Datenschutz bei Verwendung von Social Plugins und Google Analytics

Besonders interessant dürfte in diesem Zusammenhang für Unternehmer die wettbewerbsrechtliche „Abmahnfähigkeit“ von fehlenden Datenschutzerkärungen über die Verwendung von o.g. Features sein. Diese wird, anders als vielerorts zu lesen, keineswegs einheitlich durch die höchstrichterliche Rechtsprechung verneint. Die jüngste Entscheidung vom OLG Hamburg vom 27.06.2013 hat eine wettbewerbsrechtliche Abmahnfähigkeit von Verstößen gegen das Datenschutzrecht sogar ausdrücklich bestätigt.

1. Was sind sog. Social-Plugins und wie funktionieren sie?

Das bekannteste Beispiel dürfte wohl der „Gefällt mir“ bzw. „Like“-Button von Facebook sein. Das Plugin wird durch den Seitenbetreiber in den eigenen Internetauftritt durch einen Code (erstellbar über Facebook) eingepflegt.

Wird die Seite nun von einem Besucher aufgerufen, speichert das Plugin die verfügbaren Nutzerdaten und sendet diese an Facebook weiter (Datum, Uhrzeit, IP-Adresse, Betriebssystem, Browser, etc.). Hat sich der Nutzer zuvor bei Facebook eingeloggt, wird auch der vollständige Profilname abgespeichert und übertragen.

2. Was passiert rechtlich gesehen?

Soweit es sich dabei um die Erhebung, Speicherung und Verwendung von personenbezogenen Nutzerdaten handelt, unterliegen diese grundsätzlich dem Datenschutz. Zu beachten sind in diesem Fall insbesondere die Bestimmungen des Telemedien- (TMG) und Bundesdatenschutzgesetzes (BDSG).

Das Telemediengesetz stellt in § 12 den Grundsatz auf, dass eine solche Datenerhebung nur zulässig ist, wenn das TMG oder andere Bestimmungen mit Telemedien-Bezug dies gestatten oder der Nutzer eingewilligt hat.

Dabei ist die o.g. „Personenbezogenheit“ der Daten nicht unstreitig, wenn es sich um Nutzer ohne Facebook-Account (mit Name, Identifizierungsmerkmalen) handelt. Besonders bei Nutzern mit dynamischer IP-Adresse stellt sich die Frage nach der Personenbezogenheit, da diese keinen direkten Aufschluss über die Identität zulässt.

Das LG Berlin hat Anfang 2013 entschieden, dass es bei einer dynamischen IP auf weitere Umstände ankommt, maßgeblich darauf, ob eine Nutzeridentifikation ohne größeren/unverhältnismäßigen Aufwand möglich ist, LG Berlin, Az.: 57 S 87/08. Hat der Nutzer auf der besuchten Seite bspw. seine E-Mail-Adresse mit Klarnamen eingegeben (Kontaktinformation, Formulare etc.) ist es ohne weiteres möglich, ihn über die dynamische IP-Adresse zu ermitteln und zu erfassen. Insofern würden ohne Kenntnis oder Einwilligung Nutzeridentifikationsdaten gespeichert und übermittelt.

3. Welche Rechtspflichten treffen den Seitenbetreiber?

Wer ein Social-Plugin wie den „Like“-Button benutzt, der muss entsprechend § 13 TMG eine konkrete Datenschutzerklärung abgeben.

Selbst dann sind jedoch nicht sämtliche Datenschutzprobleme ausgeräumt, weil diese Erklärung grundsätzlich zu Beginn des Nutzungsvorgangs zu erfolgen hat, § 13 Abs. 1 TMG. Das Plugin nimmt seine Arbeit aber bereits auf, wenn die Seite lediglich angesteuert und geladen wird. Bereits hier startet der datenrelevante Prozess, obwohl der Nutzer mangels Erklärung noch überhaupt nicht wissen kann, ob ein Social-Plugin vorhanden ist.

