Gerichtsurteil: „Social-Plugins“ dürfen keine Daten ohne Zustimmung erheben

Gefällt nicht allen: Die Sammelwut von „Social-Plugins“ (Foto:

Das Landgericht Düsseldorf hat in einem Urteil (Az. 12 O 151/15, pdf) die direkte Einbindung von „Social Plugins“ auf Webseiten für unzulässig erklärt. Die Verbraucherschutzzentrale NRW hatte gegen das Bekleidungsunternehmen Peek & Cloppenburg geklagt, weil schon beim einfachen Aufrufen der Internetpräsenz Daten über das Online-Verhalten der Nutzer an Facebook weitergeleitet werden. Das Gericht teilte am Mittwoch mit, dass die Integration sogenannter „Page Plugins“ gegen Datenschutzvorschriften verstößt, da unter anderem die IP-Adresse der Besucher ohne deren Zustimmung an Facebook übermittelt werden. Das Urteil könnte weitreichende Folgen für alle Webseiten haben, die entsprechende Plugins verwenden. Es ist allerdings noch nicht rechtskräftig.

Persönlichen Daten wie IP-Adressen oder in Cookies gespeicherte Informationen werden bereits beim Seitenaufbau über die „Social-Plugins“ an Facebook, Google oder Twitter übertragen – und zwar auch, wenn der Besucher der Webseite kein Konto bei diesen Unternehmen hat oder die Funktionen der Plugins letzlich nicht nutzen will. Ist der Nutzer bei Facebook eingeloggt, identifiziert ihn das Unternehmen sogar eindeutig. Facebook erfährt damit, welche Seiten er besucht, und speist so das interne System zu Anzeige personenbezogener Werbung.

Umstrittene Auslegung der Datenschutzbestimmungen

Der Fachanwalt für IT-Recht und Gewerblichen Rechtsschutz Thomas Stadler nimmt auf seinem Blog Stellung zum Urteil des Düsseldorfer Landgerichts. Er bezeichnet es als strittigen Punkt in der Entscheidung, dass der Webseitenbetreiber verantwortlich im Sinne des Datenschutzrechts sein soll. Die Auffassung der Richter basiere darauf, dass der Betreiber einer Webseite letztendlich die Daten beschafft, die Facebook dann verarbeitet. Stadler schreibt:

Nach Art. 2 d) der Datenschutzrichtlinie ist Verantwortlicher die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Stadler betrachtet jedoch den Webseitenbetreiber nicht als Verantwortlichen für den Datenschutz. Denn er entscheide nicht über die Art und Ziele der Datenverarbeitung, auch wenn er mit dem Plugin zur Datenverarbeitung durch Facebook beiträgt.

Ist verantwortliche Stelle also nur derjenige, der die Kontrolle und Herrschaft über die Daten und den Datenverarbeitungsvorgang hat, oder darüber hinausgehend jeder, der in kausaler Weise an der Beschaffung oder Verarbeitung der Daten mitwirkt? Diese Frage wird die Rechtsprechung eindeutig zu klären haben.

Die Frage, ob die Seitenbetreiber für die Datenschutz-Ignoranz der Plugin-Anbieter belangt werden können, hatten Gerichte bisher mit der Begründung der Nichtzuständigkeit der deutschen Datenschützer abgewiesen: Es gelte das irische Recht, da Facebook dort den Sitz seiner europäischen Niederlassung hat. Dem Europäischen Gerichtshof liegt dieser Punkt momentan zur Entscheidung vor.

Nun argumentierten die Richter in Düsseldorf, dass allein die „Ermöglichung“ zur Erhebung von Daten durch den Plugin-Einbau für eine Verantwortlichkeit ausreicht. Im entsprechenden Paragraphen des Bundesdatenschutzgesetzes ist eine „Ermöglichung“ als Bedingung einer datenschutzrechtlichen Verantwortung jedoch nicht geregelt.

