Schlagwort-Archive: Datenschutz

Nathalie Grudzinski

13. Mai 2016

LG Düsseldorf: Facebook „Gefällt mir“-Button wettbewerbswidrig

LG Düsseldorf vom 9.3.2016: Website-Betreiber verstoßen gegen Wettbewerbsrecht, wenn sie auf ihrer Website den Facebook „Gefällt mir“-Button einbinden, ohne die Besucher/innen der Website rechtzeitig über die mit dem Facebook-Button verbundene Datenübermittlung zu unterrichten und die erforderliche Einwilligung einzuholen.

Anlass für das Urteil des LG Düsseldorf vom 9.3.2016 war die Klage der Verbraucherzentrale NRW. Die Verbraucherzentrale mahnte verschiedene namhafte Website-Betreiber ab, darunter Unternehmen wie HRS, Nivea (Beiersdorf), Payback und Peek & Cloppenburg (Fashion ID). Die Unternehmen sollten die Einbindung des Facebook-Buttons unterlassen und eine strafbewehrte Unterlassungserklärung abgeben. Einige der Unternehmen gaben anlässlich der Abmahnung eine Unterlassungserklärung ab, andere taten dies nicht – und so landete der Streit vor Gericht.

Nach Ansicht der Verbraucherzentrale muss der Website-Betreiber die Nutzer/innen über die Funktion des „Gefällt mir“-Buttons und die damit verbundene Nutzung ihrer Daten unterrichten und die Einwilligung der Nutzer in die Datennutzung einholen muss, bevor Facebook über das Plugin Zugriff auf die Daten erhält.

Das LG Düsseldorf teilte diese Ansicht.

LG Düsseldorf gibt Verbraucherzentrale Recht  

Mit dem Besuch der Website, in denen das Facebook-Plugin integriert ist, werden Nutzungsdaten der Besucher, nämlich die IP-Adresse, erhoben. Die IP-Adresse ist personenbezogen, wenn die Nutzer der Website beim Aufruf der Seite noch bei Facebook eingeloggt sind. Diese Nutzer können mit ihrer IP-Adresse ihrem Facebook-Konto zugeordnet werden. Das gleiche gilt für die Nutzer, die sich vor dem Besuch der Website bei Facebook zwar ausgeloggt haben, aber die von Facebook gesetzten Cookies noch nicht gelöscht haben.

Das LG Düsseldorf hat die Frage offen gelassen, ob auch die Nutzer betroffen sind, die bei Facebook  gar kein Konto haben bzw. die zwar ein Konto haben, aber ausgeloggt sind und die Cookies gelöscht haben. Das Gericht tendiert aber in die Richtung, dass bereits die Übermittlung von IP-Adressen eine Übermittlung personenbezogener Daten darstellt.

Website-Betreiber verantwortlich für die Datenerhebung

Der Betreiber der Website ist aus datenschutzrechtlicher Sicht verantwortlich für die Datenerhebung – selbst wenn die IP-Adresse über das Plugin von Facebook erfasst wird. Der datenschutzrechtliche Begriff der Verantwortlichkeit, so das Gericht, sei weit zu verstehen und erfasse

„jede Stelle, die personenbezogene Daten über Dritte erhebt, verarbeitet oder verarbeiten lässt. Die Erhebung besteht in einem Beschaffen von Daten, § 3 Abs. 3 BDSG.“

Während Facebook mit Hilfe des Plugins die Daten verarbeitet, beschafft der Website-Betreiber die Daten, denn durch das Einbinden des Plugins wird die Erhebung und spätere Verwendung der Daten ermöglicht.

Facebook-Button nicht für Website-Betrieb erforderlich

Das LG Düsseldorf stellt weiter fest, dass das Einbinden des Facebook Buttons nicht für den Betrieb der Website erforderlich ist. Hier geht es um § 15 Telemediengesetz (TMG), der es den Anbietern von Telemediendiensten, also den Website-Betreibern, erlaubt, personenbezogene Daten zu erheben und zu verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen.

Da die Website aber ohne Weiteres auch ohne Facebook Plugin betrieben werden kann, ist die Datenübermittlung nicht nach § 15 TMG gerechtfertigt. Das Gericht führt dazu aus:

„Eine große Verbreitung der Plugins oder Vorteile für die Beklagte auf Grund eines Marketing-Effekts führen nicht dazu, dass diese das Plugin in der beanstandeten Weise zwingend einzusetzen hätte.“

2-Klick-Lösung datenschutzkonform?    

