Urteil : Wettbewerbswidrigkeit des Facebook Like-Buttons auf einer Firmenwebsite* : aus der RDV 3/2016, Seite 152 bis 161
(Landgericht Düsseldorf, Urteil vom 9. März 2016 – 12 O 51/15 –)
Es ist wettbewerbswidrig, wenn der Facebook Like-Button auf der Firmenwebsite integriert wird,
- ohne die Nutzer der Internetseite bis zu dem Zeitpunkt, in dem der Anbieter des Plugins beginnt, Zugriff auf die IP-Adresse und den Browserstring des Nutzers zu nehmen, ausdrücklich und unübersehbar über den Zweck der Erhebung und der Verwendung der so übermittelten Daten aufzuklären, und/oder
- ohne die Einwilligung der Nutzer der Internetseite zu dem Zugriff auf die IP-Adresse und den Browserstring durch den Plugin-Anbieter und zu der Datenverwendung einzuholen, jeweils bevor der Zugriff erfolgt, und/oder
- ohne die Nutzer, die ihre Einwilligung im Sinne des Klageantrags zu 2 erteilt haben, über deren jederzeitige Widerruflichkeit mit Wirkung für die Zukunft zu informieren.
(Nicht amtliche Leitsätze)
Aus den Gründen:
Die Klage ist überwiegend begründet. Der Kläger kann als qualifizierte Einrichtung im Sinne von § 4 Abs. 1 Nr. 1 UKlaG gemäß § 8 Abs. 3 Nr. 3 UWG von der Beklagten Unterlassung der Einbindung des G1-Plugins „Gefällt mir“ verlangen, sofern nicht die in den Klageanträgen zu 1.-3. genannten Voraussetzungen erfüllt werden.
I. Die Nutzung des G1-Plugins „Gefällt mir“ auf der Webseite der Beklagten, ohne dass die Beklagte die Nutzer der Internetseite vor der Übermittlung deren IP-Adresse und Browserstring an G1 über diesen Umstand aufklärt, ist unlauter im Sinne des § 3a UWG i. V.m. § 13 TMG.
Nach § 13 Abs. 1 Satz 1 TMG hat der Betreiber eines Telemediendienstes den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs des EWR in allgemein verständlicher Form zu unterrichten. Dieser Pflicht ist die Beklagte hinsichtlich ihrer Internetseite in dem Stand, der der gerichtlichen Beurteilung unterliegt, nicht nachgekommen.
1. Bereits mit dem Besuch der Webseite der Beklagten werden Nutzungsdaten, also Daten, die erforderlich sind, um eine Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (§ 15 Abs. 1 S. 1 TMG), erhoben. Zu solchen gehören nämlich auch Merkmale zur Identifikation des Nutzers, wie dessen IP-Adresse (vgl. Föhlisch/Pilou, a.a. O., S. 632). Die Daten sind personenbezogen. Es handelt sich um Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person, § 3 Abs. 1 BDSG. Eine Einzelangabe im vorgenannten Sinn ist jede Information, die sich auf eine bestimmte, einzelne Person bezieht oder geeignet ist, einen Bezug zu ihr herzustellen.
Nutzer der Beklagtenseite, die bei deren Aufruf auf G1 eingeloggt sind, können mittels der IP-Adresse direkt ihrem G1- Konto zugeordnet werden, so dass für diese Gruppe ein Personenbezug gegeben ist. Auch bei G1-Nutzern, die sich zwar ausloggen, jedoch nicht ihre Cookies löschen, kann mittels gesetzter Cookies eine Zuordnung erfolgen. Das diesbezügliche Bestreiten der Beklagten mit Nichtwissen reicht im Hinblick auf den durch Vorlage einer gutachtlichen Bewertung (Anl. K2) substantiierten Vortrag des Klägers und die im juristischen Schrifttum insoweit eindeutig beschriebene Funktionsweise des Plugins unter Nutzung von Cookies (vgl. Föhlisch/Pilous, a.a. O., Schweda, ZD-Aktuell 2015, 04659; Hupperz/Ohrmann CR 2011, 449, 454; Ernst NJOZ 2010, 1917) nicht aus, um der Darlegung der beschriebenen Funktionsweise wirksam entgegenzutreten. G1 verfügt mit seinen Millionen aktiven Nutzern zudem über ein erhebliches Sonderwissen, das die Betreiber mit den gewonnenen Daten verknüpfen kann.
Die Kammer kann vor vorgenanntem Hintergrund offenlassen, ob gleiches auch für Besucher ohne G1-Konto und nicht eingeloggte Nutzer mit gelöschter Chronik gilt. In der Literatur wird diesbezüglich darauf hingewiesen, dass in diesem Fall über das Plugin Cookies gesetzt würden und dass, wenn ein Webseitenbesucher im Nachgang ein G1-Konto erstellt, ebenfalls ein Personenbezug hergestellt werden könne (vgl. Föhlisch/Pilous MMR 2015, 631 m.w. N.). Aber auch, soweit dies nicht festgestellt werden kann, ist ausweislich der Vorlage des Bundesgerichtshofs an den EuGH zu dieser Frage (BGH GRUR 2015, 192) zumindest naheliegend, dass der vor allem von Datenschutzbehörden vertretenen Theorie des absoluten Personenbezugs (vgl. Voigt/Alich NJW 2011, 3541) zu folgen ist und bereits die Übermittlung von IP-Adressen die Übermittlung personenbezogener Daten darstellt (so auch: KG Berlin BeckRS 2011, 10432).
2.Es handelt sich bei der Beklagten um die verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG.
Die datenschutzrechtliche Verantwortlichkeit nach dem TMG bestimmt sich allein nach § 3 Abs. 7 BDSG (Föhlisch/Pilous a.a. O.). Verantwortliche Stelle i. S.d. § 3 Abs. 7 BDSG ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. Die Regelung geht auf Art. 2 d) der RL 95/46/ EG (DS-RL) zurück, nach dem „für die Verarbeitung Verantwortlicher” die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle ist, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Der Begriff der Verantwortlichkeit ist weit zu verstehen (EuGH MMR 2014, 445). Er erfasst jede Stelle, die personenbezogene Daten über Dritte erhebt, verarbeitet oder verarbeiten lässt. Die Erhebung besteht in einem Beschaffen von Daten, § 3 Abs. 3 BDSG.
Während die Anbieterin des Plugins ohne Zweifel die Daten verarbeitet, beschafft die Beklagte diese im vorgenannten Sinne. Durch das Einbinden des Plugins ermöglicht sie die Datenerhebung und spätere Verwendung der Daten durch G1. Sie könnte durch ein Entfernen des Buttons den Zugriff von vorneherein verhindern bzw. durch eine vorgeschaltete Abfrage bei den Nutzern, ob die Funktionalität aktiviert werden soll, den Zugriff auf die Daten und hierdurch deren Verwendung einschränken. Bei der Beklagten handelt es sich nicht um eine Auftragnehmerin von G1, sondern sie wirkt durch die Einbindung des Plugins unmittelbar an der Erhebung durch G1 mit. Ihre Entscheidung und die technische Implementierung sorgen dafür, dass die Erhebung und die Verarbeitung stattfinden. Die Integration des Plugins ist nicht nur Vorbereitungshandlung für den Erhebungsprozess, sondern nimmt seinen Beginn damit, dass die Beklagte über ihren Server einen HTML-Code aussenden lässt, der den Browser des Nutzers zur Mitteilung seiner Daten an G1 veranlasst. Die Aussendung des HTML-Codes ist damit erster Teilakt des Abrufs des „Gefällt mir“-Buttons und der darin liegenden Funktionalität. Die Erhebung der Daten zu deren Verwendung findet damit im eigenen Tätigkeits-und Haftungsbereich der Beklagten statt.