Um einen solchen Datenschutzverstoß zu vermeiden, versuchen manche Seitenbetreiber ein automatisches und ungefragtes Arbeiten des Plugins zu verhindern. Ein solches Beispiel stellt „heise.de“ dar. Dort wird kein „Like“-Button geladen, sondern lediglich ein Stellvertreter-Button („F-Empfehlen“). Bewegt der Nutzer den Cursor über den Button, erscheint eine verkürzte Datenschutzerklärung. Erst wenn der Nutzer danach den Button betätigt, wird der Datenerhebungsprozess gestartet. Dies ist allerdings auch keine hinreichende Datenschutzerklärung, da sie kaum erklärt, wie der Datenverarbeitungsprozess genau gestaltet wird.

Die Ausführungen gelten entsprechend für „Google+“-Buttons und die Verwendung von Google-Analytics.

4. Kann man wegen eines Verstoßes gegen § 13 TMG wettbewerbsrechtlich abgemahnt werden?

Die meisten – wenn nicht sogar alle – zu diesem Thema verfassten Artikel vertreten die Auffassung, dass ein solcher Verstoß durch Mitbewerber nicht abgemahnt werden könne. Argumentiert wird häufig mit der Entscheidung des KG Berlin, welches in § 13 TMG keine Regelung sah, die das Marktverhalten der Marktteilnehmer regeln solle, KG Berlin, Beschl. v. 29.04.2011, Az.: 5 W 88/11. Es handele sich vielmehr um eine öffentich-rechtliche Regelung, die lediglich die Einhaltung des Datenschutzes und nicht etwa ein lauteres Verhalten am Markt bezwecke. Somit könne § 13 TMG keine sonstige Vorschrift im Sinne des § 4 Nr. 11 des Gesetzes gegen den unlauteren Wettbewerb (UWG) darstellen, weshalb das UWG, insbesondere die §§ 8 ff. UWG, keine Anwendung finden können.

Immernoch kaum in das Bewusstsein gerückt scheint aber die Entscheidung des OLG Hamburg vom 27.06.2013, in der § 13 TMG ausdrücklich als Marktverhaltensregel im Sinne des § 4 Nr. 11 UWG  angesehen wird, OLG Hamburg, Urt. v. 27.06.2013, Az.: 3 U 26/12.

Diese Entscheidung wird damit begründet, dass der Verstoß gegen § 13 TMG als nationale Regelung wegen seiner Grundlage im Unionsrecht zur wettbewerbsrechtlichen Anwendung über § 4 Nr. 11 UWG führe. Zwar sei durch die EU-Richtlinie über unlautere Geschäftspraktiken das Lauterkeitsrecht harmonisiert und vereinheitlicht worden. Diese wäre durch die Änderungen im UWG umgesetzt und dementsprechend die Anwendung anderer nationaler Normen bzgl. des Wettbewerbsverhaltens grundsätzlich ausgeschlossen. Allerdings setze § 13 TMG die Vorgaben aus Art. 10 der Datenschutzrichtlinie 95/46/EG um, welche nach ihren Erwägungsgründen ausdrücklich auch die Unverfälschtheit des Wettbewerbsrechts schützen solle.

Demzufolge könne ein Verstoß gegen § 13 TMG über § 4 Nr. 11 UWG von einem Mitbewerber abgemahnt werden, da ein solcher Verstoß eine unlautere Wettbewerbshandlung darstellen würde.

Die Entscheidung hat auch erhebliche Auswirkungen auf die momentan aufbrandende Diskussion über die Verwendung von Google-Analytics. Hierdurch werden ebenfalls Nutzerdaten erhoben und verwendet. Wird darüber nicht gemäß § 13 TMG ordnungsgemäß aufgeklärt, setzt man sich – nach der o.g. Rechtsprechung des OLG Hamburg – der Gefahr einer wettbewerbsrechtlichen Abmahnung aus.

Ähnliche Beiträge