Die Einbindung von externen Diensten wie dem Facebook-Button ist nach Ansicht des Gerichts weiterhin möglich, die Betreiber müssten dabei nur die Rechte der Nutzer angemessen wahren.  In diesem Zusammenhang weist das Gericht auf die Möglichkeit der 2-Klick-Lösung hin, bei der die Datenweiterleitung erst nach einer Einverständnisabfrage erfolgt. Allerdings betont das Gericht zugleich, dass es die Frage offen lassen kann, ob die 2-Klick-Lösung den gesetzlichen Anforderungen genügt.

Datennutzung ohne Einwilligung der Nutzer

Das Gericht bemängelt, dass keine Einwilligung der Nutzer in die Datennutzung vorliegt.

Nach § 12 Abs. 1 TMG darf der Diensteanbieter personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat.

Die Erlaubnis kann elektronisch erteilt werden. Dann muss jedoch sicher gestellt sein, dass

  1. der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat,
  2. die Einwilligung protokolliert wird,
  3. der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und
  4. der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann, vgl. § 13 Abs. 2 TMG.

Das Gericht erläutert, dass eine Einwilligung nur zulässig ist, wenn

„sie auf der freien Entscheidung des Betroffenen beruht. Weiter ist er auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie ggf. auf die Folgen der Verweigerung der Einwilligung hinzuweisen (§ 4a abs. 1 BDSG). Dies bedeutet, dass eine Einwilligung freiwillig und informiert zu erfolgen hat. Die Einwilligung muss der Datenverarbeitung vorangehen und darf nicht erst nachträglich eingeholt werden. Die Einwilligung wiederum verlangt, dass der Nutzer über die Weitergabe seiner Daten vorher unterrichtet wird“.

Danach hätten die Nutzer, bevor das Plugin auf der Website erschien und die Datenübermittlung stattfand, eine entsprechende Erklärung abgeben bzw. anklicken müssen. Das war aber nicht der Fall. Dass der Website-Betreiber zumindest in seiner Datenschutzerklärung über das Plugin belehrte, half ihm dabei nicht. Schließlich fand auch keine Unterrichtung vor der Weiterleitung der Daten statt. Das Gericht stellt klar:

„Der bloße Link zu einer Datenschutzerklärung in der Fußzeile der Webseite stellt keinen Hinweis zu Beginn bzw. vor Einleitung des Verarbeitungsvorgangs dar.“

§ 12 und 13 Telemediengesetz (auch) zum Schutze des Wettbewerbs

Schließlich stellt das Gericht fest, dass Gesetze, die die Datenerhebung betreffen, neben dem Persönlichkeitsrecht und dem Recht auf informationelle Selbstbestimmung auch den Wettbewerb schützen.

„Das eingesetztes Plugin dient (auch) dem Absatz und der Werbung der Beklagten. Dem konkreten Verstoß kommt so auch wettbewerbliche Relevanz zu“.

Fazit

Der Facebook „Gefällt mir“-Button ist auf unzähligen Websites eingebunden, damit Besucher/innen Beiträge auf der Website mit ihren Facebook-Freunden teilen. Von dem Facebook Plugin werden Daten der Nutzer/innen an den Server des sozialen Netzwerks übermittelt – und zwar auch dann, wenn der Button gar nicht geklickt wird. So kann Facebook über das Plugin das Surfverhalten der Nutzer verfolgen (User Tracking).

Die datenschutzrechtliche Relevanz von Social Plugins ist seit langem bekannt: Schon im Jahr 2011 befasste sich das Berliner Kammergericht mit dem Facebook „Gefällt mir“-Button und stellte einen Verstoß gegen § 13 TMG fest. Das Gericht erkannte aber in der Verwendung des Facebook Plugins keinen Wettbewerbsverstoß.

Nunmehr hat das Landgericht Düsseldorf nochmals die datenschutzrechtliche Relevanz der Einbindung des Facebook-Buttons unterstrichen – und zusätzlich einen Wettbewerbsverstoß festgestellt.

In nächster Zeit wird sich zu dieser Frage auch das Landgericht München äußern, denn dort klagt die Verbraucherzentrale gegen ein anderes Unternehmen, das die Unterlassungserklärung nicht abgegeben hat.

Unabhängig davon, wie das LG München entscheidet:

Anlässlich des Urteils des LG Düsseldorf besteht die Gefahr einer Abmahnung für Website-Betreiber, die Social Plugins ohne vorherige Unterrichtung über die Datenweiterleitung und ohne Einwilligung der Nutzer verwenden.

