Die deutsche Verbraucherzentrale Nordrhein-Westfalen e. V. hat in einem Verfahren die Einbettung des Gefällt mir"-Buttons von Facebook sowie des Page-Plug-ins, das zusätzlich die Anzahl der Fans sowie deren Profilbilder direkt auf der Website anzeigt, auf einer Plattform ohne vorherige Zustimmung des Nutzers angegriffen: Diese Tools legen – wie die meisten Plug-ins (Softwaremodule) – Cookies auf dem Endgerät des Nutzers ab, die als Schnittstelle zur Social-Media-Seite fungieren. Im Hintergrund werden damit die IP-Adresse der Besucher der Website und Informationen zu den aufgerufenen Seiten direkt an den Social-Media-Betreiber übermittelt. Das geschieht sogar unabhängig davon, ob der Nutzer die Funktion Gefällt mir" durch Anklicken nutzt und ob er bei der betreffenden Plattform registriert ist. Die Daten werden automatisch übermittelt, sowie die Website erstmals aufgerufen wird.

Betreiber als Auftraggeber

Das Landesgericht Düsseldorf kommt zum Ergebnis, dass die beschriebenen Social Plug-ins zumindest durch die Verwendung der IP-Adresse personenbezogene Daten der Nutzer verarbeiten (12 O 151/ 15 vom 9. März). Als verantwortliche Stelle – also Auftraggeber nach österreichischer Diktion – wird jedoch nicht die Social-Media-Plattform, sondern direkt der Websitebetreiber qualifiziert: Er würde durch das Einbinden des Plug-ins die Datenerhebung und -verwendung ermöglichen. Daran ändert auch die Tatsache nichts, dass der Websitebetreiber die Erhebung der Daten durch Facebook nicht direkt beeinflusst. So trifft der Plattforminhaber durch die Implementierung der jeweiligen Plug-ins die Entscheidung zur Datenverarbeitung. Damit gelten für ihn die etablierten Grundsätze der EU-Cookie-Richtlinie (2009/136/EG).

Dazu kommt, dass die Verwendung von Plug-ins und Erhebung der Daten für das Funktionieren und den Betrieb der Website nicht erforderlich sind. Damit ist eine Zustimmung des Betroffenen notwendig. Dass der Websitebetreiber seine Nutzer lediglich im Rahmen eines Datenschutzhinweises darüber informiert, dass soziale Netzwerke Daten sammeln könnten und daher das vorherige Ausloggen bei der jeweiligen Social-Media-Plattform empfohlen wird, reiche nicht aus. Vielmehr erfordert die Datenverarbeitung eine ausreichende Information und auf dieser Basis eine aktive Zustimmung.

Zusätzlich stellt das Gericht fest, dass die Plug-ins dem Absatz und der Werbung des Plattformbetreibers selbst dienen. Die Darstellung der Anzahl der Likes" würde die Kaufentscheidung der Websitebesucher beeinflussen. Damit dient das Plug-in auch geschäftlichen Interessen des Implementierenden, und daher ist die konsenslose, rechtswidrige Implementierung auch wettbewerbswidrig.

Das Problem der Plug-ins ist nicht neu, handelt es sich dabei vereinfacht um eine Schnittstelle zum Datenaustausch via Cookies. Der dargelegte Fall spiegelt die strenger werdenden Anforderungen in der Rechtsprechung und Lehre zum rechtskonformen Einsatz dieser Tools wider: In Österreich wird die Zustimmung zu Cookies in § 96 Abs 3 Telekommunikationsgesetz (TKG) geregelt. Das Gesetz selbst ist technikneutral und legt sich weder auf eine technische Entwicklung fest, noch verwendet es den Begriff Cookie. Vielmehr muss jeder Websitebetreiber seine User dahin gehend informieren, welche personenbezogenen Daten er ermitteln, verarbeiten und übermitteln wird, auf welcher Rechtsgrundlage und für welche Zwecke dies erfolgt und für wie lange die Daten gespeichert werden". Die bisherige Praxis der allgemeinen Information, dass gegebenenfalls Daten verarbeitet werden könnten, entspricht weder dieser Norm noch dem allgemeinen Bestimmtheitserfordernis im Datenschutzrecht.

Bisher wurde dieser allgemeine Hinweis damit zu rechtfertigen versucht, dass die mit Plug-ins verbundene Datenerhebung durch Dritte erfolgt. Dem ist aber nach dem LG Düsseldorf auch nach österreichischem Recht entgegenzuhalten, dass die (alleinige oder gemeinsame) Entscheidung, Daten zu verwenden, ein wesentliches Kriterium zur Bestimmung des Auftraggebers nach dem Datenschutzgesetz (DSG) ist. Damit ist derjenige datenschutzrechtlich verantwortlich, der das Plug-in implementiert: Er ermöglicht die Erhebung und Weitergabe der Nutzerdaten.

Da Plug-ins bereits ab dem ersten Aufruf der Website personenbezogene Daten erheben und verwenden, muss die informierte, aktive Zustimmung schon vor der ersten Websitenutzung eingeholt werden.

Mehr Informationsbanner

Dieses Ergebnis entspricht der verschärften Praxis beim generellen Einsatz von Cookies: Auch hier wurde anfänglich nur versteckt in Nutzungsbedingungen über Datenerhebungen aufgeklärt. Im Lichte der Klärung der EU-rechtlichen Anforderungen durch die Artikel-29-Datenschutzgruppe hat sich auch in Österreich die Einholung aktiver Zustimmungen für Cookies per Informationsbanner langsam durchgesetzt. In der Praxis wird dieses Regime auch für datensammelnde Plug-ins für und Schnittstellen zu Drittseiten auszudehnen sein und daher zu einer Ausweitung der Informationsbanner führen. Das kann den wirtschaftlichen Mehrwert von Plug-ins deutlich schmälern. Auf der anderen Seite drohen aber bei Nichtanpassung der Website entsprechende Sanktionen auf Basis des UWG, TKG und DSG – sowie künftig erhöhte Strafen durch die Datenschutzgrundverordnung.

Für den Originalartikel klicken Sie bitte hier.

Originally published in Die Presse, Rechtspanorama, 21.3.2016

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.