einwilligung konkret auf einen bestimmten Umgang mit personenbezogenen Daten beschränken muss. Unternehmen sollten also als Ergebnis zumindest wissen müssen, für welche Phase der Erhebung, Verarbeitung oder Nutzung sie, nach Auffassung des LG Düsseldorf, verantwortlich sind.

Schon im nächsten Satz führt das Gericht darüberhinausgehend aus, dass das Unternehmen durch die Einbindung des Plugins die „Datenerhebung und spätere Verwendung der Daten“ durch Facebook ermögliche.

Zwei Kritikpunkte: Die „Ermöglichung“ einer Datenverarbeitung ist nicht von der Definition der verantwortlichen Stelle (§ 3 Abs. 7 BDGS) umfasst. Zudem scheint nun hier doch eine Datenerhebung durch Facebook im Raum zu stehen, obwohl zuvor die Erhebung durch den Webseitenbetreiber festgestellt wurde.

In einem weiteren Satz geht das Gericht dann davon aus, dass Fashion ID durch das Einbinden des Plugins an der unmittelbar „an der Erhebung durch Facebook“ mitwirke. Geht das Gericht also nun von einer alleinigen Verantwortlichkeit für die Erhebung, einer Mitverantwortlichkeit oder aber einer Verantwortlichkeit von Facebook aus? Dies wird leider nicht deutlich.

Das LG Düsseldorf urteilt weiter, dass die „Erhebung der Daten zu deren Verwendung“ im „eigenen Tätigkeits- und Haftungsbereich“ des Unternehmens stattfinde. Auch hieraus ergibt sich meines Erachtens nicht klar, für welchen Vorgang das Unternehmen nun datenschutzrechtlich verantwortlich sein soll.

Dass Fashion ID keinen Einfluss auf die Verarbeitung der Daten hat, lässt das LG Düsseldorf nicht als Gegenargument gelten. Denn, so das Gericht, der „Vorgang“ wird durch die Einbindung des Codes in die eigene Webseite initiiert.

Rechtsgrundlage der … ja, was eigentlich?

Im nächsten Prüfungspunkt geht das Gericht auf die Frage der Zulässigkeit der „Datenübermittlung“ ein. Spätestens hier stellt sich mir die Frage, wie man nun auf die Phase der Übermittlung kommt, denn zuvor wurde noch über die „Erhebung“ diskutiert. Zudem möchte man fragen: welche Übermittlung? Vom Nutzer an Facebook?

Aus Sicht des LG Düsseldorf ist diese Datenübermittlung auf jeden Fall nicht auf § 15 TMG zu stützen. Denn die Datenübermittlung ist für den Betrieb der Webseite nicht erforderlich.

Danach prüft das Gericht eine „Datennutzung“, die nicht auf eine Einwilligung der Besucher gestützt werden könne. Hierunter scheint das LG Düsseldorf die Erhebung der Daten durch Fashion ID zu fassen.

Das Gericht erläutert nachfolgend die Anforderungen an eine Einwilligung nach § 13 Abs. 2 TMG. Nach Auffassung des Gerichts ist u.a. das Setzen eines Häckchens in einer Checkbox erforderlich, damit die Einwilligung eindeutig erteilt wird. Andere Gerichte, wie etwa das OLG Frankfurt am Main (hierzu mein Beitrag), sehen dies anders und lassen etwa für Cookies zu Werbezwecken ein opt-out als Form der Einwilligung ausreichen.

Ein Kommentar hierzu: wenn die Verbraucherzentrale NRW und das LG Düsseldorf für die Einbindung des normalen Like-Buttons tatsächlich eine Einwilligung nach § 13 Abs. 2 TMG fordern, frage ich mich, wie Webseitenbetreiber die übrigen Voraussetzungen der Norm erfüllen sollen. Gerade die Protokollierung und die jederzeitige Abrufbarkeit der Einwilligung durch den Nutzer werden wohl überhaupt nur möglich sein, wenn der Webseitenbetreiber noch mehr personenbezogene Daten sammelt und verarbeitet. Wie könnte die Erteilung der Einwilligung sonst protokollieren oder diese zum Abruf für jeden Nutzer bereithalten? Am Ende müsste der Webseitenbetreiber also eventuell, obwohl er daran gar kein Interesse hat, erst recht personenbezogene Daten erheben und verarbeiten.

Zudem stellt sich mir aus praktischer Sicht die einfache Frage, welchen konkreten Inhalt die hier geforderte Einwilligung denn nun haben soll. Bezieht sie sich auf die Erhebung, die Verarbeitung oder Nutzung? Bezieht sie sich auf diese Verarbeitungsvorgänge durch den Webseitenbetreiber oder durch Facebook? Wie kann ein Unternehmen eine konkret formulierte und auf bestimmt Zwecke festgelegte Einwilligungserklärung formulieren, wenn es selbst nicht weiß, für welche Zwecke die Daten bei Facebook genutzt werden?

Hinweise in der Datenschutzerklärung nicht ausreichend

Wie beschrieben hielt Fashion ID eine Datenschutzerklärung mit Informationen zum Like-Button vor. So, wie dies wohl derzeit auf deutschsprachigen Webseiten der Usus sein wird.

Dies reicht dem Gericht jedoch nicht aus. Denn der Hinweise auf die (ich gehe einmal davon aus) Erhebung erfolge so nicht „zu Beginn“ des Verarbeitungsvorgangs.

