Das LG Düsseldorf hat mit Urteil vom 09. März 2016 eine zur Unternehmensgruppe von Peek & Cloppenburg gehörende Gesellschaft als Betreiberin einer Internetseite zur Unterlassung der Einbindung des Facebook- Like-Buttons als datenschutzwidrig verurteilt.
Die Verbraucherzentrale NRW ist der Ansicht, dass die Einbindung des Facebook-Like-Buttons auf der eigenen Homepage datenschutzwidrig sei, da nicht hinreichend darüber aufgeklärt werde, dass bereits bei dem Besuch der Internetseite auf der sich der Like-Button befindet, Daten an Facebook übertragen werden. In Folge dieser Rechtsansicht hat die Verbrau-cherzentrale NRW verschiedene namhafte Unternehmen in NRW abgemahnt und zur Unterlassung dieses datenschutzwidrigen Verhaltens aufgefordert. Die Firma Eventim, HRS, Kick und Nivea haben eine Unterlassungserklärung abgegeben. Gegen Payback läuft ein Gerichts-verfahren vor dem LG München und gegen die Fashion ID als konzernzugehörige Gesellschaft zur Peek & Cloppenburg Gruppe ist das vorliegende Verfahren vor dem LG Düsseldorf ange-strengt worden.
Das LG Düsseldorf hat in Kurzform die Rechtsansicht der Verbraucherzentrale in NRW geteilt. Die Fashion ID wurde zur Unterlassung der Verwendung des Facebook-Like-Buttons ohne ausreichende Erklärung darüber, dass bereits bei dem Besuch auf einer Internetseite mit Like-Button Daten an Facebook übertragen werden. Die zu Grunde liegenden datenschutzrechtlichen Regelungen aus dem Telemediengesetz seien marktverhaltensrelevant, so dass ein Verstoß gleichzeitig eine Wettbewerbsverletzung darstelle, für welche der Seitenbetreiber auch hafte, das es in seinem Verantwortungsbereich liege, den Facebook-Like-Button in die Internetseite zu integrieren oder nicht.
Im Hinblick auf die technischen Vorgänge stellte das Gericht fest, dass in jedem Fall personenbezogene Daten für Besucher der Webseite mit einem Facebook-Like-Button an Facebook übertragen werden, wenn der Besucher gleichzeitig ein Facebook-Konto besitzt und hier eingeloggt ist. Darüber werden auch personenbezogene Daten eines Nutzers übertragen, der bei dem Besuch auf der Internetseite bei Facebook ausloggt ist, allerdings die von Facebook bei dem Besuch der Internetseite übertragenen Cookies nicht aktiv gelöscht hat. Im Rahmen der Auseinandersetzung hat Facebook bestätigt, dass Verkehrsdaten der Internetnutzer, die auf Internetseiten surfen, auf denen ein Like-Button integriert ist, in jedem Fall gesammelt werden. Es werden zum Teil Session Cookies auf den Rechnern der Besucher installiert, welche direkt nach der Beendigung eine Internetnutzung durch Schließung des Browsers wieder gelöscht werden, aber auch permanente Cookies, welche die Verkehrsdaten des Nutzers über mehrere Monate oder Jahre sammeln. Vor diesem Hintergrund ist auch eine Personalisierung eines Users möglich, der sich im Nachhinein bei Facebook registriert haben. Daher bejahte das LG Düsseldorf in jedem Fall die Erhebung und Weitergabe von personenbezogenen Daten. Auf die momentan durch den BGH und dem EuGH vorgelegte Frage, ob eine IP Adresse generell als personenbezogenes Datum einzuordnen sei, kam es daher für das LG Düsseldorf nicht an. Gleichwohl erklärte das LG Düsseldorf, dass es hier „naheliegend sei der Rechtsansicht der Datenschutzbehörden zu folgen und die Speicherung und Übermittlung von IP Adressen gene-rell als datenschutzrechtlich relevante Nutzungshandlung von personenbezogenen Daten ein-zuordnen.
Die Verantwortlichkeit betreffe den Webseitenbetreiber, da es ihm völlig frei gestellt sei, den Facebook-Like-Button zu implementieren oder zumindest eine ausreichende Datenschutzer-klärung vorzunehmen. In diesem Kontext wies das LG Düsseldorf auch auf die Alternative „2-Klick-Verfahren“ hin, bei dem die Datenweiterleitung an Facebook eine vorhergehende Ein-verständnisabfrage vorgeschaltet ist.
