Das Landgericht in Düsseldorf hat am 9. März 2016 entschieden, dass die Nutzung des Facebook-Plugins „Gefällt mir“ auf der Webseite der Beklagten, ohne dass die Beklagte die Nutzer der Internetseite vor der Übermittlung deren IP-Adresse und Browserstring an Facebook über diesen Umstand aufklärt, unlauter im Sinne des geltenden Wettbewerbsrecht und Telemediengesetz ist
(§ 3a UWG i.V.m. § 13 TMG).
Zum Hintergrund
Die Beklagte betreibt einen Onlineshop für Bekleidung und hatte auf ihrer Internetseite einen sog. „Like-Button“ – ein Plugin von Facebook – eingebunden. Hierdurch bestand die Möglichkeit, direkt auf der Seite der Beklagten die Facebook-Funktion „Gefällt mir“ durch Anklicken des entsprechenden Buttons zu nutzen.
Für die Button-Funktionalität stellte Facebook der Beklagten einen Programmcode zur Verfügung, den diese in die HTML-Programmierung ihrer Webseite mittels eines sog. Iframes (=Inline-Frames) einband (sog. „Plugin“). Die Einbettung eines Plugins hat zur Folge, dass bei jedem Aufruf der Internetseite mit Plugin automatisch Daten an den Anbieter des Plugins übertragen werden. Dieser Vorgang bedeutet, dass Facebook bereits mit Aufruf der Seite der Beklagten und unabhängig davon, ob die Funktion „Gefällt mir“ durch Anklicken genutzt wurde, eine Mitteilung über den Seitenaufruf und bestimmte Informationen über die Abfrage erhielt. So wurden in jedem Fall eines Aufrufs der Seite der Beklagten bestimmte Grunddaten an Facebook übermittelt, jedenfalls die IP-Adresse, unter der der Nutzer „online“ war, und der String des genutzten Browsers. Bei diesen Daten handelt es sich um die gleichen Daten, die bei Aufruf einer Webseite an den Server, auf dem die Internetseite gehostet ist, übermittelt werden. Die Übermittlung an Facebook erfolgt aber nicht über den Server des Internetseitenanbieters, sondern auf Grundlage des HTML-Codes direkt von dem Nutzercomputer an Facebook. Bei dieser Datenübermittlung erhält Facebook auch eine Information über die besuchte Webseite, hier also jene der Beklagten, eine eindeutige ID dieser Webseite Daten des Computersystems, über das der Internetnutzer die Seite der Beklagten aufruft.
Bei der IP-Adresse, die an Facebook übermittelt wird, handelt es sich in aller Regel um eine sog. dynamische IP-Adresse, die der Provider einem Gerät seines Endnutzers für den Zeitraum einer bestimmten Internetnutzung zur Verfügung stellt. Der Browserstring ermöglicht zwar keine unmittelbare Identifizierung des Nutzers, dafür aber einen Abgleich der bereits vorhandenen Facebook-Nutzerdaten mit den so gewonnenen IP-Daten.
Die Beklagte hielt auf ihrer Internetseite eine von jeder Unterseite mittels eines Klicks auf den am unteren Seitenrand befindlichen Link „Datenschutzerklärung“ erreichbare Datenschutzerklärung bereit. Diese enthielt u.a. Hinweise zur Nutzung sog. Social Plugins, und hielt fest, dass es, um die Speicherung von Besucherdaten und eine Verknüpfung mit den in dem sozialen Netzwerk gespeicherten Informationen zu verhindern, ratsam sei, sich zuvor aus dem entsprechenden sozialen Netzwerk auszuloggen. Sie wies ausserdem darauf hin, dass es möglich sei, die Funktion der Plugins der sozialen Netzwerke mit sog. Add-Ons für den Browser zu blockieren, beispielsweise durch Benutzung eines so genannten „Facebook-Blockers“. Schliesslich war in der Datenschutzerklärung auch ein Link auf die Datenschutzerklärung der als Betreiberin des Plugins bezeichneten Facebook Inc. enthalten, die eine Information über die dort stattfindenden Datenerhebungs- und Verarbeitungsvorgänge enthielt.
Entscheidungsgründe
Das Landgericht hielt die vorgenannten Hinweise in der Datenschutzerklärung der Beklagten für ungenügend:
Personenbezogene Daten dürfen zur Bereitstellung von Telemedien nur erhoben und verwendet werden, sofern das TMG oder eine andere telemedienrechtliche Vorschrift dies erlauben oder der Nutzer eingewilligt hat. Nach § 13 Abs. 1 Satz 1 TMG hat der Betreiber eines Telemediendienstes den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs des EWR in allgemein verständlicher Form zu unterrichten.
Vorliegend wurden bereits mit dem Besuch der Webseite der Beklagten Nutzungsdaten, also Daten, die erforderlich sind, um eine Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (§ 15 Abs. 1 S. 1 TMG) erhoben. Waren die Nutzer der Beklagtenseite bei deren Aufruf auf Facebook eingeloggt, konnten sie mittels der IP-Adresse direkt ihrem Facebook-Konto zugeordnet werden. Auch bei Facebook-Nutzern, die sich zwar ausloggten, jedoch nicht ihre Cookies löschten, konnte mittels gesetzter Cookies eine Zuordnung erfolgen.
Trotzdem war, bevor das Plugin auf der Webseite der Beklagten erschien und die Datenweitergabe erfolgte, durch die Besucher keine diesbezügliche Einwilligung abzugeben. Auch hinsichtlich der Nutzer, die ein Facebook-Konto im Wissen um die Datenschutzrichtlinie von Facebook angelegt haben, ergab sich nicht, dass diese um die Nutzung auf der Seite der Beklagten konkret wussten oder sich einverstanden erklärten. Die Belehrung über Plugins an sich genügt hierfür jedenfalls nicht.
Im Rahmen einer Verhältnismässigkeitsprüfung hielt das Landgericht ausserdem fest, dass der „Gefällt mir“-Button für den Betrieb der Seite der Beklagten nicht unabdinglich sei. Diese sei, wie jede Webseite, auch ohne Social Plugins zu betreiben und für die Nutzer aufzurufen. Eine große Verbreitung der Plugins oder Vorteile für die Beklagte auf Grund eines Marketing-Effekts führen nicht dazu, dass diese das Plugin in der beanstandeten Weise zwingend einzusetzen hätte.
Fazit
Das dem Urteil zugrunde gelegte Verständnis bewirkt kein absolutes Verbot der Einbindung von Drittinhalten, wie sie im Web 2.0 häufig anzutreffen sind. Das vom Gericht ausgesprochene Verbot gilt vielmehr nur für den Einzelfall, der nach technischer Funktionsweise, dem Zweck der Datenerhebung und durch die bestimmte geschäftliche Natur der Beklagtenseite bestimmt ist. Will der Betreiber einer Webseite weiterhin die Vorteile einer Verknüpfung mit Facebook nutzen, so muss dieser jedoch die Rechte derer, die eine Drittweitergabe ihrer Daten weder erwarten, noch wünschen, angemessen beachten. Dies etwa durch Anwendung eines sog. „2 Klick-Verfahren“, bei dem der Datenweiterleitung eine Einverständnisabfrage vorgeschaltet ist.
Urteil des Landgericht Düsseldorf vom 9.03.2016 (12 O 151/15)