Like, share, tweet, comment, follow - die Tücken von Social Media Plugins

In Zeiten der bereichsübergreifenden Digitalisierung kommt keine Persönlichkeit des öffentlichen Lebens, kein Unternehmer, kein Bürger an sozialen Netzwerken wie 'Social Media' mehr vorbei. Social Media haben sich zu den bedeutendsten Instrumenten wirksamer Öffentlichkeitsarbeit und Marketinginstrumenten von Unternehmen entwickelt. Die Beliebtheit, insbesondere von Plattformen wie Facebook, Twitter und YouTube, in Wirtschaftskreisen beruht nicht zuletzt auf ihren geringeren Kosten und ihrer größeren Reichweite. Früher erforderten aufwändige Werbekampagnen – Zeitungsanzeigen, Wurfsendungen, Briefkastenwerbung, Präsenz im öffentlichen Raum usw. – um Verbraucher und potenzielle Abnehmer zu erreichen. Heutzutage kann schon ein gut durchdachter Tweet oder eine gezielte Werbekampagne auf Facebook oder YouTube – auch über sogenannte 'Influencer' – für beträchtliche Gewinne ausreichen. Selbst die Politik hat Social Media als effektiven Werbekanal erkannt; schließlich werden dort im großen Stil persönliche Meinungen, Eindrücke und Informationen ausgetauscht und umfangreiche Daten gehandelt – ein Segen für die werbende Wirtschaft!

Alles klar soweit? Der Teufel steckt im Detail!

Viele Unternehmer verkennen, dass das Gesetz über den unlauteren Wettbewerb (UWG) auf sie anwendbar ist und bei der Implementierung von Social Media Plugins, wie dem Facebook Gefällt-mir-Button ('Like-Button'), auf einer Webseite oder in einer E-Mail die im Verkehr erforderliche Sorgfalt (§ 276 Abs. 2 BGB) beachtet werden muss.

Das Landgericht Düsseldorf hatte bereits 2016 in einem viel beachteten Urteil entschieden, dass Betreiber von Telemediendiensten für eingebundene Plugins Dritter datenschutzrechtlich selbst verantwortlich sind. Sie dürfen den Facebook Gefällt-mir-Button ('Like-Button') nur dann in eine Webseite integrieren, wenn zuvor eine entsprechende Information gegenüber den Nutzern erfolgt und diese wirksam in die Nutzung des Plugins einwilligen (LG Düsseldorf, Urteil vom 09.03.2016, Az. 12 O 151/15; siehe auch LG München, Anerkenntnisurteil vom 11.05.2016, Az. 33 O 8606/15). Die Rechtsauffassung des Landgerichts Düsseldorf hat der Europäische Gerichtshof (EuGH) in seinem viel beachteten Urteil vom 29. Juli 2019 in der Rechtssache C-40/17 bestätigt. Demnach bedarf es in einer Situation, in der der Betreiber einer Website ein Social Plugin einbindet, das den Browser des Besuchers dazu veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, der ausdrücklichen Einwilligung der betroffenen Person.

Warum ist das so?

Die Vorschriften des UWG Deutschland bilden den Ausgangspunkt.

Gemäß § 3 Abs. 1 UWG sind unlautere geschäftliche Handlungen unzulässig.

Die Definition von "geschäftlichen Handlungen" findet sich in § 2 Abs. 1 Nr. 1 UWG:

„Geschäftliche Handlung“ ist jede Handlung einer Person zugunsten des eigenen oder eines fremden Unternehmens vor, bei oder nach einem Geschäftsabschluss, die objektiv mit der Förderung des Absatzes oder des Bezugs von Waren oder Dienstleistungen oder mit dem Abschluss oder der Durchführung eines Vertrags über Waren oder Dienstleistungen zusammenhängt; als Waren gelten auch Grundstücke, als Dienstleistungen auch Rechte und Verpflichtungen;

Dieser Begriff wird von der Rechtsprechung weit ausgelegt und der Begriff des „Zusammenhangs“ funktional verstanden. Die Handlung muss objektiv darauf ausgerichtet sein, den Absatz oder Bezug von Waren oder Dienstleistungen des eigenen oder eines fremden Unternehmens durch Beeinflussung der geschäftlichen Entscheidungen von Verbrauchern oder sonstigen Marktteilnehmern zu fördern (vgl. BGH, Urteil vom 10. Januar 2013 – I ZR 190/11 –, juris Rn. 17). Webpräsenzen von Unternehmen dienen - zumindest mittelbar - der Absatzförderung von Waren und Dienstleistungen, weshalb bei der Integration von Social Media Plugins in Unternehmenswebseiten in der Regel eine geschäftliche Handlung vorliegt. Auch ein freiberuflicher Anwalt, Architekt, Makler, Arzt etc., der auf Plattformen wie Facebook, LinkedIn, Twitter und Co präsent ist, handelt zu Wettbewerbszwecken gemäß § 2 Abs. 1 Nr. 1 UWG (vgl. LG Leipzig, Urteil vom 12. Juni 2014 – 5 O 848/13 –, juris Rn. 40; LG Regensburg, Urteil vom 31. Januar 2013 – 1 HK O 1884/12 –, juris 20 f).

