Es bestehen derzeit immer noch viele Unklarheiten, inwieweit Facebook oder Unternehmen, die Facebook nutzen, für mögliche Verletzungen von Datenschutzrecht verantwortlich sind. Auch die Gerichte sind sich in diesem Punkt uneinig. Das LG Düsseldorf hat nun ganz aktuell weiter Öl ins Feuer gegossen und auch Unternehmen direkt haftbar für Datenschutzverstöße gemacht.

Die Gerichte unterscheiden danach, ob die Unternehmen die Funktionen von Facebook in ihre eigene Seite integrieren oder ob sie sich der Facebook-Website bedienen und dort eine Facebook-Fanpage einrichten. Die weitverbreiteste Integration von Facebook-Funktionalitäten in der eigenen Homepage ist dabei der berühmte „Gefällt-mir-“ oder „Like-Button“. Mit diesem Button legt Facebook Cookies auf den Computern der User an, wodurch individuelle Daten wie die IP-Adresse automatisch an Facebook weitergeleitet werden. Bereits mit dem Aufruf der Seite und nicht erst mit dem Betätigen des Buttons werden diese Daten übertragen. Jetzt entschied das LG Düsseldorf (Urt. v. 09.03.2016,Az. 12 O 151/15), dass der Unternehmer bei dieser Einbindung des „Like-Buttons“ geltendes Datenschutzrecht verletzt habe. Das Gericht hält den Website-Betreiber für verantwortlich, da die Daten ohne Zustimmung der User an Facebook übermittelt werden. Letztlich bestehe auch keine Möglichkeit, die Datenübermittlung zu widerrufen. In diesem Fall hatte die Verbraucherzentrale NRW gegen den Online-Shop eines Modeherstellers geklagt. Es kann davon ausgegangen werden, dass sich solche Fälle der zivilrechtlichen Inanspruchnahme direkt von Unternehmen häufen, da seit 17. Februar 2016 auch Verbraucherverbände Datenschutzverstöße gerichtlich verfolgen können.

Anders verhält es sich noch im Falle des Betreibens einer Fanpage auf Facebook durch den Unternehmer. Eine Facebook-Fanpage ist eine Quasi-Website auf Facebook, die für Unternehmen, Künstler o.ä. erstellt wird, um mit Kunden oder Fans in Kontakt zu treten. Dem Fanpagebetreiber steht dabei die sog. „Insights-Funktion“ zur Verfügung, die der Auslöser eines anderen gerichtlichen Streits war. Im Rahmen dieser Funktion erhalten die Unternehmen von Facebook ungefragt anonymisierte und aggregierte Informationen über Netzwerkaktivitäten auf ihrer Fanpage. Hier nun klagte ein Unternehmen gegen die Anordnung der Deaktivierung seiner Facebook-Fanpage durch das Unabhängige Landeszentrum für Datenschutz (ULD). Die Gerichte (insb. das OVG Schleswig) entschieden die Frage der Verantwortlichkeit diesmal zugunsten der Fanpagebetreiber, denn die Betreiber hätten weder Einfluss auf die Erhebung noch auf die Übermittlung der Nutzerdaten. Das ULD gibt sich kämpferisch und zog mit der Revision zum Bundesverwaltungsgericht (BVerwG).

Das letzte Wort in dieser Sache ist jedoch noch nicht gesprochen. Anstatt die Frage der Verantwortlichkeit selbst zu entscheiden, legte das BVerwG die Entscheidung im Februar 2016 dem Europäischen Gerichtshof (EuGH) vor, was zu einer Verzögerung der Klärung der streitigen Fragen führen wird.

Für Unternehmen, die Ihre Internetpräsenz durch eine Facebook-Fanpage ausbauen wollen, ändert sich derzeit noch nichts, sie sind nicht verantwortlich für Datenschutzverstöße von Facebook. Ob diese Beurteilung sich hält, bleibt aber abzuwarten. Beim „Like-Button“ besteht aber akuter Handlungsbedarf: Die Entscheidung des LG Düsseldorf betrifft nicht nur Social Plug-Ins von Facebook, sondern auch von Twitter, Google, Xing usw.

Praxistipp: Unternehmen könnten die sog. „2-Klick-Lösung“ nutzen. Danach wird zunächst nur ein Bild des „Like-Buttons“ angezeigt, ohne dessen Funktionen. Klickt der Nutzer auf das Bild, erscheint zunächst eine entsprechende Datenschutzerklärung. Erst nachdem der Nutzer diese zur Kenntnis genommen hat, kommt der echte „Like-Button“ zum Vorschein. Das LG Düsseldorf ließ jedoch offen, ob diese Lösung den gesetzlichen Anforderungen genügt.