Fazit

In vielerlei Hinsicht lässt einen die Begründung des Gerichts zumindest innehalten oder die Stirn runzeln. Möchten Webseitenbetreiber die durch das Gericht aufgestellten Voraussetzungen erfüllen und dabei nicht auf Lösungen wie die 2-Klick-Lösung zurückgreifen, bleibt wohl nur ein Pop-Up oder Banner, welcher eine Einwilligungserklärung (mit opt-in check box) enthält. Die Einwilligung muss dann auch protokolliert und zum Abruf bereitgehalten werden. Man darf gespannt sein, ob dieses Urteil nicht eventuell in die nächste Instanz getragen wird.

16 thoughts on “Zum Like-Button Urteil in Düsseldorf: Wer ist denn nun für was verantwortlich?

  1. Pingback: LG Düsseldorf: Like-Button und Social-Plugins sind rechtswidrig (FAQ zum Urteil) - allfacebook.de

  2. Danke für den Kommentar. Doch ich bin verwirrt.

    War die Einbindung dieser Plugins nicht schon immer sehr kritisch zu sehen? Hat der heise-Verlag nicht extra deswegen die 2-Klick-Lösung entwickelt? Ist nicht wirklich fürchterlich, wenn Webseiten diese Plugins implementieren, die den US-amerikanischen SocialMedia-Diensten unsere IP-Adresse mitteilen?

    Darauf gehen Sie überhaupt nicht ein. Das halte ich für einen Fehler.

    Abgesehen davon: Wir haben es hier mit einer (erfolgreichen) Verbraucherschutz-Klage zu tun. Das ist angesichts des jüngst geänderten UKlaG ein interessantes Detail am Rande.

    • Hallo und vielen Dank für Ihren Kommentar. Ja, die Nutzung von Social-Plugins war schon seit Jahren umstritten. Ob der Einsatz kritisch zu sehen ist, ist natürlich eine Frage des Blickwinkels. Die Marketingabteilung wird das naturgemäß anders beurteilen als ein Verbraucherschutzverband.
      „Fürchterlich“ finde ich das nicht unbedingt. Daher gehe ich wahrscheinlich auch nicht darauf ein.
      Ja, hier ist ein Verbraucherverband erfolgreich gerichtlich gegen ein Unternehmen vorgegangen. Da kann man freilich die Frage stellen, inwiefern die Änderung des UKlaG erforderlich war, wenn es offensichtlich auch auf der Grundlage des alten Rechts möglich war, gegen Unternehmen vorzugehen. Das geänderte UKlaG sehe ich ohnehin, wie Sie evtl. wissen, recht kritisch. Viele Grüße.

      • Noch viel schlimmer ist es, wenn sich Facebook die IP-Adresse auch noch selbst holt! Und DIE Telekon GIBt SIE auch NOCH RaUS! ALsO NACHdeM OdER SOGAR BEVOR !!!! ICH!!!! Si slebst redSgedBB SKOnnte [es folgen an dieser Stelle noch viele mehr Ausrufezeichen und ein lautes Schaufen].

  3. Nachtrag: Das 20-seitige Urteil (publiziert von der Verbraucherzentrale NRW) habe ich nun gelesen.

    Die Beklagte hat sofort auf die 2-Klick-Lösung umgeschaltet, doch das war NACH der Unterlassungserklärung. Das Gericht sah es nicht als seine Aufgabe an, diese nachträgliche Änderung zu prüfen.

    Das ist auch ein wichtiges Detail, wie ich finde.

    • Ja, das Unternehmen hat umgestellt. Fraglich ist jedoch, ob die 2-Klick-Lösung rechtlich die Anforderungen, insbesondere an die Einwilligung (Opt-in, Protokollierung, jederzeitige Abrufbarkeit der Einwilligungserklärung) erfüllt. Der geschätzte Thomas Schwenke hat dies hier ebenfalls kritisch kommentiert. Viele Grüße.

    • In der normalen Welt vielleicht ein wichtiges Detail, vor Gericht vollends irrelevant, weil die Zwei-Klick-Variante nicht Streitgegenstand war und die Wiederholungsgefahr für die streitgegenständliche Ursprungsvariante nicht durch bloßes Entfernen entfallen ist. Kleines Einmaleins des Unterlassungsstreits im Zivilprozess.

  4. Ob das Urteil langfristig sich auch auf diesen, Ihren Blog auswirken mag?

    Verbindungen zu:
    fonts.googleapis.com   
    gstatic.com    
    twimg.com  
    twitter.com
    wp.com

    Sie scheinen die Tragweite von der Einbindung externe Drittanbieter-Dienste ja auch noch nicht begriffen zu haben.

      • Gut zu wissen, dass Sie die Aufhübschung durch Google Fonts dem Datenschutz Ihrer Besucher vorziehen.

        Scheinbar benötigt es noch mehr dieser Urteile, bis es auch Leute wie Sie begreifen.

        • In der Tat würde ich mich über mehr Urteile in diesem Themenbereich freuen. Auch um die, von Ihnen ja ebenfalls geforderte, Rechtssicherheit zu schaffen. Freilich nicht unbedingt mit demselben Ergebnis. Wie die Diskussion in der Öffentlichkeit und auch unter Juristen zeigt, ist das ja ein sehr streitbares Thema. Noch kurz zu Ihrer Anschuldigung: ich informiere mich selbstverständlich, was diese Features so „machen“. Und Google gibt in seinen Informationen für Entwickler an, dass zum einen keine Cookies o.ä. gesetzt werden und auch keine authentifizierten Informationen verwendet werden. Gerade auch eine Verknüpfung mit Google-Diensten wie Gmail findet nicht statt. Wenn Sie andere Informationen dazu haben, berücksichtige ich diese gerne. Beste Grüße.

  5. Pingback: Facebook-Buttons einbinden nur nach Einwilligung des Nutzers

  6. Pingback: Like-Button und Social Plugins sind rechtswidrig - Was nun?Social Media Systeme

Schreibe einen Kommentar zu Carlo Piltz Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert