Wir erklären die rechtlichen Probleme, die im Zusammenhang mit Social Media Plugins auftreten können.
Einbindung von Social Media Buttons auf Websites
Einführung
Wer im Internet etwas findet, was ihm gefällt, möchte das auch mitteilen, also bspw. „liken“, „sharen“ oder „twittern“. Diese Möglichkeiten bieten Social Media Buttons, die beinahe auf jeder Webseite angebracht sind und mit deren Hilfe Nutzer in den sozialen Netzwerken ihr „Gefällt mir“ kundtun können. Das problematische dabei ist allerdings, dass gleichzeitig mit dem Laden der Webseite, die einen solchen Button enthält, Daten des Webseitenbesuchers sofort an den Netzwerkbetreiber übersendet werden, unabhängig davon, ob der Nutzer registriert oder nicht registriert, eingeloggt oder abgemeldet ist. Über den eingeloggten Nutzer werden dabei am meisten Daten gebündelt: Facebook beispielsweise kann den Nutzer anhand seines Nutzerprofils eindeutig identifizieren, seine IP-Adresse zuordnen und sein Internetverhalten anhand der besuchten Webseiten bestimmen, um damit gezieltere Werbeanzeigen zu schalten.
Die bisherige Rechtsprechung
Das LG Düsseldorf hat am 09.03.2016 entschieden, dass die Einbindung von Facebook-Buttons – selbiges dürfte aber auch für die ähnlich funktionierenden Buttons anderer sozialer Netzwerke gelten – ohne Einwilligung des Nutzers und ohne Aufklärung über Zweck und Funktionsweise des Buttons gegen § 3a UWG iVm § 13 TMG verstößt und damit unlauter ist. § 12 TMG sieht nämlich vor, dass personenbezogene Daten nur weitergegeben werden dürfen, wenn Rechtsvorschriften dies ausdrücklich erlauben oder der Betroffene in informierter Weise eingewilligt hat. Im Rahmen dieser Entscheidung ist auch die Frage aufgeworfen worden, aber offen geblieben, ob dynamische IP-Adressen personenbezogene Daten sind. Diese Frage hat der BGH als Vorlagefrage an den EuGH gestellt, der dies im Oktober 2016 auch entschieden hat: Dynamische IP-Adressen sind personenbezogene Daten nach § 3 Abs. 1 BDSG, wenn sie Rückschlüsse auf eine bestimmte oder bestimmbare Person zulassen. Dies ist laut EuGH der Fall, wenn der Webseitenbetreiber über rechtliche Mittel verfügt, die es ihm ermöglichen die konkrete Person zu ermitteln, die hinter der IP-Adresse steht. Mit dieser Maßgabe entscheidet sich der EuGH weder für den bisher vertretenen „absoluten Maßstab“, der es ausreichen lässt, wenn irgendein beliebiger Dritte die betroffene Personen identifizieren kann, noch für den „relativen Maßstab“, der das Vorliegen personenbezogener Daten nur annimmt, wenn die konkrete verarbeitende Stelle die Identifizierung der Person vornehmen könnte. Die Daten dürfen also nur erhoben werden, wenn der Nutzer informiert ist und ausdrücklich eingewilligt hat. Daher muss jeder Webseitenbetreiber noch vor Erhebung der Daten eine solche Einwilligungsmöglichkeit vorsehen. Ein Hinweis in der Datenschutzerklärung alleine reicht hierbei nicht.
Handlungsempfehlung für Webseitenbetreiber mit Social-Media Buttons
In der Praxis werden derzeit zwei Lösungen für die Einbindung eingesetzt: Die sog. „zwei-Klick-Lösung“ und die „Shariff“-Lösung. Bei der „Zwei-Klick-Lösung“ muss der Nutzer durch ein aktives Anklicken den Social-Media-Button zunächst aktivieren und kann dann anschließend durch einen zweiten Klick Inhalte teilen oder liken. Eine Übermittlung der Daten wird so erst durch ein aktives Handeln des Nutzers ausgelöst, zuvor wird eine automatische Übermittlung verhindert. Die „Shariff“-Lösung stellt eine Weiterentwicklung der „zwei-Klick-Lösung“ dar und ermöglicht die Aktivierung schon durch einen Klick, wobei die Buttons von ihrem Erscheinungsbild her leichter erkennbar sind, als die Hinweis-Buttons der „Zwei-Klick-Lösung“ und für den Nutzer daher leichter und sicherer zu bedienen sind. Ob diese Lösungen jedoch absolut rechtskonform sind, ist gerichtlich nicht erklärt, sodass auch dieser Weg hinsichtlich etwaiger Rechtsunsicherheiten nur unter Vorbehalt zu empfehlen ist. Ein rechtssicheres Handeln kann derzeit wohl nur dadurch erreicht werden, dass die Page-Plugins sowie Like- und Sharebuttons nicht genutzt werden.