Rechtmäßige Verwendung von „Social-Plugins“ uneindeutig

Um rechtswidriges Handeln zu vermeiden, dürfen Nutzerdaten laut Telemediengesetz nur pseudonym erhoben werden. Dem Landgericht gelten die IP-Adressen der Besucher allerdings als personenbezogen. Eine Erhebung ist daher nur dann legal, wenn die Nutzer ausdrücklich einwilligen – der Hinweis darauf allein in den Datenschutzbestimmungen reicht nicht aus. Selbst wenn der Nutzer beim Besuch der Seite gefragt wird: Damit eine solche Einwilligung überhaupt wirksam ist, muss eindeutig geklärt sein, wie die Daten verwendet werden. Eine wirksame Einwilligung dürfte allerdings weder von Nutzern von Facebook noch von Nicht-Nutzern vorliegen.

Eine Möglichkeit, die „Social-Plugins“ rechtskonform zu nutzen, ist die sogenannte „Zwei-Klick-Lösung“, wie wir sie anbieten. Dabei erscheinen die eigentlichen „Like-“ und „Share-Buttons“ erst durch einen Klick. Eine vorherige Übertragung der Daten findet nicht statt, mit dem Klick erklärt der Besucher sich mit der Übertragung einverstanden. Ob diese Lösung zulässig ist, wollte das Gericht nicht entscheiden – die Frage sei nicht Gegenstand der Verhandlung gewesen. Allerdings dürfte die „Zwei-Klick-Lösung“ den Anforderungen entsprechen.

Die Piratenpartei forderte in einer Stellungnahme die bundesweite Durchsetzung des Urteils. Wie der Datenschutzbeauftragte Patrick Breyer mitteilte, ist…

Dieses Urteil […] wegweisend für den Schutz von Internetnutzern vor der allgegenwärtigen Speicherung und Auswertung ihres Surfverhaltens, ihrer Vorlieben und Interessen durch Internetkonzerne und Werbenetzwerke. Die Verantwortlichkeit der deutschen Webseitenbetreiber wird ebenso anerkannt wie der naheliegende Personenbezug von IP-Adressen und das Klagerecht der Verbraucherzentrale.

Konsequenterweise müsste das Urteil alle eingebetteten Inhalte und Verlinkungen betreffen, sofern diese unter anderem dem Zweck des Trackings dienen. Da das Urteil aber noch nicht rechtskräftig ist, kann man davon ausgehen, dass es noch angefochten wird. Auf jeden Fall ist mit einer Zunahme von datenschutzrechtlichen Abmahnungen zu rechnen. Es ist zu hoffen, dass sich auch andere juristische Instanzen am Urteil des Landgerichts Düsseldorf orientieren.

18 Ergänzungen

  1. Ein gutes Urteil! So langsam kommt die Justiz in Fahrt, bezüglich ungezügelter Datensammelei. Ein Anfang ist gemacht.

  2. Das Urteil sagt noch nicht viel aus. Es ist weder rechtskräftig noch umfassend. Bis die Gerichte derlei endlich fertig geregelt kriegen, ist es schon nicht mehr relevant.
    mfg R.K.

  3. Interessant wäre gewesen, was der Nutzer jetzt schon machen kann um eine solche Datensammelei zu unterbinden. Beispielsweise, nutzt es etwas, per Privoxy alle Vorkommen von ‚facebook.com‘ im Quelltext der Seite durch einen anderslautenden Text zu ersetzen? Wird dann das Abgrapschen der IP-Adresse unterbunden? Schreibt da doch mal was zu, würde mich sehr interessieren.

    1. Betreibe einen DNS-resolver in deinem Netz (bind, unbound, o.ä.).
      Konfiguriere die local-zone

      Erstelle Einträge für domains wie
      local-zone: „facebook.com“ static
      local-zone: „facebook.de“ static
      local-zone: „facebook.net“ static
      oder sub-domains
      local-data: „scripts.zeit.de A 127.0.0.1“

      Das ist schnell und sehr effektiv.
      Und, ja, Privoxy ist auch prima, aber etwas mühsamer und machtlos bei https Verbindungen.

      1. zu umständlich, und einseitig (trifft nur facebook). Einen Überblick kann man sich mit Tools wie z.B. RequestPolicy verschaffen. Das zeigt jede Anfrage an Drittseiten an und kann sie auch blocken.

      2. Danke Stefan, ‚RequestPolicy Continued‘, sieht sauber aus, Nachteil natürlich, daß es nur im Fuchs funktioniert. Ich warte mal ab, bis das nicht mehr Beta ist.