Praxistipp: Einbindung von Social Plugins

Um einer Abmahnung vorzubeugen sollten Social Plugins von Facebook und auch die Plugins anderer sozialer Netzwerke wie Google + oder Twitter nicht wie in der oben genannten Konstellation eingebunden werden.

Stattdessen empfiehlt sich die von Heise entwickelte 2-Klick-Lösung bzw. die weiterentwickelte Version Shariff. Zwar hat das LG Düsseldorf sich nicht mit der Frage befassen müssen, ob das 2-Klick-Verfahren datenschutzkonform ist. Es ist aber in jedem Fall ein datenschutzfreundlicheres Verfahren, als die Social Plugins sofort aktiv in die Website einzubinden.

So funktioniert die 2-Klick-Lösung von Heise

Hier wird das Social Plugin zunächst in deaktivierter Fassung so in die Website eingebunden, dass kein Kontakt mit dem Server des sozialen Netzwerks hergestellt wird. Der Nutzer muss den Button durch einen Klick aktivieren – und hat es damit in der Hand, ob die Datenübertragung startet. Mit einem 2. Klick kann sodann die Empfehlung übermittelt werden.

Weiterentwicklung mit Shariff

Inzwischen wurde die 2-Klick-Lösung überarbeitet: Die ebenfalls von Heise entwickelte Version „Shariff“ kommt mit einem Klick weniger aus, denn anstelle der IP-Adresse wird nur die Server-Adresse des Nutzers an das soziale Netzwerk übermittelt. Wenn der Nutzer nicht auf den Button klickt, werden beim Besuch der Website keine Daten an das soziale Netzwerk übertragen.

Mehr dazu und mit ausführlicher Anleitung zur technischen Einbindung erfahren Sie auf der Seite von Heise Medien

Hier geht´s zur Entscheidung des LG Düsseldorf , Urteil v. 9.3.2016, Az. 12 O 151/15

Nathalie Grudzinski

27. April 2015

Hinweis auf bevorstehende SCHUFA-Datenübermittlung kann unzulässig sein: BGH, Urteil vom 19.3.2015

Manch ein Gläubiger oder Inkasso-Dienstleister gibt den Forderungen in seinen Mahnungen mit dem Hinweis Nachdruck, dass im Falle der Nichtzahlung Mitteilung an die SCHUFA gemacht wird. Wer hier nicht sauber formuliert, riskiert eine kostenpflichtige Abmahnung, wie die Entscheidung des Bundesgerichtshofs vom 19.3.2015 zeigt:

Mitteilung an SCHUFA als unlautere geschäftliche Handlung

Die Verbraucherzentrale Hamburg e.V. hat ein Mobilfunkunternehmen abgemahnt, das an seine säumigen Kunden über ein Inkasso-Unternehmen Mahnungen verschickte. In den Mahnschreiben wurde den Kunden eine Meldung an die SCHUFA in Aussicht gestellt. Das las sich dann so:

„Als Partner der Schutzgemeinschaft für allgemeine Kreditsicherung (SCHUFA) ist die V. GmbH (der Mobilfunkanbieter, Anmerkung der Verfasserin) verpflichtet, die unbestrittene Forderung der SCHUFA mitzuteilen, sofern nicht eine noch durchzuführende Interessenabwägung in Ihrem Fall etwas anderes ergibt. Ein SCHUFA-Eintrag kann Sie bei Ihren finanziellen Angelegenheiten, z.B. der Aufnahme eines Kredits, erheblich behindern. Auch Dienstleistungen anderer Unternehmen können Sie dann unter Umständen nicht mehr oder nur noch eingeschränkt in Anspruch nehmen.“

Die Verbraucherzentrale sah in dem Passus eine unlautere geschäftliche Handlung im Sinne von § 4 Abs. 1 des Gesetzes gegen den unlauteren Wettbewerb (UWG) und damit einen Verstoß gegen das Wettbewerbsrecht. Aus ihrer Sicht war die in der Mahnung verwendete Formulierung geeignet, Druck auf die Entscheidungsfreiheit der Verbraucher auszuüben: Der Kunde wird nicht sachlich über die bevorstehende SCHUFA-Mitteilung informiert, sondern es wird suggeriert, dass nur eine Zahlung die Mitteilung verhindern kann.

