Viele Webseitenbetreiber binden auf Ihren Seiten sogenannte Plugins von Drittanbietern ein. Die wohl bekanntesten sind die Social Media Plugins von Facebook etc. Aber auch Videos und Fotos können über solche Plugins eingebunden werden.
Rechtlich problematisch an diesen Plugins ist, dass personenbezogene Daten der Webseitenbenutzer wie die IP-Adresse an den Drittanbieter weitergeleitet werden und diese das Nutzerverhalten tracken können.
Im letzten Jahr hatte die Verbraucherzentrale NRW die Fashion ID (Peek & Cloppenburg) verklagt, weil diese den „Gefällt-mir“-Button von Facebook als direkten Plugin auf den Unternehmenswebseiten eingebunden hatte (wir berichteten).
Zur Erinnerung
Bei einer direkten Einbindung sog. Social Media-Buttons stellen diese bereits beim Laden der Seite, auf der sie eingebunden sind, eine Verbindung zu den verbundenen sozialen Netzwerken im Internet her. Für Facebook ist es somit möglich, Informationen über die aufgerufenen Seiten mit Facebook-Social-Plugins zu sammeln und auf diese Weise das individuelle Surf-Verhalten der Nutzer zu erfassen. Für ein solches User Tracking ist es nicht einmal erforderlich, dass der Nutzer beim jeweiligen sozialen Netzwerk eingeloggt oder dort Mitglied ist.
Das Landgericht Düsseldorf hatte in 2016 entschieden (Az. 120 151/15), dass der Webseitenbetreiber für jede Datenverarbeitung, die auf bzw. von seiner Seite ausgeht, die verantwortliche Stelle sei. Aus diesem Grund müsse der Webseitenbetreiber vor der Übertragung von Daten an Dritte eine Einwilligung des Nutzers einholen. Ein Hinweis auf die Datenübertragungen in der Datenschutzerklärung reiche hier nicht aus. Dass der Webseitenbetreiber keinerlei Einfluss auf die weitere Verarbeitung der Daten bei dem Drittanbieter habe, ließ das Gericht nicht als Argument gelten, denn die Datenverarbeitung würde ja erst durch die Einbindung des Plugins beim Webseitenbetreiber möglich.
Berufung
Die Fashion ID legte Berufung beim Oberlandesgericht Düsseldorf (OLG) ein. Das OLG hat jedoch nicht abschließend entschieden, sondern dem EuGH einige Fragen in einem sogenannten Vorabentscheidungsverfahren zur Klärung vorgelegt.
Zum einen möchte das OLG wissen, ob die Verbraucherzentrale überhaupt Klageberechtigt war. Darüber hinaus wird die Frage nach der Verantwortlichkeit für die Datenverarbeitung an den EuGH weitergeleitet.
Anders als das Landgericht sieht das OLG nicht zwingend den Webseitenbetreiber als Verantwortliche Stelle und verweist in diesem Punkt auf eine Anfrage des Bundesverwaltungsgerichts an den EuGH. Die Frage lautet, ob eine Stelle, die weder einen rechtlichen, noch einen tatsächlichen Einfluss auf die Entscheidung hat, wie personenbezogene Daten verarbeitet werden, als für die Verarbeitung Verantwortlicher angesehen werden kann (BVerwG Beschl. v. 25.02.2016, 1 C 28/14 RN. 27, beim Gerichtshof anhängig unter C-210/16, vgl. auch hier).
Doch selbst wenn der EuGH den Webseitenbetreiber von seiner (umfassenden) Verantwortung entbinden sollte, sieht das OLG den Betreiber möglicherweise in der Haftung. Das Gericht zeigt die Möglichkeiten einer Verantwortung als sogenannter „Störer“ auf und möchte vom EuGH wissen, ob die nach deutschem Recht mögliche Störerhaftung durch europäisches Recht in diesem Fall gedeckt sei. Nach dem OLG verstoße der Webseitenbetreiber mit der Einbindung des Plugins wohlmöglich (vorbehaltlich einer Entscheidung des EuGH) nicht selbst gegen geltendes Recht, schafft bzw. erhöht aber die Gefahr einer Rechtsverletzung durch Dritte. In diesem Fall ist der Störer verpflichtet, alles ihm Mögliche und Zumutbare zu tun, um eine Rechtsverletzung zu verhindern (vgl. hier).
Fazit
Die rechtliche Zulässigkeit und Haftung bei der Einbindung von externen Inhalten, die zu einer Datenverarbeitung von Dienstleistern (Dritten) führt, ist weiterhin unklar. Eine Verantwortlichkeit der Webseitenbetreiber ist allerdings erstinstanzlich bejaht und auch in der Berufung nicht ausgeschlossen worden. Wir raten deshalb dringend zu der Nutzung von sog. Zwei-Klick-Lösungen, die eine Übertragung von personenbezogenen Daten an Dritte erst nach einer informierten Einwilligung der Nutzer ermöglichen.
Britta
22. Februar 2017 @ 14:04
Sind die Sharing Buttons hiervon nicht betroffen, wie sie auch hier im Blog verwendet werden? Hier ist auch keine 2-Faktor-Auth hinterlegt, sondern ich share direkt in meine Profile.
Danke für die Antwort.
Daniela Windelband
22. Februar 2017 @ 14:44
Sehr geehrte Britta,
vielen Dank für diese sehr berechtigte Frage. Wir binden die Social Media Buttons datenschutzkonform ein, wie wir auch in unserer Datenschutzerklärung dargelegt haben (https://www.datenschutz-notizen.de/datenschutz/).
Aus Gründen des Datenschutzes binden wir keine Social Plugins direkt in unseren Webauftritt ein. Wenn Sie unsere Seiten aufrufen, werden daher keine Daten an Social Media-Dienste, wie etwa Facebook, Twitter, XING oder Google+ übermittelt. Eine Profilbildung durch Dritte ist somit ausgeschlossen.
Sie haben dennoch die Möglichkeit, unsere Blogbeiträge mit einem Klick auf Facebook, Twitter, XING oder Google+ zu teilen und sehen zudem bereits bei Aufruf der Beiträge, wie oft diese in der Vergangenheit geteilt wurden. Wir nutzen hierzu die sog. Shariff-Lösung, die vom c’t Magazin entwickelt wurde, um eine datenschutzkonforme Alternative zu den klassischen Social-Plugins zu bieten.
Was steckt dahinter? Die Shariff-Lösung führt dazu, dass in einem ersten Schritt alle Daten und Funktionen, die zur Darstellung der Facebook, Twitter, XING oder Google+ Schaltflächen erforderlich sind, von unserem Webserver bereitgestellt werden. Erst wenn Sie sich entschließen, einen Beitrag über die entsprechende Schaltfläche zu teilen und diese anklicken, erfolgt eine Datenübertragung an den Betreiber des jeweiligen Social Media Dienstes. Weitere Informationen finden Sie auch in diesem Blogbeitrag.
Wenn Sie weitere Fragen haben, melden Sie sich gerne bei uns.
Mit freundlichen Grüßen
Ihre Blogredaktion
Fritz
14. Februar 2017 @ 11:09
Ich vermute mal, das gilt nicht nur für Social Media Plugins, sondern auch für Anzeigen, die von Drittanbietern wie Google usw. eingebunden werden…