Einfach nur praxisfern oder ein wichtiger Schritt für den Datenschutz? Das Landgericht Düsseldorf hat auf Betreiben der Verbraucherzentrale Nordrhein-Westfalen de facto fast jeden „Gefällt mir“ Button auf Blogs und Websites sowie die meisten Social Plugins in ihrer aktuellen Version als rechtswidrig eingestuft. Betreibern drohen nun Abmahnungen, Bußgelder und anderer Ärger – zumindest aber Arbeit bei der Umstellung ihrer Internetseiten.
Im konkret vorliegenden Fall handelt es sich um einen Rechtsstreit zwischen der Verbraucherzentrale NRW und der Firma „Fashion ID“, einem Tochterunternehmen von Peek & Cloppenburg. Die Beklagten setzten zum Zeitpunkt der Klageerhebung – wie tausende andere Websites – das von Facebook bereitgestellte Page Plugin ein. Der kleine Knopf mit dem nach oben gestreckten Daumen soll es Besuchern der Website erleichtern, einen Website zu „liken“, das Page Plugin informiert über Freunde, die das eventuell bereits getan haben.
Was die wenigsten Benutzer wissen: dieser unscheinbare Knopf überträgt auf Grund der Einbindungs-Weise bereits beim Aufruf einer Website personenbezogene Daten an Facebook, auch wenn man nicht bei der Plattform eingeloggt oder angemeldet ist. Zu diesen Daten gehört u.a. die ungekürzte dynamische IP-Adresse des Besuchers zum Zeitpunkt des Aufrufs der Website.
Da sich der „Gefällt Mir“ Button auf unzähligen Websites befindet und alle an der Datenübermittlung beteiligten Internetseiten an die US-Amerikaner funken, kann Facebook – zumindest theoretisch, vermutlich auch praktisch – detaillierte Protokolle über das Surf-Verhalten einer Person erstellen. Ändert man nichts an den Standard-Einstellungen seines Browsers, weiß Facebook also nach einer gewissen Zeit genau, welche Websites man regelmäßig besucht und ist z.B. in der Lage, aus diesen Informationen eine vermarktungsfähiges Werbeprofil einer einzelnen Person zu erstellen.
Nutzt man Facebook nicht nur auf seinem PC oder Notebook sondern auch auf seinem Smartphone, liefert die Facebook App über die ihr zugestandenen Berechtigungen weitere Daten. Die in den Augen mancher sinnvollen, in mindestens ebenso vieler Augen penetranten Auswertungen dieser Daten ergänzen z.B. den Algorithmus für den News Feed, sind aber ebenso für die Einblendung von möglichst „relevanten“ Werbeanzeigen verantwortlich.
„This case is specific to a particular website and the way they have sought consent from their users in the past. The Like button, like many other features that are used to enhance websites, is an accepted, legal and important part of the Internet, and this ruling does not change that.“ Facebook, Quelle: Internet. Nichtssagend.
Diese Praxis verletze bereits existierende Datenschutzvorschriften, urteilten die Richter und gaben der Verbraucherzentrale recht. Zwar sei an der Übermittlung der Daten grundsätzlich nichts auszusetzen, sie dürfe aber gemäß §13 TMG nur mit der ausdrücklichen Zustimmung des Besuchers stattfinden. In der Praxis bedeutet das: jede einzelne Internetseite und jedes einzelne Blog müsste seine Besucher vor dem Aufruf einer Seite mit integriertem „Gefällt Mir“ Button auf die datenschutzrelevanten Punkte hinweisen – wie auch immer man das bewerkstelligen will.
Widersprüchliche Urteile
Das Urteil steht im Widerspruch zu anderen Urteilen aus den vergangenen Wochen und Monaten. Es ist z.B. noch nicht höchstrichterlich geklärt, ob deutsche Datenschutzgesetze in derartigen Fällen überhaupt anwendbar sind, denn die Niederlassung von Facebook befindet sich in Irland. Vereinfacht gesagt: wenn ein Internetbenutzer Probleme mit der Datenerhebung durch Facebook hat, muss er in Irland gegen das Unternehmen klagen.
Mindestens ebenso umstritten ist die Frage, ob – wie jetzt hier geschehen – der Betreiber einer Internetseite als „Gehilfe“ bei der Datenerfassung für etwaige Rechtsverstöße der US-Amerikaner mitverantwortlich gemacht werden kann. Die Richter am Landgericht Düsseldorf behalfen sich mit der Begründung, die Betreiber würden die Datenerfassung und die damit einhergehenden Verstöße erst ermöglichen. Das wiederum würde konsequent weitergedacht jedoch bedeuten, dass auch jeder Betreiber einer Facebook Fanpage für Facebook haften würde. Weder das eine noch das andere ist offensichtlich von den entsprechenden Paragraphen abgedeckt und soll momentan vom EuGH geklärt werden.
