Viele Webseitenbetreiber binden auf Ihren Seiten sogenannte Plugins von Drittanbietern ein. Die wohl bekanntesten sind die Social Media Plugins von Facebook etc. Aber auch Videos und Fotos können über solche Plugins eingebunden werden.

Rechtlich problematisch an diesen Plugins ist, dass personenbezogene Daten der Webseitenbenutzer wie die IP-Adresse an den Drittanbieter weitergeleitet werden und diese das Nutzerverhalten tracken können.

Im letzten Jahr hatte die Verbraucherzentrale NRW die Fashion ID (Peek & Cloppenburg) verklagt, weil diese den „Gefällt-mir“-Button von Facebook als direkten Plugin auf den Unternehmenswebseiten eingebunden hatte (wir berichteten).

Zur Erinnerung

Bei einer direkten Einbindung sog. Social Media-Buttons stellen diese bereits beim Laden der Seite, auf der sie eingebunden sind, eine Verbindung zu den verbundenen sozialen Netzwerken im Internet her. Für Facebook ist es somit möglich, Informationen über die aufgerufenen Seiten mit Facebook-Social-Plugins zu sammeln und auf diese Weise das individuelle Surf-Verhalten der Nutzer zu erfassen. Für ein solches User Tracking ist es nicht einmal erforderlich, dass der Nutzer beim jeweiligen sozialen Netzwerk eingeloggt oder dort Mitglied ist.

Das Landgericht Düsseldorf hatte in 2016 entschieden (Az. 120 151/15), dass der Webseitenbetreiber für jede Datenverarbeitung, die auf bzw. von seiner Seite ausgeht, die verantwortliche Stelle sei. Aus diesem Grund müsse der Webseitenbetreiber vor der Übertragung von Daten an Dritte eine Einwilligung des Nutzers einholen. Ein Hinweis auf die Datenübertragungen in der Datenschutzerklärung reiche hier nicht aus. Dass der Webseitenbetreiber keinerlei Einfluss auf die weitere Verarbeitung der Daten bei dem Drittanbieter habe, ließ das Gericht nicht als Argument gelten, denn die Datenverarbeitung würde ja erst durch die Einbindung des Plugins beim Webseitenbetreiber möglich.

Berufung

Die Fashion ID legte Berufung beim Oberlandesgericht Düsseldorf (OLG) ein. Das OLG hat jedoch nicht abschließend entschieden, sondern dem EuGH einige Fragen in einem sogenannten Vorabentscheidungsverfahren zur Klärung vorgelegt.

Zum einen möchte das OLG wissen, ob die Verbraucherzentrale überhaupt Klageberechtigt war. Darüber hinaus wird die Frage nach der Verantwortlichkeit für die Datenverarbeitung an den EuGH weitergeleitet.

Anders als das Landgericht sieht das OLG nicht zwingend den Webseitenbetreiber als Verantwortliche Stelle und verweist in diesem Punkt auf eine Anfrage des Bundesverwaltungsgerichts an den EuGH. Die Frage lautet, ob eine Stelle, die weder einen rechtlichen, noch einen tatsächlichen Einfluss auf die Entscheidung hat, wie personenbezogene Daten verarbeitet werden, als für die Verarbeitung Verantwortlicher angesehen werden kann (BVerwG Beschl. v. 25.02.2016, 1 C 28/14 RN. 27, beim Gerichtshof anhängig unter C-210/16, vgl. auch hier).

Doch selbst wenn der EuGH den Webseitenbetreiber von seiner (umfassenden) Verantwortung entbinden sollte, sieht das OLG den Betreiber möglicherweise in der Haftung. Das Gericht zeigt die Möglichkeiten einer Verantwortung als sogenannter „Störer“ auf und möchte vom EuGH wissen, ob die nach deutschem Recht mögliche Störerhaftung durch europäisches Recht in diesem Fall gedeckt sei. Nach dem OLG verstoße der Webseitenbetreiber mit der Einbindung des Plugins wohlmöglich (vorbehaltlich einer Entscheidung des EuGH) nicht selbst gegen geltendes Recht, schafft bzw. erhöht aber die Gefahr einer Rechtsverletzung durch Dritte. In diesem Fall ist der Störer verpflichtet, alles ihm Mögliche und Zumutbare zu tun, um eine Rechtsverletzung zu verhindern (vgl. hier).

Fazit

Die rechtliche Zulässigkeit und Haftung bei der Einbindung von externen Inhalten, die zu einer Datenverarbeitung von Dienstleistern (Dritten) führt, ist weiterhin unklar. Eine Verantwortlichkeit der Webseitenbetreiber ist allerdings erstinstanzlich bejaht und auch in der Berufung nicht ausgeschlossen worden. Wir raten deshalb dringend zu der Nutzung von sog. Zwei-Klick-Lösungen, die eine Übertragung von personenbezogenen Daten an Dritte erst nach einer informierten Einwilligung der Nutzer ermöglichen.