Jedoch gestaltet sich die Auslegung des Begriffs "unlauter" als herausfordernd. § 3 Abs. 1 UWG stellt eine sogenannte Generalklausel dar, die im deutschen Recht nicht ungewöhnlich ist (vgl. „Treu und Glauben“ nach §§ 157 und 242 BGB; „gute Sitten“ nach § 138 Abs. 1 BGB; Transparenzgebot nach § 307 Abs. 1 Satz 2 BGB). Generalklauseln erfordern eine Auslegung (grammatikalisch, systematisch, historisch und teleologisch).

Etwas spezifischer, aber dennoch auslegungsbedürftig, ist § 3a UWG:

„Unlauter handelt, wer einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln, und der Verstoß geeignet ist, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen.“

An dieser Stelle stoßen Laien an ihre Grenzen.

Zunächst bedarf es einer „gesetzlichen Vorschrift“, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln. Datenschutzvorschriften kommen hier in Betracht:

Bei der Einbindung des Like-Buttons von Facebook werden personenbezogene Daten des Nutzers (wie IP-Adresse nebst zugehörigem Browserstring) bereits beim Aufruf der jeweiligen Internetseite an das soziale Netzwerk übermittelt. Weder eine aktive Betätigung der Schaltfläche noch eine Mitgliedschaft bei Facebook sind erforderlich. Alle Besucher einer Internetseite mit integriertem Like-Button sind unmittelbar betroffen. Diese Praxis ist aus datenschutzrechtlicher Sicht bedenklich.

Informationspflichten

Die Datenschutz-Grundverordnung (DSGVO) legt umfassende Informationspflichten für Verantwortliche fest, insbesondere bezüglich der Zwecke, für die personenbezogene Daten verarbeitet werden sollen, sowie der rechtlichen Grundlage für diese Verarbeitung (Art. 13 Abs. 1 c) und 14 Abs. 1 c) DSGVO). Besucher einer Webseite müssen sich der Datenverarbeitung bewusst sein und deren Rechtmäßigkeit überprüfen können. Sie haben das Recht zu erfahren, zu welchen Zwecken ihre personenbezogenen Daten verarbeitet werden (Erwägungsgrund 63 der DSGVO). In diesem Sinne werden Informationspflichten verletzt, wenn das einfache Aufrufen einer Webseite mit dem 'Gefällt mir'-Button von Facebook automatisch zur Verarbeitung personenbezogener Daten der Nutzer durch Facebook führt, ohne dass die Nutzer zuvor darüber informiert wurden, dass Daten erhoben, weitergegeben und zu welchen Zwecken sie verarbeitet werden. Die Nutzer sind in diesem Fall nicht informiert

Einwilligung der Nutzer vs. berechtigte Interessen des Verantwortlichen

Gemäß Art. 6 Abs. 1 Satz 1 lit. a in Verbindung mit Art. 7 DSGVO ist die Verarbeitung personenbezogener Daten im Grundsatz von der Einwilligung der betroffenen Person abhängig. Bei direkter Integration von Social-Media-Plugins auf Webseiten besteht in der Regel keine wirksame, umfassend informierte Einwilligung der Nutzer gemäß Art. 6 Abs. 1 a) und 7 DSGVO in Verbindung mit den §§ 12, 13 des Telemediengesetzes (TMG).

Es existieren jedoch Ausnahmen vom Grundsatz der vollständigen, informierten Einwilligung gemäß Art. 6 Abs. 1 Satz 1 lit. b ff. DSGVO. Relevant könnte hier Art. 6 Abs. 1 Satz 1 lit. f ff. DSGVO sein. Demnach ist Datenverarbeitung zulässig, sofern sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, es sei denn, die Interessen oder grundlegenden Rechte und Freiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Daraus ergeben sich drei kumulative Bedingungen für die Zulässigkeit der Datenverarbeitung:

1. Ein berechtigtes Interesse, das vom Verantwortlichen oder den Dritten wahrgenommen wird, denen die Daten übermittelt werden,

2. Die Notwendigkeit der Verarbeitung personenbezogener Daten zur Realisierung des berechtigten Interesses und

3. Das Nichtüberwiegen der grundlegenden Rechte und Freiheiten der betroffenen Person.

Das erste Kriterium dürfte oft schwer nachweisbar sein. In den meisten Fällen scheitert die Zulässigkeit der Datenerhebung und -weitergabe am dritten Kriterium. Weder die Interessen des Webseitenbetreibers an einer effektiven Öffentlichkeitsarbeit noch die Marktinteressen von Facebook und anderen Social-Media-Plattformen überwiegen das Recht der Nutzer auf Selbstbestimmung. Dies gilt insbesondere, wenn die Nutzer nicht über den Zweck der Datenerhebung oder die Übermittlung aufgeklärt werden.