Allein, dass die Beklagte keinen direkten Einfluss auf die Funktionsweise des Buttons und die Verarbeitung der Daten hat, ihr deren Umfang sogar unbekannt sein mag, und dass sich ihre aktive Tätigkeit auf die Einbindung des Plugins erschöpft, steht dem ebenso wenig entgegen, wie die Tatsache, dass nicht die Beklagte an sie übermittelte und in ihrem Besitz stehende Daten an G1 weiterleitet, sondern die Erfassung der IP-Adresse unmittelbar durch G1 erfolgt (so aber ohne nähere Begründung: Voigt/Alich NJW 2011, 3541; Piltz CR 2011, 657 mit dem Argument, es erscheine „nicht angebracht“, den Webseitenbetreiber als verantwortliche Stelle einzusehen, da er keine Verfügungsgewalt über die Daten erlange). Denn der Vorgang wird durch den HTML-Befehl auf der Beklagtenseite initiiert. Die Eigenschaft als verantwortliche Stelle ist nicht streng an den Besitz der Daten und die physische Herrschaft über den Verarbeitungsprozess gebunden. Löst ein Webseitenbetreiber durch die Einbindung von Drittinhalten in das eigene Angebot einen Verarbeitungsprozess aus, ist er hierfür auch datenschutzrechtlich verantwortlich. Denn allein durch konkrete Gestaltung der Webseite wird die Datenweitergabe an G1 und damit die Datennutzung initiiert (so auch: KG Berlin BeckRS 2011,10432; Föhlisch/ Pilou, a.a. O.; Ernst NJOZ 2010,1917).
3. Die Datenübermittlung ist nicht nach § 15 TMG gerechtfertigt, da sie für das Funktionieren und den Betrieb der Webseite der Beklagten nicht erforderlich ist.
Der Begriff der Erforderlichkeit impliziert ein enges Verständnis des Umfangs der Ausnahmeregel. Der „Gefällt mir“-Button ist für den Betrieb der Seite der Beklagten nicht unabdinglich. Vielmehr ist sie, wie jede Webseite, auch ohne Social Plugins zu betreiben und für die Nutzer aufzurufen. Eine große Verbreitung der Plugins oder Vorteile für die Beklagte auf Grund eines Marketing-Effekts führen nicht dazu, dass diese das Plugin in der beanstandeten Weise zwingend einzusetzen hätte.
Entgegen der Auffassung der Beklagten bedeutet ein solches Verständnis kein Verbot der Einbindung externer Dienste in eine Webseite, und dem Verbotstenor kommt keine zensurähnliche, grundrechtseinschränkende Wirkung zu. Denn die Einbin
dung von Drittinhalten, wie sie im Web 2.0 häufig anzutreffen ist, wird durch diesen keineswegs unmöglich gemacht. Das vom Gericht ausgesprochene Verbot gilt vielmehr nur für den Einzelfall, der nach technischer Funktionsweise, dem Zweck der Datenerhebung und durch die bestimmte geschäftliche Natur der Beklagtenseite bestimmt ist. Will die Beklagte weiterhin die Vorteile einer Verknüpfung mit G1 nutzen, so muss sie lediglich die Rechte derer, die eine Drittweitergabe ihrer Daten weder erwarten, noch wünschen, angemessen beachten, etwa durch das von ihr nunmehr auch angewendete sog. „2 Klick-Verfahren“, bei dem der Datenweiterleitung eine Einverständnisabfrage vorgeschaltet ist. Es wird der Beklagten hiernach nicht unmöglich gemacht, Drittinhalte einzubinden. Die Beklagte hat zu dem nicht einmal vorgetragen, in welcher Weise die Einbindung genau in der beanstandeten Form wirtschaftlich notwendig ist, um ihr Angebot im Internet vorzuhalten oder eine auf der Verkaufsseite geäußerte Meinung (stärker) zu verbreiten.
4. Die Datennutzung kann sich auch nicht auf eine Einwilligung aller Besucher der Seite der Beklagten stützen.
Personenbezogene Daten dürfen zur Bereitstellung von Telemedien nur erhoben und verwendet werden, sofern das TMG oder eine andere telemedienrechtliche Vorschrift dies erlauben oder der Nutzer eingewilligt hat. § 12 Abs. 1 TMG wiederholt damit das in § 4 Abs. 1 BDSG erhaltene Datenverarbeitungsverbot mit Erlaubnisvorbehalt für Telemedien. Eine elektronische Einwilligung ist zulässig, sofern sie die Voraussetzungen des § 13 Abs. 2 TMG erfüllt. Danach ist u.a. sicherzustellen, dass der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat. Dies setzt eine aktive Handlung des Nutzers, wie etwa das Setzen des Häkchens in einer Checkbox, voraus (zum Ganzen: Föhlisch/Pilous a.a. O. m.w. N.). Eine Einwilligung ist zudem nur zulässig, wenn sie auf der freien Entscheidung des Betroffenen beruht. Weiter ist er auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie ggf. auf die Folgen der Verweigerung der Einwilligung hinzuweisen (§ 4a Abs. 1 BDSG). Dies bedeutet, dass eine Einwilligung freiwillig und informiert zu erfolgen hat. Die Einwilligung muss der Datenverarbeitung vorangehen und darf nicht erst nachträglich eingeholt werden. Die Einwilligung wiederum verlangt, dass der Nutzer über die Weitergabe seiner Daten vorher unterrichtet wird (vgl. OLG Düsseldorf K&R 2004, 591, 593).
Dass die Besucher der Beklagtenwebseite in diesem Sinne in die Datenübermittlung an G1 eingewilligt haben, behauptet die Beklagte nicht. Bevor das Plugin auf der Webseite der Beklagten erschien und die Datenweitergabe erfolgte, war durch die Besucher nichts diesbezügliches zu erklären oder anzuklicken. Auch hinsichtlich der Nutzer, die ein G1konto im Wissen um die Datenschutzrichtlinie von G1 angelegt haben, ergibt sich aus dem Beklagtenvortrag nicht, dass diese um die Nutzung auf der Seite der Beklagten konkret wussten oder sich einverstanden erklärten. Die Belehrung über Plugins an sich genügt hierfür nicht.
5. Eine Unterrichtung sah die Internetseite der Beklagten nicht vor, und zwar weder vor einer Weiterleitung von Daten an G1, noch während des Beginns des Nutzungsvorgangs. Der bloße Link zu einer Datenschutzerklärung in der Fußzeile der Webseite stellt keinen Hinweis zu Beginn bzw. vor Einleitung des Verarbeitungsvorgangs dar. Die von der Beklagten diesbezüglich aufgeführten Rechtsprechungsfundstellen befassen sich allein mit der jederzeitigen Abrufbarkeit der Belehrung, nicht aber mit dem Zeitpunkt in dem diese zu erfolgen hat.
6. Es handelt sich bei den §§ 12, 13 TMG, die Umstände des Einzelfalls berücksichtigend (vgl. Köhler/Bornkamm, UWG. 34. Aufl., § 3a, Rn. 1.74), nicht nur um Verbraucherschutzgesetze nach § 2 Nr. 11 UKlaG (in der Fassung vom 24.02.2016), sondern auch um Marktverhaltensregeln im Sinne des § 3 a UWG. Gesetze, die die Erhebung von Daten betreffen, schützen im Einzelfall nicht nur das Persönlichkeitsrecht und das informationelle Selbstbestimmungsrecht, sondern auch den Wettbewerb an sich (vgl. etwa die Entscheidungen des OLG Hamburg vom 27.06.2013, Az. 3 U 26/12, OLG Köln vom 19.11.2010, Az. 6 U 73/10; OLG Karlsruhe vom 09.05.2012, Az. 6 U 38/11 und des KG Berlin vom 24.01.2014, Az. 5 U 42/12; ferner: Huppertz/ Ohrmann, CR 2011, 449), und es ist zu berücksichtigen, dass die zunehmende wirtschaftliche Bedeutung der Erhebung elektronischer Daten diese nicht nur als Wirtschaftsgut erscheinen lässt, sondern auch die Entwicklung des Verständnisses des Datenschutzrechts beeinflusst.
Das eingesetzte Plugin dient (auch) dem Absatz und der Werbung der Beklagten. Dem konkreten Verstoß kommt so auch wettbewerbliche Relevanz zu. Die Nutzer der Beklagtenwebseite sind nicht nur in ihrem Schutz vor unerwünschter Werbung betroffen (a. A. KG BeckRS 2011, 10432; LG Frankfurt BeckRS 2004, 22875), sondern die Einbindung des Plugins beeinflusst deren kommerzielles Verhalten bezogen auf das auf der Seite angebotene Warenangebot. Den Webseitenbesuchern wird vermittelt, wie vielen G1-Mitgliedern die Seite und damit mittelbar auch die angebotenen Waren der Beklagten gefallen; ihnen wird die Möglichkeit gegeben, zu dem Kreis dieser ihnen teilweise bekannten Personen zu gehören; beides kann die Kaufentscheidung eines Webseitenbesuchers beeinflussen. Auch nicht-angemeldete Nutzer von G1 erhalten die Zahl der „Likes“ angezeigt und werden zumindest mittelbar durch das eingebettete Tool, das die Datenerhebung ermöglicht, in ihrem Marktverhalten beeinflusst (vgl. Duchrow, MMR aktuell 2001, 320091).
