23
Feb
2017
Internet (iStock_000005558176Small_quadrat)
Dr. Christian Tinnefeld
Datenschutz und Datensicherheit, IT-Recht, Internetrecht, Urheberrecht / Hamburg
E-Mail: christian.tinnefeld@hoganlovells.com
Telefon: +49 40 41993 238
» zur Autorenseite
Dr. Christian Tinnefeld
Dr. Henrik Hanßen
Dr. Henrik Hanßen
IPMT, Datenschutzrecht, IT-Recht / Hamburg
E-Mail: henrik.hanssen@hoganlovells.com
Telefon: +49 40 419 93 0
» zur Autorenseite
& Dr. Henrik Hanßen

Website Compliance: Haftung für Social Plugins – Vorlagefragen an EuGH

Das von der Verbraucherzentrale NRW gegen die direkte Einbindung des Facebook “Like-Buttons” geführte Klageverfahren geht in die nächste Runde: Mittlerweile beschäftigt sich das Oberlandesgericht (OLG) Düsseldorf im Berufungsverfahren mit der Rechtmäßigkeit der direkten Einbindung von Social Plugins wie des “Like-Buttons”. Durch Beschluss vom 19. Januar 2017 (Az. I-20 U 40/16) hat das Gericht das Verfahren jedoch ausgesetzt und sich mit mehreren Vorlagefragen an den Europäischen Gerichtshof gewendet. Dieser muss nun grundsätzlich klären, ob Website-Betreiber für die Einbindung des “Like-Buttons” rechtlich verantwortlich sind.

Hintergrund: Das erstinstanzliche Urteil des LG Düsseldorf

In dem Ausgangsverfahren hatte sich die Verbraucherzentrale NRW beim Landgericht (LG) Düsseldorf mit einer Klage gegen einen Website-Betreiber gewendet und von diesem u.a. die Unterlassung der direkten Einbindung des Facebook Like-Buttons auf einer Unternehmens-Website begehrt. Das Urteil des LG Düsseldorf vom 9. März 2016 (Az. 12 O 151/15) und die Problematik der direkten Einbindung von Social Plugins auf Websites haben wir ausführlich bereits hier dargestellt und besprochen. Im Überblick hatte das LG Düsseldorf wie folgt entschieden:

  • Eine direkte Einbindung des Social Plugins ist zu unterlassen;
  • Ein Website-Betreiber, der ein Social Plugin wie den Facebook Like-Button direkt mittels iFrame in seine Website einbindet, ist als verantwortliche Stelle i.S.v. § 3 Abs. 7 BDSG zu qualifizieren.
  • Als verantwortliche Stelle ist der Website-Betreiber unmittelbar rechtlich verantwortlich für die Übermittlung personenbezogener Daten (wie z.B. IP-Adresse und zugehörigem Browserstring) an den Betreiber der Social Media Plattform, die durch das Plugin ausgelöst wird.
  • Bei einer direkten Einbindung des Plugins fehlt es in aller Regel an einer wirksamen vollinformierten Einwilligung des Website-Besuchers gemäß §§ 12, 13 TMG.
  • Die Datenübermittlung an den Betreiber des sozialen Netzwerks erfolgt daher ohne rechtliche Grundlage.
  • Im Ergebnis liegt ein Wettbewerbsverstoß vor, der Unterlassungsansprüche von Wettbewerbern, rechtsfähigen Verbänden und qualifizierten Einrichtungen im Sinne § 8 Abs. 3 UWG auslöst.

Das Berufungsverfahren vor dem OLG Düsseldorf

Das OLG Düsseldorf scheint sich der vom LG vertretenen Auffassung in einer Reihe von Punkten nicht anschließen zu wollen. Vielmehr hat das OLG Düsseldorf das Berufungsverfahren ausgesetzt, um insbesondere die Frage nach der Verantwortlichkeit für Social Plugins durch den Europäischen Gerichtshof (EuGH) klären zu lassen (das Verfahren ist anhängig unter dem Az. C-40/17). In den Entscheidungsgründen des Vorlagebeschlusses (im Volltext hier abrufbar) hat das OLG Zweifel an der datenschutzrechtlichen Verantwortlichkeit eines Website-Betreibers für die durch direkt eingebundene Social Plugins formuliert.

Die Vorlagefragen des OLG Düsseldorf zielen dabei insbesondere auf eine möglichst umfassende Klärung der Frage nach der rechtlichen Verantwortlichkeit ab.

Qualifizierung als verantwortliche Stelle?

