Datenschutz: Like-Button unzulässig – Müssen Shopbetreiber handeln?

Die Reichweite sozialer Netzwerke bietet viele Marketing-Vorteile. Viele Händler integrieren daher Social Plugins auf ihren Seiten um Webseiten-Besuchern eine einfache Möglichkeit zu bieten, Produkte auf Facebook & Co zu empfehlen. Doch ist dies datenschutzrechtlich unbedenklich möglich? Die wichtigsten Fakten hierzu erläutert Madeleine Pilous, Legal Consultant bei Trusted Shops.

Madeleine Pilous, Legal Consultant bei Trusted Shops.

Bei dem Like-Button handelt es sich um ein iframe, welches der jeweilige Seitenbetreiber mit ein paar Zeilen HTML-Code auf seiner Webseite einbinden kann. Der angezeigte Inhalt wird hierbei direkt von Facebook-Servern geladen. Daher werden bereits mit dem Öffnen einer Seite mit einem „Gefällt mir“-Button Daten an Facebook übertragen: Ist ein Besucher der Seite gleichzeitig bei Facebook eingeloggt, kann dieser direkt seinem Facebook-Konto zugeordnet werden. Dies gilt auch für Nutzer, die sich bei Facebook ausgeloggt, aber Ihren Cache nicht gelöscht haben.

Besitzt ein Nutzer kein Facebook-Konto werden dennoch Daten an Facebook übertragen, z.B. dessen IP-Adresse. Ob diese ein personenbezogenes Datum darstellt, ist allerdings umstritten und noch nicht abschließend geklärt (die Frage wurde dem EuGH zur Klärung vorgelegt).

Abmahnungen durch die Verbraucherzentrale

Die Funktionsweise von Social Plugins wird bereits seit mehreren Jahren von Datenschützern kritisiert. Vor einem Jahr mahnte allerdings die Verbraucherzentrale NRW sechs verschiedene große Unternehmen ab, welche auf ihrer Webseite die „Gefällt mir“-Funktion von Facebook verwendeten. Während vier Unternehmen eine Unterlassungserklärung abgaben, wurde gegen zwei ein Verfahren vor den Landgerichten Düsseldorf und München I eröffnet. Im ersten Verfahren erging nun ein Urteil:

Was hat das LG Düsseldorf entschieden?

Zusammengefasst hat das LG Düsseldorf entschieden:

1. Der „Gefällt mir“-Button darf nur eingesetzt werden kann, wenn der Nutzer vor einem Betreten der Webseite informiert in die Datenweitergabe und -verwendung einwilligt.

2. Weiter ist der Nutzer hierüber transparent zu unterrichten.

3. Da der Webseitenbetreiber das iframe einbindet, ist er hierfür auch datenschutzrechtlich verantwortlich.

Müssen Shopbetreiber handeln?

Das Urteil des Landgerichts ist nicht rechtskräftig, das beklagte Modeunternehmen ging vor dem OLG Düsseldorf in Berufung. Theoretisch wäre es denkbar, dass das Berufungsgericht hier eine andere Auffassung vertritt. Das zweite, ähnlich gelagerte Verfahren vor dem Münchner Landgericht wurde mittlerweile beigelegt, sodass hier keine abweichende Entscheidung mehr möglich ist.

Die Sichtweise des LG Düsseldorf ist nachvollziehbar und findet auch in der juristischen Literatur Unterstützung. Es ist daher nicht zu erwarten, dass andere Gerichte hier eine gänzlich abweichende Rechtsauffassung vertreten werden.

Ob Mitbewerber Datenschutzverstöße abmahnen können, ist noch nicht höchstrichterlich geklärt (allerdings sah z.B. auch das LG Düsseldorf die einschlägigen Regelungen des TMG als Marktverhaltensregelung an, da das Plugin auch der Werbung und damit dem Absatz von Waren diene). Seit dem 24.02.2016 können jedoch Wettbewerbs- und Verbraucherverbände in jedem Fall einen Verstoß gegen die verbraucherschützenden Vorschriften des Datenschutzrechts abmahnen.

(Bildquelle: Social Media Governance)

Eine Abmahngefahr besteht also durchaus.

Am Ende bleibt es eine geschäftspolitische Entscheidung, ob man die bestehende Abmahngefahr zugunsten der Marketing-Vorteile von Social Plugins in Kauf nimmt. Wer hier auf der sicheren Seite sein, gleichzeitig aber nicht in Gänze auf den „Gefällt mir“-Button verzichten möchte, sollte sich nach Alternativen umsehen.

Ist die „2-Klick-Lösung“ sicher?

Als sichere Alternative wird häufig die „Zwei-Klick-Lösung“ des Heise Verlags ins Feld geführt, bei welcher das eigentliche Plugin erst aktiviert werden muss. Ob dies aber die Anforderungen an eine informierte Einwilligung des Nutzers erfüllt, ist fraglich – schon allein, weil dem Webseitenbetreiber der genaue Umfang der Datenverarbeitung nicht bekannt ist. Er müsste somit über Prozesse informieren, die ihm selber nicht abschließend bekannt sind.

Allerdings wurde die Zwei-Klick-Lösung nach bisherigem Kenntnisstand auch nicht abgemahnt. Auch das LG Düsseldorf ließ die Zulässigkeit der Zwei-Klick-Lösung ausdrücklich offen.

Shariff verzichtet auf iframes

Bei „Shariff“ handelt es sich um den Nachfolger der Zwei-Klick-Lösung. Shariff verzichtet auf den Einsatz von iframes und greift stattdessen auf HTML-Links zurück. Da Daten in diesem Fall erst bei einer Weiterleitung auf Facebook-Seiten übertragen werden, ist Shariff nicht anders zu behandeln als eine gewöhnliche Verlinkung auf Facebook, wie sie häufig auch im Footer von Online-Shops zu finden ist. Einwilligungsverpflichtungen treffen damit Facebook. Online-Händler, die auf der Suche nach einer sicheren Alternative sind, sollten daher auf die Shariff-Lösung zurückgreifen.

Auf passende Datenschutzerklärung achten!

Onlinehändler sollten darauf achten, dass die Informationen in Ihrer Datenschutzerklärung der übrigen Ausgestaltung der Webseite entsprechen. Wenn sie z.B. von einer gewöhnlichen Einbindung auf eine Zwei-Klick-Lösung umsteigen, ist hier auch eine Anpassung der Datenschutzerklärung erforderlich.

Abschließender Tipp

Wenn Onlinehändler Social Plugins nutzen, sollten sie eine Risikoabwägung vornehmen. Bislang beschäftigt sich nur ein landgerichtliches Urteil mit den Anforderungen an eine Einbindung des Facebook Plugins. Dieses Urteil ist auf andere Social Plugins aber ohne Weiteres übertragbar. Bis es eine gefestigte Rechtsprechung gibt, ist zumindest die Gefahr, von einschlägigen Abmahnanwälten Post zu erhalten, gering. Allerdings können Wettbewerbs- und Verbraucherschutzverbände seit Februar datenschutzrechtliche Verstöße abmahnen. Pilous empfiehlt daher, auf andere Alternativen wie die Shariff-Lösung umzusteigen.

(jm)