7. Hinsichtlich der Rechtsverletzung indiziert die Begehung durch die Beklagte die Wiederholungsgefahr. Soweit die Beklagte ihren Webauftritt nunmehr auf die sog. „2-Klick-Lösung“ umgestellt hat, braucht die Kammer nicht zu bewerten, ob diese den gesetzlichen Anforderungen genügt. Denn der Unterlassungsanspruch gründet auf der vorherigen Art der Einbindung des Plugins und dem Umstand, dass die Beklagte diesbezüglich keine strafbewehrte Unterlassungserklärung abgegeben hat. Allein, dass bislang keine höchstrichterliche Rechtsprechung zu dem konkreten Plugin besteht und die Instanzrechtsprechung in der Bewertung uneinheitlich ist, lässt die Wiederholungsgefahr nicht entfallen. Ohnehin setzt der Unterlassungsanspruch kein Verschulden voraus, besteht also auch im Falle eines Rechtsirrtums.
* Mit nachfolgender Urteilsanmerkung von Eva Beyvers
Urteilsanmerkung zu Landgericht Düsseldorf vom 09.03.2016 – 12 O 51/15 –
Like-Button – gefällt dem LG Düsseldorf nicht?
Aktuelle Rechtsfragen des Datenschutzrechts und Wettbewerbsrechts rund um die Entscheidung zu sozialen Plugins
Mit dem Aufkommen sozialer Medien hat auch die Einbindung von Drittinhalten in Webseiten deutlich zugenommen. Insbesondere die Betreiber sozialer Online-Plattformen stellen HTML-Codes und entsprechende Anleitungen kostenlos zur Verfügung, mit denen es möglich wird, sozial verknüpfte Inhalte dieser Anbieter in Webseiten zu integrieren. Bekannt sind diese externen Elemente unter dem Oberbegriff „soziale Plugins“. Kontrovers diskutiert wird seither aber die datenschutzrechtliche und auch wettbewerbsrechtliche Beurteilung dieser Erscheinung. Dabei stellte sich insbesondere die Frage, ob Webseitenbetreiber eine datenschutzrechtliche (Mit-)Verantwortung für die mit dem Plugin in Zusammenhang stehenden Datenverarbeitungen haben. Das LG Düsseldorf hat nun in dieser Frage erstmals ausdrücklich entschieden: Ja, Seitenbetreiber sind für Datenverarbeitungen im Zusammenhang mit Social Plugins datenschutzrechtlich verantwortlich. Neben der Verantwortlichkeit berührt das Urteil jedoch noch weitere Grundsatzfragen des Datenschutz- und Wettbewerbsrechts. Der vorliegende Beitrag geht offenen Fragen nach und befasst sich näher mit der jeweiligen Argumentation des Gerichts.
I. Sachverhalt und Entscheidung im Überblick
Das LG Düsseldorf hatte auf Antrag der Verbraucherzentrale NRW zu entscheiden, ob der Betreiber eines Online-Shops (im Folgenden: Seitenbetreiber) es wegen Wettbewerbswidrigkeit zu unterlassen hatte, auf seiner Internetseite ein Plugin des sozialen Netzwerks Facebook[1] (im Folgenden: Facebook) einzubinden ohne die Nutzer ausreichend über im Zusammenhang mit dem Plugin stattfindende Datenverarbeitungen zu informieren bzw. ohne eine Einwilligung der Nutzer hinsichtlich dieser Datenverarbeitungen einzuholen und die Nutzer über die Widerruflichkeit dieser Einwilligung aufzuklären. Die Verbraucherzentrale hatte den Seitenbetreiber zuvor wegen eines Verstoßes gegen das Wettbewerbs- und Telemedienrecht abgemahnt und die Abgabe einer strafbewehrten Unterlassungserklärung verlangt.[2]
Das LG Düsseldorf[3] setzt sich zunächst detailliert mit den technischen Hintergründen auseinander und erörtert akkurat die technischen Spezifika der Einbindung des Plugins und die Datenübertragungsprozesse, die bei dessen Nutzung stattfinden. Auf der Grundlage dieser Erkenntnisse kommt das Gericht zu dem Schluss, dass die Verwendung des Plugins durch den Seitenbetreiber unlauter im Sinne des § 3a UWG i.V.m. §§ 12, 13 TMG[4] gewesen sei. Es handle sich bei dem Seitenbetreiber um eine verantwortliche Stelle im Sinne von § 3 Abs. 7 BDSG[5], weshalb er für die stattfindende Verarbeitung personenbezogener Daten rechtlich einstehen müsse. Die Verarbeitung sei nicht im Rahmen des von § 12 Abs. 1 TMG proklamierten Verbots mit Erlaubnisvorbehalt auf der Grundlage von § 15 TMG oder durch eine Einwilligung gemäß §§ 4a BDSG, 13 Abs. 2 TMG gerechtfertigt gewesen. Zudem habe der Seitenbetreiber die Nutzer nicht den Anforderungen von § 13 Abs. 1 TMG entsprechend zu Beginn des Nutzungsvorgangs über die von dem Plugin initiierten Datenverarbeitungsvorgänge unterrichtet. Die §§ 12 und 13 TMG stellten unter Berücksichtigung der Umstände des Einzelfalles Marktverhaltensregeln im Sinne von § 3a UWG[6] dar, da nicht nur das informationelle Selbstbestimmungsrecht und die Persönlichkeit des Betroffenen, sondern der Wettbewerb als solches durch die Bestimmungen geschützt würden. Die erforderliche konkrete wettbewerbsrechtliche Relevanz begründete das Gericht damit, dass das Plugin unter anderem den Werbe- und Absatzzwecken der Beklagten gedient habe. Die vom Seitenbetreiber gelieferte unvollständige Unterrichtung könne zwar sogar den falschen Eindruck erwecken, das bloße Ausloggen aus dem Netzwerk von Facebook könne eine Datenübertragung durch das streitige Plugin an Facebook gänzlich verhindern. Darin liegt aber nach Ansicht des LG Düsseldorf keine Täuschung oder Irreführung i.S.v. § 5 Abs. 1 Satz 2 Nr. 1 oder Nr. 7 UWG.
