Man findet sie auf vielen Webseiten gemeinsam – der dunkelblaue „Gefällt mir“ Button von Facebook, das -rote „+“ von Google+ und der hellblaue „Twittern“-Button. Einem neuen Urteil des LG Düsseldorf zufolge stehen diesen Einbindungen auf Websites jedoch schwerwiegende Datenschutzbedenken entgegen.
Was das Gericht urteilte, welche Auswirkungen dies auf die Einbindung von Social Media Plugins hat und welche Alternativen es gibt, erfahren Sie in diesem Beitrag.
Datenschutzrechtliche Problematik der Social Media Buttons
Sogenannte Social Media-Plugins werden von den großen Social-Media-Plattformen wie Facebook, Google+, Twitter oder Pinterest zur Verfügung gestellt. Mit einem Webcode werden diese von Betreibern von Webseiten auf ihren Seiten eingebaut und sollen den Besuchern ermöglichen, Blogseiten oder Produkte einfach ihren Kontakten über die jeweilige Social Media Plattform zu empfehlen. Webseitenbetreiber erhoffen sich dadurch meist Umsatzsteigerungen, insbesondere da persönliche Empfehlungen eine deutlich größere Wirkung haben können als etwa ein Werbebanner.
Von Verbraucherschützern und Datenschutzbehörden war die Praxis dieser Buttons aus datenschutzrechtlicher Sicht jedoch schon länger kritisiert worden. Vor dem Landgericht Düsseldorf (LG Düsseldorf Urteil vom 9. März 2016 Az. 12 O 151/15) konnte sich nun ein Verbraucherschutzverband mit seiner Klage gegen den Facebook-„Gefällt mir“-Button erstmalig gerichtlich gegen einen Onlineshop durchsetzen.
Problematisch an dem „Gefällt mir“-Button ist insbesondere, dass durch die bloße Einbindung des Plugins bei jedem Aufruf der Webseite, welche diesen eingebunden hat, Daten an Facebook übertragen werden. Ganz unabhängig davon, ob der Besucher mit dem Button in irgendeiner Weise agiert. Hier wird mindestens die IP-Adresse sowie die Browserkonfiguration an Facebook übertragen.
Die Übertragung von personenbezogenen Daten, d.h. Daten, welche einer Person zugeordnet werden können, ist stets datenschutzrechtlich relevant. Ob die IP-Adresse allein ein personenbezogenes Datum ist, ist datenschutzrechtlich weiterhin umstritten. Das urteilende LG deutete zwar an, dass es IP-Adressen für personenbezogene Daten hält, musste darüber jedoch nicht direkt entscheiden.
Denn beim Facebook „Gefällt mir“-Button kommt erschwerend hinzu, dass Facebook beim Aufrufen einer Seite über Cookies, die auf dem Rechner des Nutzers hinterlegt sind, prüft, ob der Nutzer bei Facebook angemeldet ist. Die Darstellung des Buttons und dessen Funktionalität wird dahingehend ausgerichtet und verändert. Sofern ein Nutzer also bei Facebook eingeloggt ist und auf einer Seite mit eingebundenen „Gefällt mir“-Plugin surft, werden personenbezogene Daten übertragen, die Facebook dem Nutzer zuordnet.
Eine solche Übertragung von personenbezogenen Daten erfordert jedoch eine Einwilligung des Nutzers, da hier keine gesetzliche Erlaubnis einschlägig ist.
Eine solche Einwilligung muss vor Erhebung der Daten eingeholt und aktiv durch den Nutzer erteilt werden, nachdem er über die Datenverarbeitung ausreichend informiert wurde. Es muss ihm also mitgeteilt werden, welche Daten an wen übertragen werden, bevor er darin einwilligen kann.
Insbesondere die Informationspflicht über die Datenverarbeitung vor Erteilung einer Einwilligung ist bei dem Facebook „Gefällt mir“ Button jedoch nicht möglich.
Denn Facebook schweigt sich darüber aus, welche Daten genau erhoben werden und was mit diesen anschließend passiert. Bevor das US-Unternehmen hier keine klaren Auskünfte gibt, kann ein deutscher Webseitenbetreiber, welcher das Facebook-„Gefällt mir“-Plugin einbaut, daher auch nicht ausreichend im Vorfeld über Umfang und Nutzung der erhobenen Daten informieren.
Das Urteil ist aktuell noch nicht rechtskräftig und es sind auch noch keine Abmahnungen diesbezüglich bekannt. Trotzdem ist nun bei Verwendung von Social Plugins Vorsicht geboten. Das gilt vor allem auch wegen der neuen Berechtigung für Verbraucherschutzverbände, gegen Datenschutzverstöße vorzugehen: (Hier unser Beitrag zu dieser Neuerung)
Nicht zu empfehlen ist daher, den „Gefällt mir“-Button weiterhin in seiner originalen Form auf Webseiten einzubinden. Das Urteil deckt sich mit langjährigen Ansichten von Datenschutzbehörden und es ist unwahrscheinlich, dass höhere Instanzen groß davon abweichen werden.
Das Urteil selbst bezog sich dabei nur auf den Facebook-Gefällt mir Button. Aufgrund sehr ähnlicher Funktionalität muss aber auch vor einem unveränderten Einsatz des „Google+“-Button und der anderen Social Media Buttons gewarnt werden.
Da die datenschutzrechtliche Diskussion um die Einbindung von Social Plugins nicht ganz neu ist, wurden bereits Alternativen entwickelt. Verbreitet ist hier die 2-Klick-Lösung- sowie die Shariff-Lösung. Beide werden vom Heise-Verlag auf Basis einer Open-Source-Lizenz kostenlos angeboten.
