Der Gefällt mir-Button vor dem EuGH – Werbung über Social Media oder lieber Rechtssicherheit durch Datenschutz? Eine Compliance-Frage für Unternehmer

Rechtstipp 02/2019

 

I. Ausgangslage

Was Menschen im Internet gefällt, lassen sie ihre Mitmenschen gern wissen. So ist das führende soziale Netzwerk mit dem blauen Logo bekanntermaßen auf die Idee gekommen, das Mitteilen leicht zu machen. Ein Klick auf den Gefällt mir-Button und jeder kann sehen, was man mag. Dass die gefallenden Inhalte nicht nur privat, sondern auch gewerblich sein können, hat mittlerweile auch die Wirtschaft verstanden und weiß dieses Wissen zu nutzen. Der einzelne Nutzer darf das werbende Unternehmen gern mit Gefällt mir markieren, um dessen Bekanntheitsgrad zu erhöhen. Da liegt es nahe, dass der Unternehmer es dem Nutzer so einfach wie möglich macht und den Gefällt mir-Button gleich auf seiner Homepage integriert. Werbetechnisch schlau genutzt, wenn da nur nicht diese Sache mit dem Datenschutz wäre.

Dass das führende soziale Netzwerk mit dem blauen Logo mit den erhobenen Daten der einzelnen Nutzer verantwortungsbewusst umgehen muss (bzw. es eigentlich müsste), war bereits Gegenstand vieler Kontroversen. Kann man den Wunsch des Nutzers, Inhalte in sozialen Netzwerken ohne rechtliche Kontrolle und nach Belieben zu teilen, überhaupt mit Datenschutz in Einklang bringen? Und warum sollten Unternehmer sich dafür interessieren? Müssen die Nutzer die Wahrung ihrer Rechte nicht nur mit den sozialen Netzwerken ausfechten?

Nach Ansicht der Verbraucherzentrale NRW nicht. Denn nach dieser Ansicht soll auch der Unternehmer für die Erhebung und den Umgang mit Nutzerdaten mitverantwortlich sein, wenn er den Gefällt mir-Button auf seiner Homepage integriert und damit ein Plugin eines sozialen Netzwerkes, welches von Dritten programmierte Software enthält, installiert. Da der betroffene Unternehmer die Frage der Verantwortlichkeit anders sah, hat die Verbraucherzentrale NRW Klage beim Landgericht Düsseldorf eingereicht. Nachdem das Landgericht Düsseldorf die Nutzung des Gefällt mir-Buttons im vorliegenden Fall für rechtswidrig erklärt hatte, schob das Oberlandesgericht Düsseldorf die Sache in zweiter Instanz nach Luxemburg und lässt nun den Europäischen Gerichtshof im Wege des Vorabentscheidungsverfahrens über die wesentlichen Rechtsfragen entscheiden.

II. Das Problem

Die Integration des Gefällt mir-Buttons führt auf einer beliebigen Homepage außerhalb von Facebook durch das bloße Aufrufen der Seite zur Erhebung und Übermittlung von personenbezogenen Daten des Nutzers an Facebook. Nach Ansicht des Generalanwaltes des EuGH sei der Unternehmer in dieser Phase der Datenverarbeitung für die Erhebung und Weiterleitung von personenbezogenen Daten mitverantwortlich. Das bedeute, dass der Unternehmer dem Nutzer die nach geltendem Datenschutzrecht erforderlichen Hinweise zukommen lassen und, sofern nötig, vorab die Zustimmung der Nutzer einholen müsse. Andernfalls verhalte er sich wettbewerbswidrig. Dieses Erfordernis sei im streitgegenständlichen Fall aber nicht eingehalten, da bereits bei Öffnen der Homepage des Unternehmers, mithin auch ohne Drücken des Gefällt mir-Buttons, Daten des Nutzers an Facebook übertragen wurden und zwar auch dann, wenn der Nutzer nicht einmal über ein Facebook-Konto verfügt. Dabei handelt es sich um die IP-Adresse und den Browser-String des Nutzers. Solche Daten sind Daten, die natürlichen Personen individuell zugeordnet werden können, und sind somit personenbezogene Daten, auch wenn sie keine Klarnamen enthalten.

Es besteht daher die Gefahr, dass IP-Adressen von Nutzern, die durch das Aufrufen von verschiedensten Internetseiten, die den Gefällt mir-Button enthalten, an Facebook übertragen werden, wiedererkannt und gebündelt werden und so ein Profil über das individuelle Surf-Verhalten einzelner Personen erstellt werden kann. Das Nutzerverhalten im Internet kann auf diese Weise überwacht werden. Sofern der Nutzer bei Besuch einer Internetseite mit entsprechendem Plugin in sein Facebook-Profil eingeloggt ist, kann sein Internetverhalten sogar seinem Facebook-Profil und damit Namen, Adressen, Geburtsdaten, Gesichtern und unzähligen anderen Daten zugeordnet werden, welche der Nutzer (heutzutage mögen manche sagen: grob fahrlässig) im Internet veröffentlicht hat.