II. Datenschutzrechtliche Aspekte des Urteils
1. Personenbezug von im Zusammenhang mit dem Plugin verarbeiteten Daten
Das LG Düsseldorf folgt ganz eindeutig einem absoluten (auch: objektiven) Ansatz des Personenbezugs, d.h. es geht schon dann von einer Bestimmbarkeit des Betroffenen und damit vom Vorhandensein personenbezogener Daten aus, wenn theoretisch nicht vollkommen ausgeschlossen ist, dass der Verantwortliche oder ein Dritter den Bezug herstellen können.[7] Mit anderen Worten hält das Gericht es also nicht für erforderlich, dass die verantwortliche Stelle selbst Zusatzinformationen besitzt, die eine Zuordnung von Daten zu Betroffenen ermöglicht, sondern lässt es ausreichen, dass ein Dritter solche Informationen besitzt – unabhängig davon, ob tatsächlich die Möglichkeit oder das Risiko besteht, dass der Datenverarbeiter die Zusatzinformationen des Dritten zur Identifizierung Betroffener verwendet. Dazu bekennt es sich ausdrücklich im Rahmen der Erörterung eines Personenbezugs der von dem Plugin übermittelten Daten in Bezug auf nicht bei Facebook eingeloggte und nicht bei Facebook registrierte Nutzer des Online-Shops der Beklagten. Das Gericht hält für diese einen Personenbezug schon deshalb für herstellbar, weil IP-Adressen schon allein aufgrund der Identifizierbarkeit des Betroffenen durch den Zugangsanbieter personenbezogene Daten darstellen.[8]
Es verweist diesbezüglich auf das derzeit vor dem EuGH anhängige Vorlageverfahren,[9] das die Personenbezogenheit von IP-Adressen klären soll.[10] Der EuGH hat allerdings in diesem Verfahren noch nicht entschieden, weshalb der Verweis als Nachweis für eine Klärung des bislang heftig geführten Meinungsstreits über die Voraussetzungen der Personenbeziehbarkeit, insbesondere im Zusammenhang mit dynamischen IP-Adressen,[11] nicht taugt. Ein früheres Urteil des EuGH, das im Ergebnis die Personenbezogenheit von IPAdressen bejahte,[12] kann auf den vorliegenden Fall nicht vorbehaltlos übertragen werden, weil im dortigen Sachverhalt der Datenverarbeiter selbst Zugangsanbieter war und somit Zugriff auf eine Identifikation der Nutzer ermöglichende Zusatzinformationen hatte, die dem Seitenbetreiber im vorliegenden Fall nicht ohne weiteres zur Verfügung standen. Die EU-Kommission empfiehlt in einem in dem noch anhängigen Vorlageverfahren eingereichten Schriftsatz dennoch, dynamische IP-Adressen auch dann als personenbezogene Daten im Sinne von Art. 2 lit. a der RL 95/46/EG[13] zu behandeln, wenn eine tatsächliche Identifizierung für einen Diensteanbieter nur mithilfe von Zusatzinformationen möglich ist, die ein Dritter, in dem Fall der Zugangsanbieter, besitzt.[14]
a. Personenbezug und konkrete Gefährdung der Betroffenenrechte
Für diese weite Auslegung scheint auf den ersten Blick jedenfalls der Wortlaut von Art. 2 lit. a der RL 95/46/EG[15] zu sprechen, der für einen Personenbezug lediglich voraussetzt, dass eine Person „direkt oder indirekt identifiziert werden kann“, nicht aber vorschreibt, ob diese Identifikation durch den Verantwortlichen selbst oder aber durch Dritte vorgenommen werden können muss. Erwägungsgrund 25 der RL 95/46/EG nennt stattdessen sowohl den Verantwortlichen als auch Dritte, will aber nur solche Mittel der Identifizierung bei der Beurteilung berücksichtigen, die „vernünftigerweise […] eingesetzt werden könnten“. Aus dieser letzten Formulierung geht hervor, dass eine völlig abstrakte, nur in der Theorie bestehende Gefährdung nicht ausreichen soll, um einen Personenbezug zu begründen.[16] Vielmehr kommt es darauf an, ob nach den Erwägungen der Vernunft damit zu rechnen ist, dass ein Personenbezug im konkreten Zusammenhang (gegebenenfalls unter der Mitwirkung Dritter) herstellbar ist, ob also eine einigermaßen konkrete Gefährdung der Persönlichkeitsrechte des Betroffenen im jeweiligen Zusammenhang unter Berücksichtigung der tatsächlichen äußeren Umstände besteht. Die Art. 29-Datenschutgruppe nennt als relevante „Kontextfaktoren“ u.a. die Kosten der Identifizierung, den mit der Datenverarbeitung verfolgten Zweck, die Interessen der Beteiligten und die nach dem jeweiligen Stand der Technik zur Verfügung stehenden Möglichkeiten.[17]
b. Konkrete Gefährdung im Verhältnis zwischen Diensteanbietern und Facebook bei der Verwendung von Social Plugins
Diese Überlegungen scheinen auf den ersten Blick für das Ergebnis des LG nicht relevant zu sein, macht es doch die Ausführungen zur absoluten Theorie des Personenbezugs lediglich ergänzend, nachdem es einen Personenbezug jedenfalls für die zu eingeloggten Facebook-Nutzern gehörigen Daten festgestellt hat.[18] Bei genauerem Hinsehen offenbart sich dort aber eine Unregelmäßigkeit in der Argumentation, denn auch bei den eingeloggten Facebook-Nutzern ist es in aller Regel nicht der Seitenbetreiber, der den Personenbezug herstellen kann, sondern allein Facebook besitzt das entsprechend nötige Zusatzwissen. Damit stellt sich in dieser Konstellation im Grunde dieselbe Frage: Rechtfertigt das Verhältnis zwischen Facebook und dem Seitenbetreiber die Annahme, dass im Rahmen eines vernünftigen Einsatzes der zur Verfügung stehenden Mittel die im Zusammenhang mit dem sozialen Plugin verarbeiteten Daten mit einer natürlichen Person in Verbindung gebracht werden?
Anders als im Verhältnis zwischen Diensteanbietern und Zugangsprovidern muss die Antwort in diesem Fall aber eindeutig positiv ausfallen: Die Kooperation zwischen Seitenbetreibern und Facebook dient ja gerade dazu, sozial verknüpften, also individualisierten, auf den jeweiligen Nutzer zugeschnittenen Inhalt zur Verfügung zu stellen. Dem Seitenbetreiber wird es auf diese Weise möglich, seine Seite inhaltlich aufzuwerten, während Facebook die gewonnenen Daten zur kostenlosen Bereitstellung sozialer Netzwerkdienste und zur Finanzierung selbiger durch Werbemaßnahmen nutzt. Anders als der Zugangsprovider kooperiert Facebook also im Rahmen des Plugins mit dem Seitenbetreiber zu dem ausdrücklichen Zweck, einen Personenbezug für eingeloggte Mitglieder herzustellen, um diese Information zur Bereitstellung weiterer Dienste zu nutzen. Die Art. 29-Datenschutzgruppe formuliert schlüssig: „Das Argument, dass Personen nicht bestimmbar sind, wenn der eigentliche Zweck der Verarbeitung in der Identifizierung von Personen besteht, wäre ein Widerspruch in sich.“[19] Wenn also der Zweck der Verarbeitung der Daten aus dem Plugin-Betrieb die Identifizierung zumindest eingeloggter Nutzer einschließt, so kann, folgt man der Argumentation der Art. 29- Datenschutzgruppe, davon ausgegangen werden, dass der Verantwortliche oder ein beteiligter Dritter über entsprechende Mittel zur Identifizierung verfügt und dass deren Einsatz im Sinne des Erwägungsgrundes 25 bei vernünftiger Erwägung der äußeren Umstände zumindest möglich erscheint.[20] Eine einigermaßen konkrete Gefährdung, wie sie Art. 2 lit. a der RL 95/46/EG vorsieht, ist damit aufgrund des speziellen Geschäftsmodells bei der Verarbeitung von Plugin-Daten gegeben, was die Annahme einer Personenbeziehbarkeit auch hinsichtlich der übermittelten IP-Adressen in diesem Fall rechtfertigt – eine generelle Aussage über die Personenbezogenheit von IP-Adressen ist damit aber nicht getroffen.
2. Seitenbetreiber als verantwortliche Stelle
Das LG Düsseldorf begründet im Wesentlichen die Verantwortlichkeit des Seitenbetreibers damit, dass dieser die Daten beschaffe, die von Facebook anschließend verarbeitet werden. Damit ermögliche er eine spätere Verwendung der Daten und wirke durch die technische Einbindung des Plugins, die nicht nur eine Vorbereitungshandlung darstelle, unmittelbar an den Datenerhebungen durch Facebook mit.[21] Diese Ausführungen zum „Mithandeln“ des Seitenbetreibers wirken etwas gekünstelt, wenn man zur richtlinienkonformen Auslegung des § 3 Abs. 7 BDSG auf den insofern einschlägigen Wortlaut des Art. 2 lit. d RL 95/46/EG zurückgreift.[22] Demnach ist es nicht erforderlich, dass die verantwortliche Stelle zu irgendwelchen Datenverarbeitungen in Form von Teilnahmehandlungen Beiträge leistet, sondern es kommt ausschließlich auf ihre tatsächliche Entscheidungsgewalt hinsichtlich der Zwecke und Mittel der jeweiligen Datenverarbeitung an.
a. Datenübertragung an Facebook
Ein solcher Einfluss des Seitenbetreibers auf die Übertragung von IP-Adressen und zusätzlichen Informationen über eingeloggte Nutzer lässt sich beim Einsatz von sozialen Plugins auch einwandfrei begründen: Der Seitenbetreiber entscheidet selbst über die Einbindung des Plugins in seine Webseite, kennt den Programmcode und die dadurch ausgelösten Prozesse, und entscheidet somit im Sinne der Definition aus Art. 2 lit. d RL 95/46/EG über die Zwecke und Mittel der Datenübertragung an Facebook.
b. Weiterverarbeitung von Daten durch Facebook
Die Argumentation des Gerichts, die bis dahin lediglich die richtlinienkonforme Auslegung von § 3 Abs. 7 BDSG vernachlässigt hatte, führt aber im konkreten Zusammenhang auch zu einer Fehlannahme: Das LG kommt zu dem Schluss, die Beklagte habe nicht nur die Datenweitergabe an Facebook, sondern auch die von Facebook anschließend durchgeführte „Datennutzung initiiert“.[23] Sofern das LG hier beim Wort genommen werden darf, impliziert es eine Verantwortlichkeit des Seitenbetreibers für die von Facebook nach der Übertragung der Daten durchgeführten Verarbeitungen, z.B. zur Auswahl der Profile von Kontakten oder anderen Facebook-Mitgliedern, die einem eingeloggten Nutzer konkret im Zusammenhang mit dem Like-Button angezeigt werden sollten oder zur zielgerichteten Platzierung von Werbung. Auf diese Vorgänge hat der Seitenbetreiber jedoch keinerlei unmittelbaren Einfluss; mit dem Einbinden oder Nichteinbinden des Plugins in einem bestimmten Zusammenhang und mit einem bestimmten Programmcode kann er lediglich die Übertragung bestimmter Nutzerdaten an die Server von Facebook zu dem gewünschten Zweck veranlassen oder unterbinden. Auf Algorithmen und sämtliche Software, die Facebook einsetzt, um Inhalte oder Werbung auf einzelne Nutzer zuzuschneiden und die entsprechenden Datenverarbeitungen, die Facebook zu diesem Zweck durchführt, hat der Seitenbetreiber durch den Programmcode des Plugins aber keinen Einfluss.