Fazit:
Das Urteil des LG Düsseldorf hat sich über annähernd 5 Jahre angekündigt. So hatte das Un-abhängige Landeszentrum für Datenschutz ULD mit Schreiben vom 19. August 2011 sämtliche Webseitenbetreiber in Schleswig-Holstein aufgefordert, den Like-Button von Facebook aufgrund der Datenschutzwidrigkeit von den Internetseiten zu entfernen. Hier wurde bereits zum damaligen Zeitpunkt mit Untersagungsverfügungen und Bußgeldverfahren nicht nur gedroht, sondern in der Folge auch gegen einzelne Unternehmen und auch Behörden vorgegangen. Im Nachgang hat der Düsseldorfer Kreis, der Zusammenschluss der deutschen Datenschutz und Aufsichtsbehörden, Ende des Jahres 2011 die Rechtsansicht des ULD bestätigt und die Verwendung des Like-Buttons auf einer Internetseite als datenschutzwidrig eingestuft. Grundlage dieser Entscheidung ist die im Rahmen der Gerichtsentscheidung vor dem LG Düsseldorf besprochene technische Situation, dass zum gegenwärtigen Zeitpunkt zwar klar ist, dass auch bei dem bloßen Besuch einer Internetseite, auf der sich der Like-Button befindet, Daten an Facebook übertragen werden, allerdings nach wie vor unklar ist, in welchem Umfang und welche Daten hiervon betroffen sind. Aus Praktikabilitätsgründen ist die so genannte „2-Klick-Lösung“ dann eingeführt und von den Datenschutzbehörden auch geduldet worden, obwohl auch bei dieser Regelung aus meiner Einschätzung die Datenschutzrechtswidrigkeit nicht beseitigt wird. Hier wird im ersten Schritt der Facebook-Like-Button sozusagen „offline“ gesetzt und lediglich eine Grafik gespiegelt. Zu diesem Zeitpunkt findet dann noch keine Übertragung der IP-Adresse und sonstigen Nutzerdaten bei dem Besuch der Internetseite statt. Klickt der Besucher dann auf die Grafik, erscheint üblicherweise im Wege eines Pop-Up eine Aufklärung, dass „Daten an Facebook übermittelt werden“, zu deren Übermittlung die Einwilligung des Besuchers abgefragt wird. Hierzu bedarf es dann des zweiten Klicks.
Diese Lösung ist zwar von den Datenschutzbehörden geduldet, gleichwohl formaljuristisch ebenfalls datenschutzrechtswidrig. Eine wirksame Einwilligung ist nach ständiger Rechtsprechung nur dann möglich, wenn der Einwilligende diese freiwillig und informiert abgibt. Dies erfordert die konkrete Kenntnis, zu welchem Zweck welche Daten an Facebook übermittelt werden. Da sich hier Facebook nach wie vor ausschweigt, kann auch eine wirksame Einwilligung nach deutschem Recht nicht vorgenommen werden. Der Hinweis „erst wenn Sie hier kli-cken, wird der Button aktiv und bei dem Aktivieren werden Daten an Facebook übertragen“, ist insofern ungeeignet, da weder der Umfang der Daten beschrieben noch der konkrete Zweck genannt werden. Auch ein Verweis auf die Datenschutzbedingungen von Facebook ist hierbei ungenügend, wie insbesondere das LG Düsseldorf im Rahmen der Entscheidungsgründe auch klar stellte.
Warum gleichwohl die Entscheidung einen Aufschrei in der Internetgemeinde ausgelöst hat, ist vor dem Hintergrund der Historie nicht verständlich, da sich diese Entscheidung seit der Bekanntgabe des ULD im Jahr 2011 und spätestens seit der Bestätigung dieser Rechtsansicht durch den Düsseldorfer Kreis abgezeichnet hat. Darüber hinaus gilt die grundsätzliche Intention nicht nur für den Like-Button von Facebook, sondern für sämtliche Social Media Plug-Ins. Daher kann die einzige praktische Empfehlung momentan nur lauten, die zumindest auf Seiten der Datenschutzbehörden geduldete „2-Klick-Lösung“ zu wählen und die Einwilligungserklärung so gut und konkret wie möglich zu formulieren, also die Weitergabe der IP Adresse, des Browser Strings und die Widerruflichkeit der Einwilligungserklärung in die Datenübertragung bereits in die Information mit aufzunehmen. Dies führt zwar zu keiner sicheren Lösung, die so lange nicht möglich ist, bis Facebook hierzu Klarheit schafft.