Nachdem es zuletzt eher still war um die Frage der Rechtmäßigkeit der Einbettung sog. Social Plugins auf Websites, sorgt nunmehr ein aktuelles Urteil des Landgerichts Düsseldorf zur wettbewerbsrechtlichen Einordnung des „Like-Buttons“ von Facebook auf gewerblich genutzten Internetseiten (LG Düsseldorf, Urt. v. 09.03.2016 – 12 O 151/15) für Aufsehen. Dabei ging es erstmals auch um die Zulässigkeit des Buttons an sich.

Nach Ansicht der Richter ist es unlauter, ein Social Plugin auf einer Website zu integrieren, wenn dies dazu führt, dass bei Seitenaufruf eine Übermittlung personenbezogener Daten stattfindet, ohne dass der Nutzer hierüber informiert wird, geschweige denn seine Einwilligung hierzu gegeben hat.

Hintergrund war die Klage der Verbraucherzentrale NRW gegen ein Tochterunternehmen des Bekleidungshändlers Peek & Cloppenburg, das auf dessen Website den Facebook-„Like-Button“ dergestalt integriert hatte, dass dieses Plugin unmittelbar in die Startseite integriert und aktiviert war.

Dies führte dazu, dass bereits bei jedem Aufruf der Internetseite automatisch Daten an Facebook übermittelt wurden und zwar unabhängig davon, ob der „Like-Button“ vom Nutzer angeklickt wurde. Konkret wurden hier jedenfalls die (i. d. R. dynamische) IP-Adresse des Nutzers und der sog. Browserstring übertragen.

Internetnutzer, die bei Aufruf des Onlineshops bei Facebook eingeloggt waren, konnten so mittels IP-Adresse direkt ihrem Facebook-Konto zugeordnet werden. Sogar bei Facebook-Nutzern, die sich zwar ausloggten, jedoch nicht ihre Cookies löschten, konnte mittels gesetzter Cookies eine Zuordnung erfolgen.

Gemäß den Vorschriften des Telemediengesetzes (TMG) ist der User bereits bei Beginn der Nutzung eines Online-Angebots insbesondere über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten in allgemein verständlicher Form zu unterrichten. Dieser Pflicht ist der Onlineshop-Betreiber im hier relevanten Fall nach Ansicht des Gerichts nicht nachgekommen, da bereits beim ersten Aufruf der Website die IP-Adresse der Nutzer an Facebook übermittelt wurde.

Doch wie lassen sich vor diesem Hintergrund Social Plugins datenschutzkonformen einbinden?

Die Beklagte des Verfahrens vor dem LG Düsseldorf verwendet mittlerweile die sog. 2-Klick-Lösung, bei der das Plugin zunächst standardmäßig deaktiviert ist. Erst durch einen Klick auf den Button des Plugin werden dieses und die zugehörige Datenverarbeitung aktiviert. Der Nutzer wird darüber durch eine Einblendung informiert, die erscheint, wenn er mit seiner Maus das fragliche Feld berührt (sog. Mouse-Over).

Das Gericht vermied es ausdrücklich, zu der Zulässigkeit dieser Lösung Stellung zu beziehen. Da die Richter die 2-Klick-Lösung aber ausdrücklich als Alternative zur angemessenen Wahrung der Nutzerinteressen erwähnen, spricht viel für deren Zulässigkeit.

Kritisch erscheint dabei aber, dass insbesondere mobile Endgeräte nur eingeschränkt über die Mouse-Over Funktion verfügen und eine Information der Nutzer somit nicht immer gewährleistet ist.

Als Alternative wird zum Teil „Shariff“ als Lösung diskutiert. Die Buttons sind dann als einfache HTML-Links eingefügt und gerade keine iFrames. Dabei ruft ein Script ab, wie häufig z. B. der Teilen-Button einer Seite betätigt wurde. Statt den Nutzerdaten wird somit lediglich die Server-Adresse der Website an Facebook übertragen. Bei einem Klick auf den Button wird die Seite, die der Nutzer teilen möchte, an Facebook übermittelt und es öffnet sich ein Facebook-Pop-up. Sofern der Nutzer bereits eingeloggt ist, muss er hier das Teilen/Gefallen noch einmal bestätigen.

Vorteil dieser Art der Einbindung ist, dass Daten erst mit Öffnen des Facebook-Pop-ups an den Social Media Betreiber übermittelt werden. Es wird die Ansicht vertreten, dass damit der Betreiber der Ausgangsseite nicht mehr als Verantwortlicher betrachtet werden kann. Eine abschließende gerichtliche Klärung gibt es diesbezüglich bislang aber nicht.

Gegen beide Alternativen wird von Datenschützern eingewandt, dass der Website-Betreiber den Nutzer solange nicht hinreichend über den Zweck der Datenverarbeitung informieren kann, wie Facebook diese Informationen nicht seinerseits transparent offenlegt.

Legt man diese Sichtweise zugrunde, dann wäre eine rechtskonforme Nutzung von Social Media Plugins – zumindest was Facebook anbelangt – derzeit praktisch nicht rechtskonform möglich.

Eine vollständige Rechtssicherheit gibt es hier für Website-Betreiber aktuell daher nicht. Auf eine unmittelbare Aktivierung von Social Plugins auf der Startseite sollte aber unter Risikogesichtspunkten verzichtet werden.