Unter der Definition des Art. 2 lit. d RL 95/46/EG, der sich eindeutig auf faktische (Mit-)Bestimmung („bestimmt“), nicht aber auf normative oder gar moralische Aspekte bezieht, bleibt für eine erweiternde Auslegung, für die sich mit dem Schutzzweck der Richtlinie und dem besonderen Gefährdungspotenzial profilbildender sozialer Webservices durchaus argumentieren ließe, wohl kein Raum. Auch der auf der Hand liegende Einwand, dass Facebook die Daten ohne die Mitwirkung des Seitenbetreibers gar nicht erhalten hätte und somit auch eine weitere Verarbeitung unmöglich gewesen wäre, überzeugt letztlich unter Berücksichtigung des eindeutigen Wortlauts von Art. 2 lit. d RL 95/46/EG nicht. Diesem Wortlaut zufolge kommt es auf die tatsächliche Bestimmungsgewalt bezüglich einer konkreten Verarbeitung an; dies schließt aber umgekehrt eine „Fernwirkung“ oder „Fortwirkung“ der Bestimmungsgewalt aus. Nur weil ein Seitenbetreiber über die Zwecke und Mittel der Übertragung von Daten durch das Plugin entscheiden konnte, wirkt diese Entscheidungsmöglichkeit nicht auf sämtliche unter Einbeziehung dieser Daten durchgeführten Verarbeitungsvorgänge fort, sondern eine Verantwortlichkeit beurteilt sich auch hier nach der tatsächlichen Verfügungsmöglichkeit über die Zwecke und Mittel des konkreten in Rede stehenden Datenverarbeitungsvorganges.
Eine Verantwortlichkeit des Seitenbetreibers ließe sich allenfalls für die Übermittlung und Anzeige der „fertigen“ Ergebnisse der Auswertung im Rahmen des Plugins diskutieren. Denn z.B. können dem Nutzer die Profile bestimmter Kontakte, die das Plugin bereits betätigt haben, im Zusammenhang mit dem Plugin nur angezeigt werden, weil der Seitenbetreiber sich dazu entschieden hat, dieses Plugin in einer bestimmten Form und mit einer bestimmten Funktionsweise in seine Seite einzubetten. Hier bestimmt also (wenn auch möglicherweise nicht allein) der Seitenbetreiber selbst wieder über die Zwecke und Mittel der Verarbeitung.
3. Keine Erforderlichkeit von Datenverarbeitungen nach § 15 TMG
Das LG Düsseldorf hält Datenverarbeitungen im Zusammenhang mit dem sozialen Plugin nicht für gemäß § 15 Abs. 1 TMG gerechtfertigt. Nach § 15 Abs. 1 TMG sind Datenverarbeitungen im Rahmen des generellen Verbots mit Erlaubnisvorbehalt (§ 12 Abs. 1 TMG) gestattet, wenn sie erforderlich sind, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen. Das Kriterium der Erforderlichkeit sei eng auszulegen, der ‚Gefällt mir‘-Button sei aber für den Betrieb der eigentlichen Webseite nicht unverzichtbar.[24]
Angesichts der weiten Verbreitung eingebundener Drittinhalte im Web 2.0 könnte diese Annahme der Unverzichtbarkeit durchaus bestritten werden. Auch schreibt § 15 Abs. 1 TMG gerade nicht vor, wie das Telemedium gestaltet sein soll, sondern setzt lediglich voraus, dass die stattfindenden Datenverarbeitungen für das Angebot im jeweiligen Ist-Zustand erforderlich sein müssen – womit die Schaffung einer Situation der Erforderlichkeit im Wesentlichen der Gestaltungsfreiheit des Diensteanbieters unterliegt. Damit stellt auch das Plugin selbst im jeweils angebotenen Zustand ein Telemedium, d.h. einen elektronischen Informations- und Kommunikationsdienst nach der Definition des § 1 Abs. 1 TMG oder zumindest einen Teil eines solchen Dienstes dar. Für die Inanspruchnahme des Plugins selbst als Telemedium oder für die Nutzung der Webseite in ihrer konkreten Form mit dem eingebundenen Plugin sind dann aber gewisse Datenverarbeitungen durchaus erforderlich. Allerdings wird dem Nutzer das Plugin praktisch aufgedrängt, wenn er die Seite aufruft, auf der das Plugin eingebettet ist, da es direkt mit dem Seiteninhalt zusammen geladen wird, ohne dass der Nutzer es explizit aufgerufen hat. Dadurch wird der Zweck von § 15 Abs. 1 TMG, der die durch eine faktische (aber willentliche oder zumindest bewusste) Inanspruchnahme von Telemedien erforderliche Datenverarbeitung regeln soll, verzerrt. Die enge Auslegung des LG Düsseldorf hat an dieser Stelle also durchaus ihre Berechtigung, hätte aber entsprechend genauer begründet werden können.
4. Keine rechtzeitige Unterrichtung nach § 13 Abs. 1 TMG durch eine Verlinkung in der Fußzeile
Die Unterrichtung nach § 13 Abs. 1 TMG hat zeitlich spätestens zu Beginn des Nutzungsvorgangs zu erfolgen. Der Seitenanbieter hatte im vom LG Düsseldorf beurteilten Fall einen Link in der Fußzeile der Webseite bereitgehalten, über den ein entsprechender Informationstext abrufbar war. Um aber überhaupt als Unterrichtung zu gelten, muss diese Unterrichtung auf der Webseite „zuverlässig wahrnehmbar“[25] sein. Allgemein gilt diesbezüglich die Platzierung eines eindeutigen, hervorgehobenen Hinweises auf der Startseite in Verbindung mit einem Link zu einem Informationstext als ausreichend.[26] Das LG Düsseldorf präzisierte im vorliegenden Fall die Anforderungen dahingehend, dass ein Link, der lediglich in der Fußzeile der Homepage aufzufinden und nicht mit einem hervorgehobenen Hinweis versehen war, nicht in ausreichendem Maße zuverlässig wahrnehmbar war. Es folgerte mithin, eine Unterrichtung habe überhaupt nicht stattgefunden.[27]
Diese deutliche Unterscheidung zwischen der Anforderung einer rechtzeitigen, gut wahrnehmbaren erstmaligen Unterrichtung zu Beginn des Nutzungsvorgangs und der späteren jederzeitigen Abrufbarkeit des Informationstextes (darauf bezieht sich die vielfach diskutierte Zwei-Klick-Regelung)[28] ist nach dem Gesetzeswortlaut von § 13 Abs. 1 TMG zweifelsfrei gerechtfertigt, wird aber wohl bislang hinsichtlich allgemeiner Informationspflichten nach § 13 Abs. 1 TMG – auch deswegen, weil in ähnlicher Sache die Anforderungen der sogenannten Cookie-Richtlinie für viel Aufmerksamkeit sorgten[29] – häufig vernachlässigt.
III. Wettbewerbsrechtlicher Rahmen: Rechtsbruch nach § 3a UWG
Wettbewerbsrechtlich verfolgbar sind Datenschutzrechtsverstöße nur, wenn sie einem der Verbote des UWG unterfallen. Vor dem LG Düsseldorf ging es um die Frage, ob der zuvor festgestellte Verstoß gegen die §§ 12, 13 TMG durch das Einbinden eines sozialen Plugins einen Rechtsbruch im Sinne von § 3a UWG darstellt. Hierfür muss es sich bei den Regelungen des TMG, gegen die verstoßen wurde, (1.) um Vorschriften handeln, die auch dazu bestimmt sind, im Interesse der Marktteilnehmer das Marktverhalten zu regeln (sog. Marktverhaltensvorschrift), und (2.) der konkrete Verstoß muss dazu geeignet sein, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen.