Da das Mobilfunkunternehmen sich von der Abmahnung unbeeindruckt zeigte, klagte die Verbraucherzentrale vor dem Landgericht Düsseldorf – das die Klage abwies. Begründung: Eine unlautere Beeinträchtigung der Entscheidungsfreiheit sei nicht gegeben, der Kunde werde nur auf die bevorstehende Mitteilung an die SCHUFA entsprechend § 28a Bundesdatenschutzgesetz (BDSG) hingewiesen.

Dieser Ansicht widersprach das Oberlandesgericht Düsseldorf in der zweiten Instanz:

Zahlung nur aus Angst vor der SCHUFA

Das Mahnschreiben „erweckt beim Adressaten den Eindruck, er müsse mit einer Übermittlung seiner Daten an die SCHUFA rechnen, wenn er die geltend gemachte Forderung nicht innerhalb der gesetzten, äußerst knapp bemessenen Frist (hier nicht einmal fünf Tage, Anm. der Verfasserin) befriedigt“, so das Oberlandesgericht.

„Wegen der einschneidenden Folgen eines solchen Eintrags wird eine nicht unerhebliche Zahl der Verbraucher dem Zahlungsverlangen der Beklagten folglich auch dann nachkommen, wenn sie die Rechnung wegen tatsächlicher oder vermeintlicher Einwendungen eigentlich nicht bezahlen wollten.“ Damit bestehe die „konkrete Gefahr einer nicht informations-, sondern allein angstgeleiteten Entscheidung“ (OLG Düsseldorf, Urteil vom 9. Juli 2013, I-20 U 102/12).

Voraussetzungen der Datenübermittlung gemäß § 28a BDSG

Diese Ankündigung einer bevorstehenden SCHUFA-Meldung findet keine Rechtfertigung aus datenschutzrechtlicher Sicht. Im Bundesdatenschutzgesetz (BDSG) ist geregelt, unter welchen engen Voraussetzungen eine Datenübermittlung an Auskunfteien wie die SCHUFA zulässig ist. Diese Voraussetzungen lagen im Streitfall aber nicht vor. So hätte der Mobilfunkanbieter den Kunden darüber informieren müssen, dass eine Übermittlung an die SCHUFA unter anderem nur dann erfolgen darf, wenn der Betroffene die Forderung nicht bestritten hat, vgl. § 28a Abs. 1 Satz 1 Nr. 4 d BDSG.

„unbestrittene“ Forderung ist missverständlich

Hier war in der Mahnung zwar von einer „unbestrittenen“ Forderung die Rede – das reiche aber nicht aus, so das OLG Düsseldorf, „um dem in der Regel juristisch nicht vorgebildeten Adressaten zu verdeutlichen, dass es allein an ihm liegt, durch ein einfaches Bestreiten der Forderung den angedrohten SCHUFA-Eintrag zumindest zunächst abzuwenden“.

Der Betroffene wurde also nicht klar genug darüber unterrichtet, dass er die Forderung nur bestreiten musste, um den SCHUFA-Eintrag abzublocken. Damit fehlte es letztlich an einer wesentlichen datenschutzrechtlichen Voraussetzung.

Der BGH hat diese Sicht der Dinge mit seinem Urteil vom 19.3.2015 bestätigt.

Fazit

Wer Mahnungen verschickt bzw. in seinem Auftrag verschicken lässt, tut gut daran, einen zweiten Blick auf die Mahnschreiben zu werfen und zu prüfen, ob die Betroffenen über die gesetzlichen Voraussetzungen für eine bevorstehende Übermittlung an die SCHUFA sachlich, korrekt und unmissverständlich unterrichtet werden. Anderenfalls drohen nicht nur Abmahnungen, sondern im Falle rechtswidriger Datenübermittlungen an die SCHUFA auch Schadensersatzansprüche der Betroffenen.

Quellen:

BGH, Urteil vom 19. März 2015, Az.: I ZR 157/13: Zur Pressemitteilung
Vorinstanzen: LG Düsseldorf, Urteil vom 27. April 2012, 38 O 134/11 und OLG Düsseldorf, Urteil vom 9. Juli 2013, I-20 U 102/12

 

Auszug aus dem Gesetz gegen den unlauteren Wettbewerb (UWG):
§ 4 Absatz 1 UWG: Beispiele unlauterer geschäftlicher Handlungen

Unlauter handelt insbesondere, wer

  1. geschäftliche Handlungen vornimmt, die geeignet sind, die Entscheidungsfreiheit der Verbraucher oder sonstiger Marktteilnehmer durch Ausübung von Druck, in menschenverachtender Weise oder durch sonstigen unangemessenen unsachlichen Einfluss zu beeinträchtigen; (…)