III. Zu entscheidende Rechtsfragen

Entschieden werden muss neben der Frage der förmlichen Zulässigkeit der Klage, nämlich der Aktivlegitimation der Verbraucherzentrale NRW, vor allem, ob der Unternehmer, der den Gefällt mir-Button einbindet, Verantwortlicher im Sinne des Datenschutzrechtes sein kann. Denn die Erhebung und Übermittlung der fraglichen Daten nimmt er nicht direkt vor, sondern diese werden durch die Installation des Gefällt mir-Buttons und damit durch eine von Facebook vorgegebene Software ausgelöst. Gleichzeitig verursacht aber auch der Unternehmer die Übertragung, indem er den Button installiert, ohne genau zu wissen was Facebook mit den Daten macht.

Sofern eine solche Verantwortlichkeit im Sinne des Datenschutzrechtes nicht bejaht werden sollte, will das OLG Düsseldorf entschieden wissen, ob alternativ ein Anspruch auf Unterlassung gegen den Unternehmer als Störer nach zivilrechtlichen Grundsätzen möglich ist. Dabei kommt es darauf an, ob das Datenschutzrecht insoweit abschließend ist und zivilrechtliche Ansprüche mithin verdrängt werden, oder nicht.

In einem weiteren Schritt stellt sich die Frage nach der Rechtmäßigkeit der Verarbeitung, nämlich ob der Unternehmer ein berechtigtes Interesse zur Datenerhebung hat und gegebenenfalls ob er vorab eine Einwilligung eingeholt hat. Ferner muss entschieden werden, ob es für die Frage des zu beurteilenden Verhaltens auf den Webseitenbetreiber oder auf Facebook ankommt und wer die mögliche Einwilligung einholen muss.

IV. Ansicht des EuGH-Generalanwalts

Nach Ansicht des Generalanwalts des Europäischen Gerichtshofs besteht eine gemeinsame Verantwortlichkeit zwischen dem Webseitenbetreiber, der das Plugin von Facebook nutzt, und Facebook selbst. Denn beide verbinde ein gemeinschaftlicher Werbezweck. Die Verantwortlichkeit soll jedoch für den Webseitenbetreiber auf die Verarbeitungsvorgänge beschränkt sein, mit denen er die Verarbeitung der personenbezogenen Daten auslöst bzw. einen Beitrag dazu leistet. Sofern kein berechtigtes Interesse zugunsten des Webseitenbetreibers und/oder zugunsten von Facebook bestehen sollte, wäre vorab die Einholung einer Zustimmung des Nutzers erforderlich.

V. Rechtsfolgen

Da eine Datenerhebung und eine Datenweitergabe an Facebook bereits bei einem ersten Anklicken der Homepage stattfinden, kann die Einholung einer Einwilligung der Nutzer notwendigerweise nur stattfinden, bevor sich die Homepage öffnet. Ein vergleichbares Problem ist heute jedem, sei er Unternehmer oder Verbraucher, mit Bezug zu der Verwendung von Cookies bekannt; ein Problem, das bis heute kaum praxistauglich gelöst worden ist, dessen Lösungsversuche sich im Alltag vielmehr als außerordentlich lästig erwiesen haben und nicht ernsthaft dazu beitragen, dass die Daten von Privatpersonen geschützt werden.

Für die Erhebung personenbezogener Daten, welche sogar eine personelle Identifikation ermöglichen, wenn der Nutzer in einem anderen Browserfenster in sein Facebook-Profil eingeloggt ist, ist nach der DSGVO eine vorherige Zustimmung des Nutzers erforderlich. Denn das bloße Besuchen von Internetseiten, sei der Nutzer eingeloggt oder nicht, stellt kein Vertragsverhältnis dar. Ob ein berechtigtes Interesse zur Erhebung von personenbezogenen Daten und der Übermittlung an Facebook angenommen werden kann, nur weil jemand (der die Nutzung sozialer Netzwerke möglicherweise grundlegend ablehnt) eine beliebige Internetseite öffnet, kann man mit guten Argumenten bezweifeln. Letztlich wird die Rechtsprechung diese klären müssen.