1. §§ 12 Abs. 1, 13 Abs. 1 TMG als Marktverhaltensvorschriften im Interesse der Marktteilnehmer
Marktverhaltensvorschriften zielen zumindest auch auf die Regelung des Marktverhaltens im Interesse der Marktteilnehmer ab – dies muss aber nicht ihr einziger oder vorrangiger Zweck sein.[30] Unter Marktverhalten sind dabei solche Tätigkeiten auf einem Markt zu verstehen, die objektiv der Absatz- oder Bezugsförderung dienen und durch die ein Unternehmer auf andere Marktteilnehmer (z.B. Mitbewerber, Verbraucher) einwirkt, insbesondere also Angebot und Nachfrage von Waren und Dienstleistungen, sowie Werbung.[31] Ein marktverhaltensregelnder Charakter ist für datenschutzrechtliche Vorschriften schon vielfach festgestellt worden, kann aber dennoch nicht pauschal vorausgesetzt werden.[32] Nachdem es sich zunächst ausführlich mit den datenschutzrechtlichen Aspekten des Sachverhalts auseinandergesetzt hat, scheint das LG Düsseldorf die Frage des marktverhaltensregelnden Charakters aber verhältnismäßig knapp abzuhandeln: Es begründet den marktverhaltensregelnden Charakter der §§ 12, 13 TMG pauschal damit, dass „Gesetze, die die Erhebung von Daten betreffen, […] im Einzelfall nicht nur das Persönlichkeitsrecht und das informationelle Selbstbestimmungsrecht, sondern auch den Wettbewerb an sich“ schützen; Außerdem sei die zunehmende Bedeutung elektronischer Daten als Wirtschaftsgut zu berücksichtigen.[33]
a. Regelung des Marktverhaltens im Interesse der Mitbewerber
Angesichts der teilweise stark divergierenden vertretenen Ansichten in Literatur und Rechtsprechung hätte es hier allerdings einer etwas ausführlicheren Begründung bedurft. So wurde gegenteilig vertreten, dass den deutschen Datenschutzvorschriften neben dem Schutz des Persönlichkeitsrechts Betroffener „ein weiterer – sei es auch nur sekundärer – Zweck, das Werbeverhalten von Unternehmen im Interesse der Marktteilnehmer zu regeln bzw. gleiche Voraussetzungen für werbende Unternehmen zu schaffen, nicht zu entnehmen“ sei.[34] Gerade § 13 TMG sei eine „wertneutrale Vorschrift […], die nicht im Interesse der Marktteilnehmer das Marktverhalten regelt, sondern den individuell Betroffenen schützen soll“.[35] In dieser Hinsicht unterscheidet sich jedoch die ausdrücklich auf den Wettbewerb und Binnenmarkt bezugnehmende RL 95/46/EG wesentlich von der auch § 13 TMG betreffenden allgemeinen Zweckbestimmung in § 1 Abs. 1 BDSG. Eine richtlinienkonforme Auslegung des Regelungszwecks deutscher Datenschutzgesetze unter Hinzuziehung der Erwägungsgründe der Richtlinie ist deswegen unbedingt erforderlich. Völlig richtig argumentiert daher das OLG Hamburg, dass § 13 Abs. 1 TMG auf die Datenschutzrichtlinie 96/46/EG zurückzuführen sei, die, wie aus ihren Erwägungsgründen 6 bis 8 hervorgehe, den grenzüberschreitenden Verkehr personenbezogener Daten auch zu dem Zweck auf ein einheitliches Schutzniveau heben solle, um Hemmnisse für Wirtschaftstätigkeiten in der Gemeinschaft abzubauen und den Wettbewerb im Binnenmarkt zu stärken.[36] Daraus leitet es ab, dass § 13 Abs. 1 TMG gerade nicht ausschließlich auf überindividuelle Belange des freien Wettbewerbs abzielt, sondern zumindest auch die wettbewerbliche Entfaltung von Mitbewerbern durch die Herstellung gleicher Wettbewerbsbedingungen schützt.[37]
b. Regelung des Marktverhaltens im Interesse der Verbraucher
Ob die §§ 12 Abs. 1, 13 Abs. 1 TMG auch zusätzlich das Verhalten der betroffenen Verbraucher in ihrer Eigenschaft als Marktteilnehmer schützen, ist ebenfalls nicht völlig eindeutig. Immerhin hatte das LG Frankfurt/M. noch entschieden, dass „[d]ie fehlende Unterrichtung über die Erhebung und Verwendung personenbezogener Daten im Zusammenhang mit dem ‚Gefällt mir‘-Button […] sich nämlich – im Gegensatz zu geschäftsbezogenen Informationspflichten wie etwa der unrichtigen oder unvollständigen Belehrung der Verbraucher über ein etwaiges Widerrufs- oder Rückgaberecht – nicht auf das kommerzielle Verhalten des Besuchers der Website“ auswirkt.[38] Die Informationspflicht nach § 13 Abs. 1 TMG bezwecke lediglich, den Nutzern von Telemediendiensten einen Überblick über die Verarbeitung ihrer personenbezogenen Daten zu verschaffen, schütze aber Verbraucher nicht vor der Beeinflussung geschäftlicher Entscheidungen.[39] Wo eine Datenverarbeitung zur Bereitstellung von Werbung geregelt wird, liegt eine Schutzfunktion zugunsten von Verbrauchern allerdings generell nahe.[40] Wenn also vorliegend die durch das Plugin durchgeführten Datenerhebungen unmittelbar die gezielte Platzierung von verhaltensbezogener Werbung ermöglichen, so liegt auch in dem von § 12 Abs. 1 TMG aufgestellten Verarbeitungsverbot mit Erlaubnisvorbehalt, gegen das vorliegend verstoßen wurde, eine marktverhaltensregelnde Vorschrift. Das OLG Hamburg geht sogar noch weiter und nimmt allgemein an, dass auch „Aufklärungspflichten […] dem Schutz der Verbraucherinteressen bei der Marktteilnahme, also beim Abschluss von Austauschverträgen über Waren und Dienstleistungen, dienen, indem sie den Verbraucher über die Datenverwendung aufklären und dadurch seine Entscheidungs- und Verhaltensfreiheit beeinflussen“.[41]
2. Spürbare Interessenbeeinträchtigung
Die wettbewerbliche Relevanz des konkreten Verstoßes rührt nach Ansicht des LG Düsseldorf daher, dass das Plugin auch der Werbung und dem Absatz des Seitenbetreibers gedient habe; die Nutzer der Webseite seien deswegen unerwünschter Werbung ausgesetzt.[42] Ob der Zusammenhang zwischen der fehlenden Unterrichtung und gezielter Platzierung von Werbung so unmittelbar ist, dass dies eine spürbare Interessenbeeinträchtigung der Verbraucher oder Mitbewerber nach sich zieht, bleibt allerdings zweifelhaft. Ergänzend argumentiert das LG aber, die bei Facebook angemeldeten Besucher würden unmittelbar – nichtangemeldete Besucher dementsprechend mittelbar – durch das Plugin in ihrem Marktverhalten beeinflusst, weil der Inhalt des Plugins eine Aussage über die Beliebtheit der Seite und damit der dort angebotenen Waren mache und es dem Seitenbesucher selbst ermögliche, sich als zu der Gruppe derjenigen zugehörig zu kennzeichnen, denen die Seite bzw. die dort angebotenen Waren gefallen, wodurch auch die Kaufentscheidung beeinflusst werde.[43]
3. Keine Täuschung oder Irreführung durch falsche Informationen
Fast schon in einem Nebensatz äußerte das LG Düsseldorf außerdem, dass es in einer sachlich falschen Unterrichtung der Nutzer (der Seitenbetreiber hatte im Rahmen der an die Nutzer herausgegebenen Informationen fälschlich behauptet, es sei ausreichend, sich bei dem Netzwerk Facebook auszuloggen, um eine Datenverarbeitung durch das Plugin beim Besuch seiner eigenen Seite zu unterbinden) weder eine Täuschung über die Risiken der Dienstleistung noch eine Irreführung (§ 5 Abs. 1 Satz 2 Nr. 1 und Nr. 7 UWG) sieht.[44]
IV. Ergebnis und Ausblick
1. Komplexe Sachverhalte und offene Fragen
Wie so viele Entscheidungen im Bereich des Datenschutzrechts, die sich mit der Beurteilung vielschichtiger Geschäftsmodelle und komplexen Datenverarbeitungsprozessen auseinandersetzen, ist auch das vorliegende Urteil nicht in der Lage, alle offenen Fragen vollständig zu beantworten. Zwar überzeugt der Ansatz des LG Düsseldorf, die in Rede stehenden Datenverarbeitungsprozesse und die dahinter stehende Technik und Software detailliert zu analy sieren und auf diese Analyse die datenschutzrechtliche Beurteilung zu gründen. Wie so häufig wird aber die unverzichtbare europarechtskonforme Auslegung der Vorschriften des deutschen Datenschutzrechts nicht konsequent genug betrieben, und es fehlt an einer Berücksichtigung der Besonderheiten des Geschäftsmodells sozialer Netzwerke und der daraus resultierenden spezifischen Gefährdungen für die Persönlichkeitsrechte Betroffener. Anders als andere Gerichte, die sich bereits mit den Funktionalitäten sozialer Netzwerke zu befassen hatten,[45] macht das LG Düsseldorf keinerlei Ausführungen zum räumlich anwendbaren Datenschutzrecht. Diese waren im vorliegenden Fall aber auch nicht erforderlich, da die als verantwortliche Stelle identifizierte Beklagte ihren Sitz unstreitig in Deutschland hatte, weshalb eine Anwendung des Rechts eines anderen EU-Mitgliedstaats auf der Grundlage des Niederlassungsprinzips (Art. 4 Abs. 1 lit. a RL 95/46/EG) ohnehin nicht in Frage kam. Dadurch blieb auch die von Literatur und Rechtsprechung teilweise divergierend beurteilte Frage des Verhältnisses der räumlichen Anwendbarkeitsvorschriften wettbewerbsrechtlicher und datenschutzrechtlicher Natur zueinander unberührt.[46] Angesichts der noch nicht ganz eindeutigen Rechtslage im Hinblick auf den marktverhaltensregelnden Charakter der §§ 12, 13 TMG wäre eine ausführliche argumentative Begründung unter Rückgriff auf die Erwägungsgründe der RL 95/46/EG hier aber durchaus berechtigt gewesen.