So möchte das OLG mit einer zentralen Vorlagefrage wissen, ob ein Website-Betreiber, für ein auf seine Website direkt eingebundenes Social Plugin datenschutzrechtlich als verantwortliche Stelle i.S.v. § 3 Abs. 7 BDSG einzuordnen ist, wenn durch das Plugin automatisch personenbezogene Daten des Nutzers an einen Dritten übermittelt werden, ohne dass dies der Website-Betreiber beeinflussen kann.

Das OLG Düsseldorf tendiert bei dieser Frage offenbar dazu, eine datenschutzrechtliche Verantwortlichkeit des Website-Betreibers zu verneinen. Zur Begründung verweist es auf den Beschluss des Bundesverwaltungsgerichts (“BVerwG”) zu “Facebook-Fanpages”, in dem das BVerwG die Auffassung vertreten hat, dass eine Stelle, die keinen rechtlichen oder tatsächlichen Einfluss auf die Entscheidung hat, wie personenbezogene Daten verarbeitet werden, nicht als verantwortliche Stelle angesehen werden könne (BVerwG Beschluss v. 25. Februar 2016, Az. 1 C 28/14 Rn 27).

Haftung als Störer?

Allerdings schließt dies aus Sicht des OLG Düsseldorf die erhobenen zivilrechtlichen Unterlassungsansprüche nicht von vornherein aus. Vielmehr zieht das OLG neben der datenschutzrechtlichen Einordnung als verantwortliche Stelle mit den Grundsätzen der Störerhaftung einen zweiten Rechtsgrund für die zivilrechtliche Verantwortlichkeit in Betracht. In diesem Zusammenhang möchte das OLG dazu vom EuGH wissen, ob für eine Störerhaftung des Website-Betreibers noch Raum ist, wenn die datenschutzrechtliche Verantwortlichkeit mangels Qualifizierung als verantwortliche Stelle bereits verneint wurde.

Auch hier ergibt sich eine deutliche Überschneidung mit dem Vorlageverfahren des BVerwG zur Klärung der öffentlich-rechtlichen Verantwortung eines Facebook-Fanpage Betreibers für über die Fanpage ausgelösten Datenübermittlungen.

Anschlussfragen zur Rechtmäßigkeit der Datenübermittlung und zu Informationspflichten

Mit weiteren Anschlussfragen versucht das OLG Düsseldorf zudem Klarheit zu folgenden Punkten zu erzielen:

  • Auf wessen “berechtigtes Interesse” kommt es bei der Beurteilung der Rechtmäßigkeit der vom Plugin ausgelösten Datenübermittlung an den Betreiber der Social Media Plattform an – auf das berechtigte Interesse des Website-Betreibers oder des Plattformbetreibers?
  • Wer muss eine Einwilligung vom betroffenen Nutzer einholen – der Website-Betreiber oder die Social Media Plattform?
  • Trifft den Website-Betreiber die rechtliche Pflicht, seine Nutzer über die vom Plugin ausgelöste Datenübermittlung gemäß §§ 12, 13 TMG zu informieren, auch wenn ihm die Erfüllung dieser Pflicht faktisch unmöglich, solange die Social Media Plattform keine vollständige Transparenz hinsichtlich Umfang und Zweck der Datenverarbeitung herstellt?

Was bedeutet der Beschluss für Website-Betreiber?

Die praktische Bedeutung des Beschlusses ist weitreichend, da die zu Klärung der vorgelegten Fragen durch den EuGH hoffentlich die lang ersehnte Rechtsklarheit hinsichtlich der rechtlichen Verantwortlichkeit für die direkte Einbindung von Social Plugin herstellt. Zwar wird bis zu einer Entscheidung des EuGH noch einige Zeit vergehen, jedoch bleiben die entsprechenden Fragen auch unter der DSGVO noch relevant, die die datenschutzrechtliche Verantwortlichkeit dem Verantwortlichen (entspricht der “verantwortlichen Stelle” im Sinne des BDSG) zuweist und zudem ähnliche Rechtfertigungstatbestände und weitreichende Informationspflichten kennt.

Website-Betreiber sollten bis zu einer Klärung der Vorlagefragen durch den EuGH (und ggf. nach anschließendem Urteil in der Sache durch das OLG Düsseldorf) nach wie vor die Inhalte ihrer Websites sowie die darauf – insbesondere in den Datenschutzerklärungen – bereit gehaltenen Informationen eingehend überprüfen. Das Risiko einer rechtlichen Inanspruchnahme lässt sich nach wie vor dadurch reduzieren, dass statt einer direkten Einbindung von Social Media Plugins lediglich Links zu den sozialen Netzwerken verwendet oder die sog. “2-Klick”-Lösung oder das Tool “Shariff” einsetzt werden.

Weitere Informationen zu diesen Fragen der Website Compliance finden Sie hier und hier.