Ein mögliches Ergebnis könnte sein, dass der Gefällt mir-Button überhaupt nicht in europarechtskonformer Weise verwendet werden kann. Ein anderes mögliches Ergebnis könnte sein, dass wir zukünftig vor dem Öffnen jeglicher Internetseiten großzügig mit Zustimmungs-Pop-Ups bedacht werden, ähnlich den allgegenwärtigen Cookie-Bannern. Von diesen Rechtsfragen hängt es ab, ob Gewerbetreibende den Gefällt mir-Button zukünftig verwenden können, ohne sich dem Risiko einer Abmahnung auszuliefern. Die Klärung dieser Fragen dürfte so oder so erhebliche Auswirkungen auf die Nutzung sämtlicher sozialer Netzwerke haben.

Unternehmer können sich heute nicht mehr darauf verlassen, dass die Verantwortlichkeit für Verlinkungen oder Plugins von sozialen Netzwerken nur den Betreiber der sozialen Netzwerke selbst, nicht aber denjenigen betreffen, der das Plugin programmiert oder in Verkehr gebracht hat.

VI. Unser Tipp

Von Gewerbetreibenden sämtlicher Bereiche wird heute verlangt, dass sie für Datenschutzthemen ausreichend sensibilisiert sind und sich auch mit der Technik und den einzelnen Vorgängen von Erhebung, Speicherung und Übermittlung von Daten auseinandersetzen. Außerdem muss man wissen, welche Daten überhaupt betroffen und welche personenbezogene Daten sind. Das gilt auch dann, wenn das jeweils verwendete Plugin von einem Dritten programmiert und in Verkehr gebracht worden ist und der Gewerbetreibende die einzelnen Erhebungs- und Verarbeitungsvorgänge personenbezogener Daten gar nicht durchschauen kann. Dies mag an dem Mangel ausreichender Transparenz der Technik oder auch an der beabsichtigten Politik der sozialen Netzwerke liegen. Inwieweit sich ein Gewerbetreibender in diesem Umfeld noch rechtskonform verhalten kann, wird die Rechtsprechung sowohl rechtlich als auch politisch entscheiden müssen. Bis dahin kann Gewerbetreibenden nur empfohlen werden, tendenziell datenkritische Software bis auf Weiteres nicht zu installieren oder vorab die Einwilligung von Nutzern einzuholen.

Zur Umsetzung der Vorabeinholung von Einwilligungen gibt es verschiedene technische Ansätze. Es ist heute unerlässlich, für Datenschutzthemen sensibilisiert zu sein. Informieren Sie sich vorab ausreichend und sprechen Sie uns bei Bedarf gerne an.

(Stand: 04.02.2019)

Alle Artikel zeigen

 

Sie wünschen eine Beratung in diesem Tätigkeitsbereich oder haben weitere Fragen zu unserem Beratungsumfang? Kontaktieren Sie uns einfach für ein Treffen.

Letzte Aktualisierung

02.04.2019

Sparen mit einem Elektroauto als Dienstwagen
Mehr erfahren …

Qualitätskanzlei

PNHR mit ausgezeichneter Beratungsqualität
Mehr erfahren …

PNHR Aktuell

Aktuelle Informationen kompakt aufgearbeitet in unserem monat­lich erscheinenden Newsletter.

Wir sind gerne für Sie da

  • PNHR Dr. Pelka und Sozien GmbH
    Rechtsanwaltsgesellschaft Steuerberatungsgesellschaft
  • PNHR Pelka Niemann Hollerbaum Rohde und Partner mbB
    Rechtsanwälte, Wirtschafts­prüfer, Steuerberater
  • PNHR GmbH
    Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft
  • PNHR CONSULTING GmbH
    Steuerberatungsgesellschaft

Kaiser-Wilhelm-Ring 3-5
50672 Köln Nordrhein-Westfalen Deutschland

Tel.: Work(0221) 546780
Fax: Fax(0221) 544028 PNHR Rechtsanwälte, Wirtschaftsprüfer, Steuerberater Köln
E-Mail: 

 
  • PNHR
    Dr. Pelka und Sozien GmbH

    Rechtsanwaltsgesellschaft Steuerberatungsgesellschaft

Niederlassung Berlin
Mauerstraße 86 - 88
10117 Berlin

Telefon: (030) 226 403 90
Telefax: (030) 226 403 99
E-Mail: kanzlei.berlin@pnhr.de

Niederlassung Essen
Helbingstraße 104
45128 Essen

Telefon: (0201) 565 810 40
Telefax: (0201) 565 810 99
E-Mail: kanzlei.essen@pnhr.de

 

Überblick: alle Kontaktdaten und Routenplaner

PNHR Rechtsanwälte, Wirtschaftsprüfer, Steuerberater Köln
QR-Code der vCard

Einfach den QR-Code scannen und die Daten als Kontakt aufs Smartphone laden.

Zum Scannen mit dem iPhone empfehlen wir die kostenfreie App Qrafter.