    2. Wenn es nur um das lokale Gerät gehen soll, kannst du nach dem gleichen Prinzip auch Einträge in der Datei „hosts“ anlegen, die diese Domainnamen nach 127.0.0.1 auflösen. Sieht dann so aus:

      127.0.0.1 http://www.facebook.com
      127.0.0.1 analytics.google.com

      Jede Domain muss einzeln eingetragen werden, Subdomains werden nicht automatisch berücksichtigt. Mit einer Datei von 30 Einträgen kann man sich gegen den gröbsten ungefragten Mist wehren. Gibt auch vorgefertigte Blocklisten, einige extrem (zu?) umfangreich. Adblocker macht ja schon viel, ist nur eben nicht 100% zuverlässig.

      1. Ohne http, das kommt von der automatischen URL-Erkennung hier ;)

        Noch ein Tipp: Viele Anbieter versuchen die zwielichtigen Anrufe beim Trackingserver zu verschleiern, indem z.B. die Adresse im Quelltext per Script zusammengesetzt wird. Und auch normale Anwendungen/Apps telefonieren oft nach Hause! Die beiden Methoden oben verhindern effektiv die Kontaktaufnahme auf Betriebssystemebene.

  4. „Es ist zu hoffen, dass sich auch andere juristische Instanzen am Urteil des Landesgerichts Düsseldorf orientieren.“

    Oh, tatsächlich? Seit wann hoffen wir denn auf eine (rechtlich umstrittene, siehe Stadler) Stellvertreter-Haftung und entlassen Facebook somit de facto aus der Verantwortung? ^br

    1. Schuld daran, dass die Daten an FB gesendet werden, hat ja wohl der, der die FB plugins einbindet, und nicht FB. Von „Stellvertreterhaftung“ sehe ich da nichts.

  5. Sehr gutes, längst (!) überfälliges Urteil!
    Die Rechtslage ist solange schon klar, wie es das Internet gibt.
    Die Aufsichtsbehörden sind nach eigener Aussage nur unterbesetzt.
    Und: Stadler liegt falsch. Selbstverständlich kann sich Peek & Co nicht darauf berufen, es wisse ja nicht / könne ja nichts dafür, wie Facebook die Daten misshandelt. Stimmte das, könnte ich ja Weiß-Gott-was in meine Seiten einbauen und fremde Rechner leersaugen.

  6. Wenn Facebook nicht darauf hinweist, dass man gegen Datenschutz verstößt, wenn man sein PlugIn verwendet, könnte man denen „den Streit verkünden“ und die mit bezahlen lassen…?

    „Konsequenterweise müsste das Urteil alle eingebetteten Inhalte und Verlinkungen betreffen,…“
    Eine bloße Verlinkung ist was anderes als eingebettete Inhalte (YouTubeVideo, Google Webfonts, CDN), ein Link stellt eine Verbindung zum Server erst beim Anklicken her. Der FB-Button bereits beim bloßen Aufruf der Seite, auf der der Button drauf ist.

  7. Wo ist denn der Unterschied zwischen sichtbaren und unsichtbaren trackern? Also konkret: warum sind social plugins böse und werbe tracker nicht?

  8. Danke!

    Ich verwende nicht die `hosts` Datei, sondern kann nur AdBlock plus und µblock, sowie NoScript plugins empfehlen!

    Außerdem habe ich RequestPolicy im Block-Modus am laufen – dabei werden erstmal alle ThirdParty Adressen komplett außgeschlossen. Das ist zwar schwierig, da man beispielsweise um `web.de` aufzurufen, auch `webde.de`, `ui-portal.de`, `uimserv.net` genehmigen muss.
    Jedenfalls ist es ein komplettes, absolutes `Opt-In` – anstelle eines `Opt-Out` im Web!

    Ich möchte mich nun dafür bedanken, dass endlich mal richterlich festgehalten wurde, dass wenn man `A` besucht, nicht unwissentlich[*] auch `B` und `C` besuchen muss.

    [*] unwissentlich: Man kann mit µblock (im Expertenmodus) und RequestPolicy auch „sehen“ und daher auch „wissen“, wer alles geblockt wird.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.