Folglich bleibt die Regel bestehen, dass die freiwillige Einwilligung der betroffenen Nutzer gemäß Art. 6 Abs. 1 Satz 1 lit. a, 7 Abs. 2 und 4 DSGVO vor der Datenerhebung durch den Webseitenbetreiber sowie deren Übermittlung erklärt werden muss.

Marktcharakter von Datenschutzvorschriften

Die Datenschutzvorschriften gemäß Art. 6, 7, 12 bis 14 DSGVO in Verbindung mit §§ 12, 13 TMG dienen dem Schutz der Interessen von Verbrauchern, Mitbewerbern und anderen Marktteilnehmern. Es herrscht die allgemeine Auffassung in Literatur und Rechtsprechung, dass diese Bestimmungen als Marktverhaltensnormen angesehen werden (vgl. dazu LG Würzburg, Beschluss vom 13. September 2018 – 11 O 1741/18; OLG Köln, Urteil vom 11. März 2016 – I-6 U 121/15).

Demnach handelt der Betreiber einer Webseite wettbewerbswidrig, wenn er den genannten "gesetzlichen Vorschriften" gemäß §§ 3, 3a UWG zuwiderhandelt. Dies geschieht, wenn durch die Einbindung von Plugins personenbezogene Daten des Nutzers (wie die IP-Adresse nebst zugehörigem Browser-String) bereits beim Aufruf der jeweiligen Internetseite an das soziale Netzwerk übermittelt werden, ohne dass die Nutzer zuvor über den Zweck und Umfang der Datenverarbeitung aufgeklärt wurden und ihre Einwilligung freiwillig erklärt haben.

Sollten Unternehmen Social Media Plugins nicht mehr verwenden?

Die typische juristische Antwort lautet: "Es kommt darauf an!"

Social Media Plugins dürfen von Unternehmern eingesetzt werden, wenn sie die einschlägigen Regeln einhalten. Zwingende Voraussetzungen hierfür sind:

• Die Information der Nutzer über die vorgesehene Erhebung und Weitergabe personenbezogener Daten durch Übermittlung.

• Eine entsprechend vollinformierte und freiwillige Einwilligung der Nutzer vor Beginn der Verarbeitung.

Offen bleibt die Frage, wie eine rechtskonforme Umsetzung in der Praxis gestaltet werden kann.

Viel diskutiert wird die sogenannte Zwei-Klick-Lösung. Dabei muss der Nutzer in einem ersten Schritt per Mausklick das Social Plugin, den Like-Button, aktivieren, nachdem er über den Zweck und Umfang der Datenverarbeitung aufgeklärt wurde. In einem zweiten Schritt muss der Nutzer den Button bestätigen, wodurch erst die Übermittlung von Daten an das Social Media in Gang gesetzt wird. Ob diese Lösung tatsächlich verhindert, dass bereits mit dem Aufruf der Internetseite personenbezogene Daten an Social Media, insbesondere an Facebook, übermittelt werden, kann der Verfasser jedoch nicht bestätigen. Ebenso hat auch jeder sorgfältige Rechtsanwalt, der keinen Einblick in die komplexen Datenverarbeitungsprozesse von Facebook und Co hat, keine Gewissheit darüber.

Der Teufel steckt also im Detail. Insbesondere für kleine und mittelständische Unternehmen sind die Risiken bei der Missachtung der "gesetzlichen Vorschriften" des Datenschutzes beachtlich. Ein Wettbewerbsverstoß kann gemäß § 8 Abs. 3 UWG von einer Vielzahl von Anspruchsberechtigten verfolgt werden. Die Vielzahl der Anspruchsberechtigten birgt das Risiko, dass ein und derselbe Verstoß in mehreren gerichtlichen Verfahren behandelt wird, was erhebliche Kosten für den Anspruchsgegner bedeuten kann.

Vorsicht und besondere Sorgfalt sind geboten. Lassen Sie sich umfassend und kompetent beraten! Jeder Unternehmer - ob klein, mittelständisch oder groß - muss sich mit "Compliance" im Kontext des Datenschutzes auseinandersetzen und frühzeitig wirksame Maßnahmen zur Einhaltung und Umsetzung von Datenschutzvorgaben ergreifen.