Der eigene Internetauftritt bietet eine große Angriffsfläche für Abmahnungen. Dabei erhöhen nicht nur die angebotenen Inhalte oder das Impressum, sondern auch technische Aspekte der Webseite das Risko für berechtigte Abmahnungen: Das LG Düsseldorf hat am 9. März 2016 unter dem Aktenzeichen 12 O 151 / 15 entschieden, dass sogar falsch implementierte Social Plugins datenschutzrechtlich nicht zu vertreten sind. Bei Social PlugIns handelt es sich zum Beispiel um die „Teilen“-Schaltflächen von Facebook und Co..
Ist der Nutzer in einem anderen Browser-Tab oder sogar nur im Hintergrund in einem sozialen Netzwerk angemeldet, sammeln Facebook, Twitter und Co. in der Regel Daten über das Surfverhalten des Besuchers und fügen diese Informationen mit den vorhandenen zu einem verfeinerten Nutzerprofil zusammen. Die Betreiber des sozialen Netzwerkes könnten so ein Bewegungsprofil anfertigen und zum Beispiel gezielt auf den Nutzer zugeschnittene und stark personalisierte Werbung einblenden.
Dies hat der Webseitenbetreiber nach Ansicht des Landgerichts Düsseldorf zu unterbinden, sofern keine Einwilligung des Besuchers dazu vorliegt.
Das Grundrecht auf informationelle Selbstbestimmung
Der Gesetzgeber hat in Deutschland festgelegt, dass es ein grundrechtlich verbürgtes Recht auf informationelle Selbstbestimmung gibt.
De jure hat jeder Bürger das Recht, selbst über den Umfang und die Verwendung der zu seiner Person gespeicherten Informationen zu bestimmen.
Das Recht der informationellen Selbstbestimmung ist ein Datenschutz-Grundrecht, das im Grundgesetz der Bundesrepublik Deutschland nicht ausdrücklich erwähnt wird; aus dem allgemeinen Persönlichkeitsrecht gemäß Artikel 2, Absatz 1 Grundgesetzbuch in Verbindung mit Artikel 1, Absatz 1 Grundgesetzbuch kann es als besondere Ausprägung des allgemeinen Persönlichkeitsrechtes verstanden werden.
Im bereits erwähnten Urteil zu dem Aktenzeichen 12 O 151 / 15 beanstandet das Landgericht Düsseldorf die unzulässige Nutzung der personenbezogenen Daten von Webseitenbesuchern durch falsch implementierte „Social PlugIns“.
Gefährdet ist der Webseitenbesucher durch den Verlust der Kontrolle über die ihn betreffenden Daten, der Mitbewerber durch die Vorteilsnahme des Webseitenbetreibers und der Webseitenbetreiber somit von zwei Seiten durch die Ahndung des rechtswidrigen Verhaltens im Rahmen von Abmahnungen und Unterlassungsansprüchen, die schwer ins Geld gehen können.
Im Detail: Welches Plugin wird beanstandet?
Im beanstandeten Fall ging es um ein sogenanntes „Seiten Plugin“ der Firma Facebook Inc., deren Hauptsitz sich in Florida in den USA befindet.
Attraktiv ist für den Webseitenbetreiber, dass die eigene Facebookseite visuell und praktisch durch einen fix zu generierenden html-Code in den Internetauftritt eingebunden werden kann. Die datenschutzrechtliche Gefahr liegt darin, dass Facebook im Hintergrund Daten über das Surfverhalten des Besuchers sammeln konnte.
Die Argumentation des Gerichts ist auch auf andere Social Media Plugins oder sogenannte „Widgets“ anwendbar: Die Betreiber nahezu aller sozialen Netzwerke bieten eine individuelle Widgetkonfiguration an, die in diesem Netzwerk veröffentlichte Inhalte visuell attraktiv und verhältnismäßig einfach in die Webseite einbauen lassen: Der Auszug einer „Timeline“ des sozialen Kurznachrichtendienstes „Twitter“ wäre ein denkbares Beispiel.
Worin liegt die datenschutzrechtliche Gefahr?
Das Landgericht erklärte die Verwertung personenbezogener Daten der Webseitenbesucher – wie zum Beispiel IP-Adressen – zu Werbezwecken als ausdrücklich unzulässig, wenn die Besucher des Internetauftrittes nicht beziehungsweise nicht vorab die Gelegenheit haben, der Erhebung respektive Weitergabe und Nutzung an Drittanbieter zu widersprechen.