2. Alte Begriffe und die neue DS-GVO
Der bevorstehende Übergang der Datenschutzregelungen von der europäischen Richtlinie mit nationaler Umsetzung hin zu einer unmittelbar anwendbaren europäischen Datenschutzgrundverordnung (DS-GVO)[47] betont die besondere Wichtigkeit des Verständnisses und der Auslegung der grundlegenden Begriffe des europäischen Datenschutzrechts. Die Definitionen des für die Verarbeitung Verantwortlichen (Art. 4 Abs. 5 DS-GVO)[48] und die Voraussetzungen des Personenbezugs (Art. 4 Abs. 1 DS-GVO)[49] werden sich mit der neuen Regelung nicht grundlegend verändern,[50] und viele der aus der Richtlinie bekannten Begriffe werden auch durch die Datenschutzgrundverordnung wieder aufgegriffen. Diese werden künftig von deutschen Gerichten anzuwenden und auszulegen sein, was eine tiefergehende Beschäftigung mit diesen Begriffen im Rahmen der richtlinienkonformen Auslegung schon jetzt umso bedeutender erscheinen lässt.
3. Verantwortung für eingebundene Inhalte – das Ende des Web 2.0?
In dem Verfahren hatte der Seitenbetreiber vor dem LG Düsseldorf argumentiert, die Einbindung von Drittinhalten sei „integraler Bestandteil der Funktionsfähigkeit des Internet, speziell des Web 2.0 und der gängigen Standards HTML, HTTP“.[51] Nutzer hätten mit der Einbindung von Drittinhalten und damit zusammenhängend auch mit der Übermittlung technischer Informationen an Drittanbieter regelmäßig zu rechnen.[52] In der Tat bedienen sich die meisten Webseiten mittlerweile umfangreich der Inhalte Dritter – bedeutet das Urteil also das Ende für das Web 2.0?
Es ist durchaus ein bedeutender Schritt, Seitenbetreibern für die Datenverarbeitungen Verantwortung zuzuweisen, die sie durch eine Einbindung von Drittinhalten auslösen. Wenn dabei jedoch – wie zuvor ausgeführt – konsequent zwischen der mit dem Plugin gesteuerten Übertragung der Daten, über die der Seitenbetreiber bei der Einbindung konkret mitbestimmen kann, und der weiteren Verarbeitung der Daten durch den Drittanbieter (zur Bereitstellung seines Angebots oder anderweitig) unterschieden wird, so führt die korrekte Anwendung der Datenschutzrichtlinie nicht zu einem völligen Ausufern der Verantwortlichkeit von Seitenbetreibern. Ob die von diesen Drittanbietern durchgeführten Datenverarbeitungen ihrerseits den Vorgaben des Datenschutzrechts entsprechen, ist davon getrennt zu betrachten.
Das LG Düsseldorf äußert sich ausdrücklich nicht zur Rechtskonformität der sogenannten „Zwei-Klick-Lösung“, bei der das soziale Plugin inaktiv bleibt, bis der Nutzer es selbst auf der Seite aktiviert. Eine pauschale Beurteilung wird hier auch kaum möglich sein; vielmehr kommt es im Einzelfall darauf an, ob die bei der Aktivierung gelieferte Unterrichtung den gesetzlichen Anforderungen entspricht, und ob der Nutzer nötigenfalls eine wirksame Einwilligung in die Datenverarbeitung erteilt. Soweit das Plugin aber durch die Zwei-Klick-Lösung zunächst völlig inaktiv bleibt, löst es zumindest nicht bereits beim Laden der Seite, in die es eingebunden ist, eine wettbewerbsrechtlich relevante Unterrichtungspflicht nach § 13 Abs. 1 TMG aus.
(Eva Beyvers)
[1] Betreiber des sozialen Netzwerks in Europa ist die Facebook Ireland Ltd; das Netzwerk ist erreichbar unter: https://de-de.facebook.com (Stand: 01.04.2016).
[2] Mitteilung der Verbraucherzentrale NRW zu den Abmahnungen abrufbar unter: http://www.verbraucherzentrale.nrw/likebutton (Stand: 04.04.2016). Vgl. auch näher zum Ablauf des Verfahrens: Meyer, MMR-Aktuell 2016, 376765.
[3] LG Düsseldorf, Urt. v. 09.03.2016 – 12 O 151/15. Die nachfolgenden Ausführungen dieses Absatzes beziehen sich sämtlich auf das genannte Urteil.
[4] Telemediengesetz v. 26.02.2007 (BGBl. I, S. 179), zuletzt geändert durch Art. 4 des Gesetzes v. 17.07.2015 (BGBl. I, S. 1324).
[5] Bundesdatenschutzgesetz in der Fassung der Bekanntmachung v. 14.01.2003 (BGBl. I, S. 66), zuletzt geändert durch Art. 1 des Gesetzes v. 25.02.2015 (BGBl. I, S. 162).
[6] Gesetz gegen den unlauteren Wettbewerb in der Fassung der Bekanntmachung v. 03.03.2010 (BGBl. I, S. 254), zuletzt geändert durch Art. 4 des Gesetzes v. 17.02.2016 (BGBl. I S. 233).
[7] Zur Definition des objektiven Ansatzes (im Ergebnis allerdings einer relativen, am tatsächlichen Risiko der Identifizierung orientierten Lösung zugeneigt): Dammann, in: Simitis (Hrsg.), Bundesdatenschutzgesetz, 8. Aufl. 2014, § 3 BDSG Rn. 23.
[8] LG Düsseldorf, Urt. v. 09.03.2016 – 12 O 151/15.
[9] Rechtssache „Breyer“, Az.: C-582/14.
[10] LG Düsseldorf, Urt. v. 09.03.2016 – 12 O 151/15.
[11] Vgl. u.a.: Schmidt-Holtmann, Der Schutz der IP-Adresse im deutschen und europäischen Datenschutzrecht – Zur Auslegung des Begriffs des personenbezogenen Datums, 2014; Gerlach, CR 2013, 478-484; Meyerdierks, MMR 2013, 505-708; Meyerdierks, MMR 2009, 8-13; Specht/ Müller-Riemenschneider, ZD 2014, 71
[12] EuGH, Urt. v. 24.11.2011 – C-70/10, Rn. 51.