Zudem mussten die Richter am Landgericht eine sehr (oder zu?) weitgehende Interpretation des Wettbewerbsrechts anwenden, um überhaupt dieses Urteil fällen zu können. Sie stuften das auf der Seite eingebundene, hier strittige Page Plugin von Facebook als „werbende Maßnahme“ des beklagten Unternehmens ein und eröffneten so der Verbraucherzentrale überhaupt erst die Möglichkeit, gegen die Einbindung vorzugehen.
Alternativen zum Page Plugin und Like Button

Vorsichtige Seiten- und Blogbetreiber (in Deutschland) sollten sich trotz der strittigen Fragen spätestens jetzt nach einer Alternative für die die von Facebook bereitgestellten Social Plugins umschauen. Auch die von vielen Drittanbietern bereitgestellten Skripte oder Plugins für z.B. WordPress dürften es nur in den wenigsten Fällen derart genau mit dem Datenschutz nehmen. Eine vorerst datenschutzkonforme Lösung könnte eine 2-Klick-Variante der Buttons sein, die z.B. seit geraumer Zeit vom heise Verlag bereitgestellt wird.
Youtube, Ajax, Google Fonts? Das Aus fürs Dynamische Web.
Von Facebook selbst ist zum jetzigen Zeitpunkt wenig Hilfe zu erwarten. Die bisher veröffentlichte Stellungnahme klingt eher nach einer lauwarmen Beschwichtigung, nicht nach einem Klarheit bringenden Statement. Der Verbraucherzentrale NRW kann man gerechterweise vorwerfen, dass sie hier einen Stellvertreterkrieg anzetteln: weil sie Facebook seit Jahren nicht publicity-trächtig ans Leder können, verlagern sie das Gefecht auf große und kleine Seitenbetreiber, die sich in Zukunft für die Rechtsverstöße eines us-amerikanischen Unternehmens in Deutschland als „Gehilfen“ verantworten sollen.
Dem Landgericht Düsseldorf darf man vorwerfen, dass sie mit ihrer sehr weitgehenden und eigenwilligen Interpretation der Gesetze die Dose der Pandora geöffnet haben. Wird das Urteil in dieser Konsequenz bestätigt, ist es für in Deutschland ansässige Internetseitenbetreiber in Zukunft nahezu unmöglich, jedweden „fremden“ Inhalt in die eigenen Seiten einzubinden – bis hin zum Youtube Video. Theoretisch könnten schon ein Bild auf einem fremden Server, eine eingebettete Schriftart oder ein zentral gespeichertes Ajax-Script problematisch sein, denn grundsätzlich bestünde immer die Gefahr, dass unbemerkt vom Betreiber der Internetseite bei der Einbindung Daten nicht datenschutzkonform abgefragt und an den Bereitsteller übertragen werden.
Zum Thema: Facebook und Google verkaufen unsere Daten? Tun sie nicht!
Werbebanner und Co.
So bemüht sich die Verbraucherzentralen offenbar in ihrem Kampf gegen Facebook & Co. zeigen, so untätig sind sie an anderer Stelle. Wenn man unbedingt Präzedenzfälle für einen besseren Datenschutz im Internet schaffen will, warum geht man dann nicht gegen mindestens ein halbes Dutzend in Deutschland ansässige Werbenetzwerke und ihre stillen „Gehilfen“ vor? Wenn man hier, vor Ort, längst eingegriffen hätte, könnten wir uns einen großen Teil der Werbeblocker-Diskussion in Deutschland sparen, denn ein erheblicher Teil der Benutzer installiert diese aus Datenschutz-Bedenken. Stattdessen reibt man sich an irgendwelchen us-amerikanischen Internetriesen, bedient das Klischee der datensammelnden US-Krake und suhlt sich in einem falschen Verständnis von Verantwortlichkeiten.
Disclaimer
Bei den Social Buttons auf Mobile Geeks handelt es sich um eine von uns selbst programmierte Lösung, die beim Seitenaufruf keine Daten an Facebook oder einen der anderen Dienste übermittelt. Unsere mit Google Analytics erstellten Zugriffsstatistiken anonymisieren wir datenschutzkonform via anonymizeIp. Bei unseren Sponsoren-Logos handelt es sich um statische, nicht getrackte, in der Regel sogar unverlinkte Grafiken, ausgeliefert von unserem eigenen Server.
Apropos Verantwortlichkeiten: Was haltet ihr von dem Urteil? Längst überfällig – oder völlig weltfremd? Wie seht ihr die Rolle der Beteiligten in diesem Fall, auch eure eigene? Ist euch das eigentlich alles egal, überwiegen die Datenschutz-Bedenken oder seid ihr euch des „Preises“ für ein multimediales, dynamisches Internet bewusst? Schreibt es uns in die Kommentare!
Quelle verbraucherzentrale.nrw via allfacebook.de