Zu einer rechtskonformen Weitergabe der persönlichen Bewegungs- und Nutzungsdaten der Webseitenbesucher ist eine vorab einzuholene Zustimmung durch den Besucher notwendig.
Im vom Landgericht Düsseldorf verhandelten Streitfall wurden die Besucher gar nicht über die Art und den Umfang der erhobenen Daten informiert.
Das Geben der Zustimmung zur Verwendung war damit naturgemäß nicht möglich; Die Besucher waren demnach uninformiert.
Die Pflicht zur Datenvermeidung und -sparsamkeit
Gemäß § 3 des deutschen Bundesdatenschutzgesetzes sind Webseitenbetreiber dazu angehalten, erhobene Daten auf das geringstmögliche Ausmaß zu maßregeln. Des Weiteren sind sie dazu verpflichtet, erhobene Daten so weit wie möglich zu anonymisieren.
Hierzu besagt der Gesetzestext zur Datenvermeidung und Datensparsamkeit ausdrücklich Folgendes:
„Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten und die Auswahl und Gestaltung von Datenverarbeitungssystemen sind an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert.“
Der Webseitenbetreiber ist auskunftspflichtig
Gemäß des § 19 des Bundesdatenschutzgesetzes haben die Webseitenbesucher einen Auskunftsanspruch an den Webseitenbetreiber.
Die Auskunft ist umgehend und unentgeltlich zu erteilen. Sie kann jedoch nicht vollständig erteilt werden, wenn in den Internetauftritt eingebundene Social Media Plugins unkontrolliert Daten weiterleiten und nutzen.
Datenschutz und Social Plugins: So machen Sie es richtig
Prävention
Als Webseitenbetreiber sollten Sie sich über die eingebundenen Plugins und Widgets genau informieren und recherchieren. Sie sollten keine Gadgets in Ihren Auftritt einbauen, sofern nicht die Gewissheit vorliegt, dass diese den strengen deutschen Datenschutzrichtlinien entsprechen.
Die „offiziell“ auf den Developerseiten der einschlägigen sozialen Medien angebotenen Plugins und Widgets entsprechen womöglich den außereuropäischen Richtlinien, nicht aber notwendigerweise auch den deutschen Richtlinien. Im Zweifel sollten Sie die Einbindung unterlassen oder vorab einen kompetenten Rechtsanwalt für Medienrecht konsultieren.
2-Klick-Lösungen
Nach dem überraschenden Urteil haben sich glücklicherweise viele Entwickler mit dem Problem befasst und Lösungen geschaffen.
Für Anwender des häufig genutzten Content Management Systems WordPress stehen mittlerweile viele sogenannte „2-Klick-Lösungen“ für dieses Problem zur Verfügung. Das bedeutet, dass die Plugins so konfiguriert sind, dass die Datenweitergabe beim Besuch der Webseite zunächst unterbunden ist. Erst nach einer Belehrung des Besuchers und dessen ausdrücklichen Erlaubnis wird das PlugIn aktiv und die technische Barriere abgeschalten:
Bevor Webseitenbesucher auf der Seite etwas anzeigen oder teilen möchten, muss zwei Mal auf die entsprechende Schaltfläche geklickt werden. Nach dem ersten Klick wird der entsprechende Datenschutzhinweis mit der Information eingeblendet, dass womöglich Besucherdaten an die entsprechenden Betreiber der sozialen Netzwerke übertragen werden können. Erst mit dem zweiten Klick kann dann ein Inhalt angezeigt – oder je nach Art des Plugins – geteilt werden.
Sind diese Social Plugins richtig in die Webseite implementiert, stellt dieser Ablauf die erforderliche datenschutzrechtliche Vorabinformation durch den Betreiber und gleichzeitig die notwendige Einholung der Erlaubnis zur etwaigen Weiterleitung der Besucherdaten durch Facebook und Co. dar. Den derzeitigen datenschutzrechtlichen Ansprüchen würde damit entsprochen und die Abmahngefahr gebannt.
Dies ist ein journalistischer Beitrag nach bestem Wissen und Gewissen. Der Recherchestand entspricht dem Veröffentlichungsdatum des Artikels.
Dieser Beitrag ersetzt ausdrücklich keine Rechtsberatung.