[13] Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, Abl. EG 1995, L 281/31. Unmittelbar anwendbar war im Fall des LG Düsseldorf die deutsche Umsetzungsnorm, § 3 Abs. 1 BDSG. Dieser ist jedoch einer europarechtskonformen Auslegung zu unterziehen, weshalb der Wortlaut von Art. 2 lit. a RL 95/46/EG Berücksichtigung finden muss.
[14] Schriftsatz im Verfahren C-582/14, eingereicht von der Europäischen Kommission am 31.03.2015, abrufbar unter: http://www.daten-speicherung.de/wp-content/uploads/Surfprotokollierung_2015-03-31_Kom_an_EuGH.pdf (Stand: 17.03.2016), S. 9.
[15] Ähnlich bezüglich der deutschen Umsetzung dieser Vorschrift in § 3 Abs. 1 BDSG: Specht/Müller-Riemenschneider, ZD 2014, 71, 73.
[16] Art. 29-Datenschutzgruppe, WP 136, S. 17. Ähnlich auch Dammann, in: Simitis (Hrsg.), Bundesdatenschutzgesetz, 8. Aufl. 2014, § 3 BDSG Rn. 24, 26.
[17] Art. 29-Datenschutzgruppe, WP 136, S. 18.
[18] LG Düsseldorf, Urt. v. 09.03.2016 – 12 O 151/15.
[19] Art. 29-Datenschutzgruppe, WP 136, S .19.
[20] Art. 20-Datenschutzgruppe, WP 136, S. 19.
[21] LG Düsseldorf, Urt. v. 09.03.2016 – 12 O 151/15
[22] Das LG Düsseldorf (Urt. v. 09.03.2016 – 12 O 151/15) erwähnt zwar Art. 2 lit. d RL 95/46/EG, verwendet die dortigen Begrifflichkeiten aber dennoch nicht zur weiteren Auslegung von § 3 Abs. 7 BDSG.
[23] LG Düsseldorf, Urt. v. 09.03.2016 – 12 O 151/15.
[24] LG Düsseldorf, Urt. v. 09.03.2016 – 12 O 151/15.
[25] Spindler/Nink, in: Spindler/Schuster, Recht der elektronischen Medien, 3. Aufl. 2015, § 13 TMG Rn. 8.
[26] Spindler/Nink, in: Spindler/Schuster, Recht der elektronischen Medien, 3. Aufl. 2015, § 13 TMG Rn. 8.
[27] LG Düsseldorf, Urt. v. 09.03.2016 – 12 O 151/15.
[28] Dazu Spindler/Nink, in: Spindler/Schuster, Recht der elektronischen Medien, 3. Aufl. 2015, § 13 TMG Rn. 8.
[29] Vgl. für einen Überblick zur Problematik der sog. „Cookie-RL“ 2009/136/EG: Rauer/Ettig, ZD 2015, 255-259.
[30] Köhler, in: Köhler/Bornkamm, Gesetz gegen den Unlauteren Wettbewerb, 34. Aufl. 2016, § 3a UWG Rn. 1.61.
[31] Köhler, in: Köhler/Bornkamm, Gesetz gegen den Unlauteren Wettbewerb, 34. Aufl. 2016, § 3a UWG Rn. 1.61 (mit Rechtsprechungsnachweisen).
[32] Mit ausführlichen Rechtsprechungsnachweisen Köhler, in: Köhler/ Bornkamm, Gesetz gegen den Unlauteren Wettbewerb, 34. Aufl. 2016, § 3a UWG Rn. 1.74.
[33] LG Düsseldorf, Urt. v. 09.03.2016 – 12 O 151/15.
[34] OLG München, Urt. v. 12. 01.2012 − 29 U 3926/11.
[35] Spindler/Nink, in: Spindler/Schuster, Recht der elektronischen Medien, 3. Aufl. 2015, § 13 TMG Rn. 2.
[36] OLG Hamburg, Urt. v. 27.06.2013 – 3 U 26/12. Unter Bezugnahme auf die Richtlinie argumentiert ähnlich hinsichtlich des marktverhaltensregelnden Charakters der §§ 28 Abs. 3, 4a BDSG das KG Berlin, Urt. v. 24.01.2014 – 5 U 42/12 (wohl bestätigt durch BGH, Urt. v. 14.01.2016 – I ZR 65/14, Pressemitteilung abrufbar unter: http://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=en&Datum=Aktuell&nr=73328&linked=pm, Stand: 30.03.2016).
[37] OLG Hamburg, Urt. v. 27.06.2013 – 3 U 26/12; a.A. aber bezüglich des Aussagegehalts der ErwGr der RL 95/46/EG: Spindler/Nink, in: Spindler/Schuster, Recht der elektronischen Medien, 3. Aufl. 2015, § 13 TMG Rn. 2.
[38] LG Frankfurt/M., Teilurt. v. 16.10.2014 – 2-03 O 27/14 – ZD 2014, 136, 137.
[39] LG Frankfurt/M., Teilurt. v. 16.10.2014 – 2-03 O 27/14 – ZD 2014, 136, 137.
[40] Köhler, in: Köhler/Bornkamm, Gesetz gegen den Unlauteren Wettbewerb, 34. Aufl. 2016, § 3a UWG Rn. 1.74.
[41] OLG Hamburg, Urt. v. 27.06.2013 – 3 U 26/12.
[42] LG Düsseldorf, Urt. v. 09.03.2016 – 12 O 151/15.
[43] LG Düsseldorf, Urt. v. 09.03.2016 – 12 O 151/15.
[44] LG Düsseldorf, Urt. v. 09.03.2016 – 12 O 151/15.
[45] Vgl. für einen Überblick über die bisherige Rechtsprechung bezüglich der räumlichen Anwendbarkeit des Datenschutzrechts auf soziale Netzwerke: Beyvers/Herbrich, ZD 2014, 558-562.
[46] Zum Verhältnis des insofern einschlägigen Art. 4 der RL 95/46/EG zu den räumlichen Anwendbarkeitsvoraussetzungen im internationalen Zivilrecht, öffentlichen Recht und Strafrecht vgl. Herbrich/Beyvers, RDV 2016, 3-10.
[47] Vorschlag für eine Verordnung des europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (DatenschutzGrundverordnung) v. 25.01.2012, KOM(2012) 11 endg. – 2012/0011 (COD), abrufbar unter: http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_de.pdf (Stand: 30.03.2016); Einigungsdokument v. 28.01.2016 nach den Trilogverhandlungen, Nr. ST 5455 2016 INIT, abrufbar unter: http://data.consilium.europa.eu/doc/document/ST-5455-2016-INIT/de/pdf (deutsche Übersetzung, nicht konsolidiert, Stand: 30.03.2016).
[48] Die Angabe bezieht sich auf das Einigungsdokument v. 28.01.2016 nach den Trilogverhandlungen, Nr. ST 5455 2016 INIT, abrufbar unter: http://data.consilium.europa.eu/doc/document/ST-5455-2016-INIT/de/pdf (deutsche Übersetzung, nicht konsolidiert, Stand: 30.03.2016).
[49] Die Angabe bezieht sich auf das Einigungsdokument v. 28.01.2016 nach den Trilogverhandlungen, Nr. ST 5455 2016 INIT, abrufbar unter: http://data.consilium.europa.eu/doc/document/ST-5455-2016-INIT/de/pdf (deutsche Übersetzung, nicht konsolidiert, Stand: 30.03.2016).
[50] Einige Präzisierungen gibt es aber durchaus – z.B. finden sich in den Erwägungsgründen zur DSGVO nun explizite Hinweise zum Personenbezug bei IP-Adressen: Laut ErwGr 24 DSGVO (die Angabe bezieht sich auf das Einigungsdokument v. 28.01.2016 nach den Trilogverhandlungen, Nr. ST 5455 2016 INIT, abrufbar unter: http://data.consilium.europa.eu/doc/document/ST-5455-2016-INIT/de/pdf, deutsche Übersetzung, nicht konsolidiert, Stand: 30.03.2016) werden dem Nutzer „unter Umständen“ Online-Kennungen wie IP-Adressen oder Cookies zugeordnet – im Rückschluss kann also zumindest nicht generell von einer Zuordenbarkeit ausgegangen werden.
[51] LG Düsseldorf, Urt. v. 09.03.2016 – 12 O 151/15.
[52] LG Düsseldorf, Urt. v. 09.03.2016 – 12 O 151/15.