Das Landgericht Düsseldorf hat in einem Urteil (Az. 12 O 151/15, pdf) die direkte Einbindung von „Social Plugins“ auf Webseiten für unzulässig erklärt. Die Verbraucherschutzzentrale NRW hatte gegen das Bekleidungsunternehmen Peek & Cloppenburg geklagt, weil schon beim einfachen Aufrufen der Internetpräsenz Daten über das Online-Verhalten der Nutzer an Facebook weitergeleitet werden. Das Gericht teilte am Mittwoch mit, dass die Integration sogenannter „Page Plugins“ gegen Datenschutzvorschriften verstößt, da unter anderem die IP-Adresse der Besucher ohne deren Zustimmung an Facebook übermittelt werden. Das Urteil könnte weitreichende Folgen für alle Webseiten haben, die entsprechende Plugins verwenden. Es ist allerdings noch nicht rechtskräftig.

Persönlichen Daten wie IP-Adressen oder in Cookies gespeicherte Informationen werden bereits beim Seitenaufbau über die „Social-Plugins“ an Facebook, Google oder Twitter übertragen – und zwar auch, wenn der Besucher der Webseite kein Konto bei diesen Unternehmen hat oder die Funktionen der Plugins letzlich nicht nutzen will. Ist der Nutzer bei Facebook eingeloggt, identifiziert ihn das Unternehmen sogar eindeutig. Facebook erfährt damit, welche Seiten er besucht, und speist so das interne System zu Anzeige personenbezogener Werbung.

Umstrittene Auslegung der Datenschutzbestimmungen

Der Fachanwalt für IT-Recht und Gewerblichen Rechtsschutz Thomas Stadler nimmt auf seinem Blog Stellung zum Urteil des Düsseldorfer Landgerichts. Er bezeichnet es als strittigen Punkt in der Entscheidung, dass der Webseitenbetreiber verantwortlich im Sinne des Datenschutzrechts sein soll. Die Auffassung der Richter basiere darauf, dass der Betreiber einer Webseite letztendlich die Daten beschafft, die Facebook dann verarbeitet. Stadler schreibt:

Nach Art. 2 d) der Datenschutzrichtlinie ist Verantwortlicher die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Stadler betrachtet jedoch den Webseitenbetreiber nicht als Verantwortlichen für den Datenschutz. Denn er entscheide nicht über die Art und Ziele der Datenverarbeitung, auch wenn er mit dem Plugin zur Datenverarbeitung durch Facebook beiträgt.

Ist verantwortliche Stelle also nur derjenige, der die Kontrolle und Herrschaft über die Daten und den Datenverarbeitungsvorgang hat, oder darüber hinausgehend jeder, der in kausaler Weise an der Beschaffung oder Verarbeitung der Daten mitwirkt? Diese Frage wird die Rechtsprechung eindeutig zu klären haben.

Die Frage, ob die Seitenbetreiber für die Datenschutz-Ignoranz der Plugin-Anbieter belangt werden können, hatten Gerichte bisher mit der Begründung der Nichtzuständigkeit der deutschen Datenschützer abgewiesen: Es gelte das irische Recht, da Facebook dort den Sitz seiner europäischen Niederlassung hat. Dem Europäischen Gerichtshof liegt dieser Punkt momentan zur Entscheidung vor.

Nun argumentierten die Richter in Düsseldorf, dass allein die „Ermöglichung“ zur Erhebung von Daten durch den Plugin-Einbau für eine Verantwortlichkeit ausreicht. Im entsprechenden Paragraphen des Bundesdatenschutzgesetzes ist eine „Ermöglichung“ als Bedingung einer datenschutzrechtlichen Verantwortung jedoch nicht geregelt.

Rechtmäßige Verwendung von „Social-Plugins“ uneindeutig

Um rechtswidriges Handeln zu vermeiden, dürfen Nutzerdaten laut Telemediengesetz nur pseudonym erhoben werden. Dem Landgericht gelten die IP-Adressen der Besucher allerdings als personenbezogen. Eine Erhebung ist daher nur dann legal, wenn die Nutzer ausdrücklich einwilligen – der Hinweis darauf allein in den Datenschutzbestimmungen reicht nicht aus. Selbst wenn der Nutzer beim Besuch der Seite gefragt wird: Damit eine solche Einwilligung überhaupt wirksam ist, muss eindeutig geklärt sein, wie die Daten verwendet werden. Eine wirksame Einwilligung dürfte allerdings weder von Nutzern von Facebook noch von Nicht-Nutzern vorliegen.

Eine Möglichkeit, die „Social-Plugins“ rechtskonform zu nutzen, ist die sogenannte „Zwei-Klick-Lösung“, wie wir sie anbieten. Dabei erscheinen die eigentlichen „Like-“ und „Share-Buttons“ erst durch einen Klick. Eine vorherige Übertragung der Daten findet nicht statt, mit dem Klick erklärt der Besucher sich mit der Übertragung einverstanden. Ob diese Lösung zulässig ist, wollte das Gericht nicht entscheiden – die Frage sei nicht Gegenstand der Verhandlung gewesen. Allerdings dürfte die „Zwei-Klick-Lösung“ den Anforderungen entsprechen.

Die Piratenpartei forderte in einer Stellungnahme die bundesweite Durchsetzung des Urteils. Wie der Datenschutzbeauftragte Patrick Breyer mitteilte, ist…

Dieses Urteil […] wegweisend für den Schutz von Internetnutzern vor der allgegenwärtigen Speicherung und Auswertung ihres Surfverhaltens, ihrer Vorlieben und Interessen durch Internetkonzerne und Werbenetzwerke. Die Verantwortlichkeit der deutschen Webseitenbetreiber wird ebenso anerkannt wie der naheliegende Personenbezug von IP-Adressen und das Klagerecht der Verbraucherzentrale.

Konsequenterweise müsste das Urteil alle eingebetteten Inhalte und Verlinkungen betreffen, sofern diese unter anderem dem Zweck des Trackings dienen. Da das Urteil aber noch nicht rechtskräftig ist, kann man davon ausgehen, dass es noch angefochten wird. Auf jeden Fall ist mit einer Zunahme von datenschutzrechtlichen Abmahnungen zu rechnen. Es ist zu hoffen, dass sich auch andere juristische Instanzen am Urteil des Landgerichts Düsseldorf orientieren.