2-Klick-Lösung
Bei der 2-Klick-Lösung sind die Social Media Buttons zunächst deaktiviert. Ein Nutzer muss den Social Media Button zunächst durch einen Klick aktivieren, erst dann erfolgt die Datenübertragung.
Dieser Vorgang ist hier beschrieben
Die technischen Informationen zum eigenen Einbau unter einer Open Source-Lizenz finden sich hier
Eine weitere Alternative ist die sog. Shariff-Lösung:
Shariff-Lösung
Bei der Shariff-Lösung werden die Social Media Buttons als HTML-Links eingebunden, welche jedoch in der Lage sind, die Anzahl an Verbreitungen im jeweiligen Netzwerk anzuzeigen. Eine Datenverarbeitung passiert auch hier erst zu dem Zeitpunkt, wo der Nutzer auf den jeweiligen Button klickt. Im Gegensatz zur 2-Klick-Lösung ist hier also nur ein einziger Klick notwendig.
Nähere Informationen zur Shariff-Lösung finden Sie hier
Dort finden Sie auch weitergehende Links für Webmaster für den Einbau.
Datenschutzkonformität beider Lösungen
Das Problem, dass Daten schon zu dem Zeitpunkt an Facebook oder Google+ übertragen werden, zu dem die Seite aufgerufen wird, ist bei beiden Lösungen damit gelöst. Der Nutzer muss diese Übertragung erst aktivieren.
Dennoch darf nicht außer Acht gelassen werden, dass beide Lösungen leider auch nicht völlig datenschutzkonform ist. Wie bereits erwähnt, ist für eine Einwilligung im Sinne des deutschen Datenschutzrechts notwendig, dass der Nutzer vor seiner Einwilligung ausreichend über die erhobenen Daten und deren Verarbeitung informiert. Da Facebook und Google dazu nur unzureichend Auskunft erteilen, ist es aktuell unmöglich, ausreichend zu informieren.
Auch bei Nutzung der 2-Klick- oder der Shariff-Lösung bleibt daher ein gewisses Restrisiko.
Das LG Düsseldorf hat in seinem Urteil zwar an einer Stelle angedeutet, dass es die 2-Klick-Lösung für datenschutzrechtlich zulässig erachten würde, hat aber an anderer Stelle betont, dass sich das Urteil explizit nicht mit der 2-Klick-Lösung befassen würde.
Darüber hinaus darf nicht unerwähnt bleiben, dass es auch nicht völlig ausgeschlossen ist, dass Facebook oder Google+ bei beiden Lösungen gegen Webseitenbetreiber vorgehen, da diese nicht der vereinbarten Nutzung entsprechen. Bisher sind jedoch für einen solchen Vorgang keine Fälle bekannt, obwohl die Lösungen bereits seit längerem eingesetzt werden.
Amazon und eBay
Bei Amazon und eBay wird auf Produktseiten ebenfalls ermöglicht, Waren direkt über Facebook, Twitter, Pinterest und im Falle von eBay auf Google+ zu verbreiten. Auch diesbezüglich gilt, dass die Plugins in der aktuellen Ausführung nicht datenschutzkonform sind. Marketplace-Händler können dahingehend keine Änderungen vornehmen. Dies kann nur durch die Marktplatzbetreiber geschehen.
Zusätzlich zur immer noch aktuellen Problematik der Weiterempfehlungsfunktion (mehr dazu hier für Amazon und hier für eBay) gibt es daher derzeit eine weitere Abmahngefahr auf den Marktplätzen, bei welchen Händlern, die über diese verkaufen wollen, nur bleibt, auf die Marktplätze einzuwirken. Leider wurde bereits von mehreren Gerichten entschieden, dass ein Onlinehändler für rechtswidriges Verhalten einer Verkauf- Plattform verantwortlich ist, solange er über diese verkauft.
Fazit:
Mit dem Urteil des LG Düsseldorf hat der schon länger schwelende Konflikt zwischen Datenschutzbehörden und Webseitenbetreibern mit eingebauten Social Media Buttons frischen Wind bekommen. Auch wenn das Urteil noch nicht rechtskräftig ist, sollte die Abmahngefahr des Einbaus des „Gefällt mir“-Plugins von Facebook oder von „Google+“ nicht unterschätzt werden.
Davon, diese in der Standardausführung auf der eigenen Webseite beizubehalten, kann aktuell nur abgeraten werden.
Jeder Webseitenbetreiber sollte sich daher gut überlegen, ob er die erwähnten Social Media Buttons in dieser Form auf der Webseite benötigt. Ob diese ihm oder seinen Nutzern also einen echten Mehrwert bieten, der das latente Abmahnrisiko aufwiegt. Sofern diese Frage zu bejahen ist, empfiehlt es sich, zumindest die alternativen Lösungen „2-Klick-“ oder „Shariff-Lösung“ zu nutzen. Diese Lösungen sind deutlich datenschutzfreundlicher, leider jedoch aktuell noch nicht völlig datenschutzkonform. Die genannten Alternativen werden von Datenschutzbehörden allerdings deutlich wohlwollender betrachtet und auch das LG Düsseldorf deutete an, die 2-Klick-Lösung für konform zu halten. Ein Restrisiko bleibt jedoch leider auch dort.
Aktuell gibt es keine direkte Lösung für Amazon und eBay-Händler. Auf die dort eingebauten Social-Media-Buttons auf Produktseiten haben diese selbst keinen Einfluss, trotzdem besteht die Gefahr, dass sie für diese abgemahnt werden. Wer weiter über die Marktplätze verkaufen will, muss daher darauf einwirken und hoffen, dass die Plattformbetreiber hier bald aktiv werden.