Social Plugins vor dem Aus? Rechtliche Bedenken gegen die Einbindung des Facebook-Like Buttons auf Unternehmenswebsites

Das Verlinken der eigenen Website mit Social Media, wie etwa dem Netzwerk von Facebook Ireland Limited (im Folgenden „Facebook“) ist praktisch und verleiht dem Webauftritt einen frischen und dynamischen Touch. Zudem können mit der Verlinkung zwischen den Social Media und der Website vereinfacht gleichzeitig unterschiedliche Informationskanäle bespielt werden, die zu einer nicht ganz unerheblichen Attraktivität der Website für Suchmaschinen beitragen. Nicht zuletzt deshalb bedient sich der Facebook-Like Button (im Folgenden „Like-Button“) zunehmender Beliebtheit.
 
Aus datenschutzrechtlicher Sicht ist die Einbindung des Like-Buttons jedoch nicht ganz unproblematisch. Bereits mit Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich, dem sog. Düsseldorfer Kreis vom 8. Dezember 2011 wurde ausdrücklich darauf hingewiesen, dass die Einbindung von Social Plugins ohne ausreichender Informationen unzulässig ist. So heißt es hier:
 
Das direkte Einbinden von Social Plug ins, beispielsweise von Facebook, Google+ oder Twitter, in Websites deutscher Anbieter, wodurch eine Datenübertragung an den jeweiligen Anbieter des Social Plugins ausgelöst wird, ist ohne hinreichende Information der Internetnutzerinnen und -nutzer und ohne ihnen die Möglichkeit zu geben, die Datenübertragung zu unterbinden, unzulässig.
 
Mit Entscheidung vom 9. März 2016 hat das Landgericht Düsseldorf diese Entscheidung bekräftigt. Der Entscheidung ging eine Abmahnung eines Verbraucherverbandes gegen ein Unternehmen (im Folgenden „Unternehmen“) voran, dass den Like-Button in seine Website eingebunden hatte. In der ordnungsgemäß veröffentlichten Datenschutzerklärung wurde auf die Einbindung des Like-Buttons und den damit einhergehenden Datenaustausch zwischen dem Nutzer und Facebook hingewiesen. Gleichwohl erachtete das Gericht diesen Hinweis als unzureichend.
 
Das Unternehmen verwendete die sog. „Ein-Klick-Lösung“. Hierbei werden unmittelbar mit dem Laden der Unternehmenswebsite personenbezogene Daten zwischen dem Nutzer, der die Website aufruft, und Facebook ausgetauscht. In den Urteilsgründen heißt es hierzu:
 
„Nutzer der Beklagtenseite, die bei deren Aufruf auf [Facebook] eingeloggt sind, können mittels der IP-Adresse direkt ihrem [Facebook]-Konto zugeordnet werden, so dass für diese Gruppe ein Personenbezug gegeben ist. Auch bei [Facebook]-Nutzern, die sich zwar ausloggen, jedoch nicht ihre Cookies löschen, kann mittels gesetzter Cookies eine Zuordnung erfolgen.“
 
(LG Düsseldorf, Urt. v. 9. März 2016 - 12 O 151/15).
 
Mit der Einbindung des Like-Buttons in die Unternehmenswebsite begibt sich das Unternehmen in die datenschutzrechtliche Verantwortlichkeit. Es ist damit für die Verarbeitung der personenbezogenen Daten verantwortlich, und zwar unabhängig von der Frage, ob diese Daten bei dem Unternehmen überhaupt verarbeitet oder unmittelbar an Facebook weitergeleitet werden. Hierzu heißt es in den Urteilsgründen weiter:
 
„Allein, dass die Beklagte keinen direkten Einfluss auf die Funktionsweise des Buttons und die Verarbeitung der Daten hat, ihr deren Umfang sogar unbekannt sein mag, und dass sich ihre aktive Tätigkeit auf die Einbindung des Plugins erschöpft, steht dem ebenso wenig entgegen, wie die Tatsache, dass nicht die Beklagte an sie übermittelte und in ihrem Besitz stehende Daten an [Facebook] weiterleitet, sondern die Erfassung der IP-Adresse unmittelbar durch [Facebook] erfolgt…“
 
Das Gericht stellte klar, dass eine Datenschutzerklärung, die von jeder Unterseite abrufbar ist, nicht ausreiche, um die Datenübermittlung zwischen Nutzer und Facebook zu rechtfertigen:
 
„Eine Einwilligung ist zudem nur zulässig, wenn sie auf der freien Entscheidung des Betroffenen beruht. Weiter ist er auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie ggf. auf die Folgen der Verweigerung der Einwilligung hinzuweisen (§ 4a Abs. 1 BDSG). Dies bedeutet, dass eine Einwilligung freiwillig und informiert zu erfolgen hat. Die Einwilligung muss der Datenverarbeitung vorangehen und darf nicht erst nachträglich eingeholt werden. Die Einwilligung wiederum verlangt, dass der Nutzer über die Weitergabe seiner Daten vorher unterrichtet wird…“
 
Fazit

Im Ergebnis bleibt damit festzuhalten, dass die Verwendung der Ein-Klick-Lösung für Social Plugins in der Regel unzulässig ist, bei denen es zu einem Austausch von personenbezogenen Daten zwischen dem Nutzer und dem Social Media-Betreiber bereits beim ersten Laden der Unternehmenswebsite kommt.
 
Auch Unternehmen, die versuchen durch die sog. Zwei-Klick-Lösung diesen Datenschutzproblematiken zu umgehen, können sich nach dieser Entscheidung keinesfalls zurücklehen. Bei der Zwei-Klick-Lösung werden grundsätzlich mit dem Laden der Website durch den Browser zwar zunächst keine Daten zwischen dem Nutzer und dem Social Media-Betreiber ausgetauscht, der Datenaustausch erfolgt vielmehr erst nachdem der Nutzer durch erstmaliges Klicken auf das Social Plugin einem Datenaustausch mit dem Betreiber zustimmt. Es bestehen jedoch erhebliche Bedenken, ob die Einwilligung zum Datenaustausch mit dem ersten Klick auf das Social Plugin den Einwilligungserfordernissen gerecht werden kann (so auch Dr. Karsten Krupna in GRURPrax 2016, 137).
 
Entsprechende Bedenken gelten auch für sonstige entwickelte Alternativen, wie etwa den „c't Shariff“.
 
Um die bestehende Abmahngefahr zu verringern, ist zwingende Voraussetzung jedenfalls eine vollständige und richtige Datenschutzerklärung, die den Erfordernissen Ihrer Website gerecht wird. Ich helfe Ihnen gerne weiter.