LG Düsseldorf vom 19.01.2017 – 12 O 151/15 – Datenschutzkonformen Verwendung von Social Media-Plugins.
Mehrere Unternehmen wurden von der Verbraucherzentrale NRW im Mai 2015 abgemahnt weil sie den Like-Button von Facebook auf ihrer Webseite integriert hatten. In einem dieser Fälle hat das Landgericht (LG) Düsseldorf mit Az.: 12 O 151/15 am 9. März 2016 entschieden, dass Onlineshop-Betreiber gegen geltendes Datenschutzrecht verstoßen wenn das Plugin von Facebook genutzt wird ohne Seitenbesucher vorab ausreichend darüber zu informieren. Das LG bemängelte, dass durch die Einbindung des Plugins auf der Webseite dem Unternehmen Facebook der Zugriff auf die IP-Adresse des Nutzers ermöglicht wird, ohne dass der Besucher vorher darüber aufgeklärt wird und dieser die Möglichkeit erhält, dies zu verweigern. Bei herkömmlichen Social Media-Plugins erfolgt die Datenübermittlung bereits mit Aufruf der Webseite und unabhängig davon, ob z.B. die Facebook Funktion durch Anklicken genutzt wird. Der Fall vor dem LG Düsseldorf ging in die Berufung und das OLG hat am 19. Januar 2017 beschlossen, in einigen der fallspezifischen Fragen den EuGH zu einem Vorabentscheidungsverfahren anzurufen. Bis zu einer Rückmeldung des EuGH ist eine Entscheidung in dieser Sache vertagt.
Je nach Ausgang des Verfahrens kann die Verwendung von Social Media-Buttons künftig gegen geltendes Datenschutzrecht verstoßen. Dies betrifft nicht nur das Facebook-Plugin sondern kann auch andere Social Media-Plugins einbeziehen, sofern diese eine unautorisierte Datenerhebung durchführen. Entscheidend ist hierbei ob das Plugin derart entworfen ist, dass eine Erhebung ohne vorherige Einwilligung des Betroffenen stattfindet. Das bisherige Urteil des LG Düsseldorf deutet darauf hin, dass dann selbst ein entsprechender Hinweis in der Datenschutzerklärung nicht mehr ausreicht um der Informationspflicht des Webseitenbetreibers nachzukommen und dem Besucher Wahlfreiheit zu ermöglichen.
Da sich das Urteil des LG Düsseldorf auf eine wettbewerbsrechtliche Abmahnung bezieht ist in dieser Sache künftig verstärkt mit Abmahnungen gegen Online-Shops und Unternehmens-Webseiten zu rechnen. Besonders kommerzielle Webseitenbetreiber sollten daher in Erwägung ziehen, eingebundene Social Media-Plugins zu entfernen (sofern diese mit dem Datenschutzrecht unvereinbar sind), oder auf Lösungen umzusteigen die eine unautorisierte Datenübermittlung an den Plugin-Anbieter unterbindet. Prüfen Sie dazu auch die Datenschutzerklärung ihrer Social Media-Anbieter, ob und in welcher Form diese personenbezogene Daten über deren Plugins erhoben werden, und achten Sie dabei auch darauf ob das Social Media Unternehmen einen Firmensitz außerhalb der EU gewählt hat.
Zu den herkömmlichen Social Media-Plugins gibt es datenschutzkonforme Alternativen: Shariff-Buttons verwenden CSS-formatierte HTML-Links, die keinen Verbindungsaufbau des Client-Browsers mit dem Server der Social Media-Webseite erfordern. Ein serverbasiertes Skript ruft relevante Daten per API von der Social Media-Website ab, überträgt jedoch keine Benutzerdaten. Solange der Besucher keinen der Links anklickt bleibt er für den Social Media-Anbieter unsichtbar. Neben den Shariff-Buttons oder der Zwei-Klick-Methode sind noch weitere datenschutzkonforme Lösungen auf dem Markt verfügbar.