BECKMANN UND NORDA - Rechtsanwälte Bielefeld

BGH
Beschluss vom 10.11.2022 - I ZR 186/17
App-Zentrum II
Verordnung (EU) 2016/679 Art. 80 Abs. 2; UWG § 8 Abs. 3 Nr. 3; UKlaG §§ 1, 2 Abs. 2 Satz 1
Nr. 11, § 3 Abs. 1 Satz 1 Nr. 1

Der BGH hat dem EuGH zur Entscheidung vorgelegt, wann das Tatbestandsmerkmal "infolge einer Verarbeitung" im Sinne von Art. 80 Abs. 2 DSGVO vorliegt.

Leitsatz des BGH:
Dem Gerichtshof der Europäischen Union wird zur Auslegung von Art. 80 Abs. 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, DSGVO, ABl. L 119 vom 4. Mai 2016, S. 1) folgende Frage zur Vorabentscheidung vorgelegt:

Wird eine Rechtsverletzung "infolge einer Verarbeitung" im Sinne von Art. 80 Abs. 2 DSGVO geltend gemacht, wenn ein Verband zur Wahrung von Verbraucherinteressen seine Klage darauf stützt, die Rechte einer betroffenen Person seien verletzt, weil die Informationspflichten gemäß Art. 12 Abs. 1 Satz 1 DSGVO in Verbindung mit Art. 13 Abs. 1 Buchst. c und e DSGVO über den Zweck der Datenverarbeitung und den Empfänger der personenbezogenen Daten nicht erfüllt worden seien ?

BGH, Beschluss vom 10. November 2022 - I ZR 186/17 - Kammergericht - LG Berlin

Den Volltext der Entscheidung finden Sie hier:

EuGH
Urteil vom 29.07.2019
C-40/17
Fashion ID GmbH & Co. KG/Verbraucherzentrale NRW eV
beteiligt:
Facebook Ireland Ltd,
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen,

Der EuGH hat entschieden, dass Websitebetreiber bei Einbindung des Facebook Gefällt Mir-Buttons datenschutzrechtlich für die Erhebung und Übermittlung der Daten an Facebook aber nicht für die spätere Verarbeitung durch Facebook gemeinsam mit Facebook mitverantwortlich sein können.

Zudem stellt der EuGH klar, dass weder die alte Datenschutzrichtlinie noch die DSGVO der gerichtlichen Inanspruchnahme mutmaßlicher Verletzer von Vorschriften zum Schutz personenbezogener Daten durch Verbraucherschutzverbände entgegenstehen.

Tenor der Entscheidung:

1. Die Art. 22 bis 24 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sind dahin auszulegen, dass sie einer nationalen Regelung, die es Verbänden zur Wahrung von Verbraucherinteressen erlaubt, gegen den mutmaßlichen Verletzer von Vorschriften zum Schutz personenbezogener Daten Klage zu erheben, nicht entgegenstehen.

2. Der Betreiber einer Website wie die Fashion ID GmbH & Co. KG, der in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, kann als für die Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 angesehen werden. Diese Verantwortlichkeit ist jedoch auf den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten beschränkt, für den bzw. für die er tatsächlich über die Zwecke und Mittel entscheidet, d. h. das Erheben der in Rede stehenden Daten und deren Weitergabe durch Übermittlung.

3. In einer Situation wie der im Ausgangsverfahren in Rede stehenden, in der der Betreiber einer Website in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, ist es erforderlich, dass der Betreiber und der Anbieter mit diesen Verarbeitungsvorgängen jeweils ein berechtigtes Interesse im Sinne von Art. 7 Buchst. f der Richtlinie 95/46 wahrnehmen, damit diese Vorgänge für jeden Einzelnen von ihnen gerechtfertigt sind.

4. Art. 2 Buchst. h und Art. 7 Buchst. a der Richtlinie 95/46 sind dahin auszulegen, dass in einer Situation wie der des Ausgangsverfahrens, in der der Betreiber einer Website in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, die nach diesen Vorschriften zu erklärende Einwilligung von dem Betreiber nur in Bezug auf den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten einzuholen ist, für den bzw. für die dieser Betreiber tatsächlich über die Zwecke und Mittel entscheidet. Darüber hinaus ist Art. 10 dieser Richtlinie dahin auszulegen, dass in einer solchen Situation auch die in dieser Bestimmung vorgesehene Informationspflicht den Betreiber trifft, wobei dieser die betroffene Person jedoch nur in Bezug auf den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten informieren muss, für den bzw. für die dieser Betreiber tatsächlich über die Zwecke und Mittel entscheidet.

Die Pressemitteilung des EuGH:

Der Betreiber einer Website, in der der „Gefällt mir“-Button von Facebook enthalten ist, kann für das Erheben und die Übermittlung der personenbezogenen Daten der Besucher seiner Website gemeinsam mit Facebook verantwortlich sein.

Dagegen ist er grundsätzlich nicht für die spätere Verarbeitung dieser Daten allein durch Facebook verantwortlich.

Fashion ID, ein deutscher Online-Händler für Modeartikel, band in ihre Website den „Gefällt mir“- Button von Facebook ein. Anscheinend hat diese Einbindung zur Folge, dass beim Aufrufen der Website von Fashion ID durch einen Besucher die personenbezogenen Daten dieses Besuchers an Facebook Ireland übermittelt werden. Offenbar erfolgt diese Übermittlung, ohne dass sich der Besucher dessen bewusst ist und unabhängig davon, ob er Mitglied des sozialen Netzwerks Facebook ist oder den „Gefällt mir“-Button angeklickt hat.

Die Verbraucherzentrale NRW, ein gemeinnütziger Verband zur Wahrung von Verbraucherinteressen, wirft Fashion ID vor, personenbezogene Daten der Besucher ihrer Website ohne deren Einwilligung und unter Verstoß gegen die Informationspflichten nach den Vorschriften über den Schutz personenbezogener Daten an Facebook Ireland übermittelt zu haben.

Das mit dem Rechtsstreit befasste Oberlandesgericht Düsseldorf (Deutschland) ersucht um die Auslegung einer Reihe von Bestimmungen der früheren Datenschutzrichtlinie von 1995 (die weiterhin auf den Fall anwendbar ist, aber durch die neue Datenschutz-Grundverordnung von 2016 mit Wirkung vom 25. Mai 2018 ersetzt worden ist).

In seinem Urteil vom heutigen Tag stellt der Gerichtshof zunächst klar, dass die alte Datenschutzrichtlinie nicht dem entgegensteht, dass es Verbänden zur Wahrung von Verbraucherinteressen erlaubt ist, gegen den mutmaßlichen Verletzer von Vorschriften zum Schutz personenbezogener Daten Klage zu erheben. Der Gerichtshof weist darauf hin, dass die neue Datenschutz-Grundverordnung nunmehr ausdrücklich diese Möglichkeit vorsieht.

Der Gerichtshof stellt sodann fest, dass Fashion ID für die Datenverarbeitungsvorgänge, die Facebook Ireland nach der Übermittlung der Daten an sie vorgenommen hat, anscheinend nicht als verantwortlich angesehen werden kann. Es erscheint nämlich auf den ersten Blick ausgeschlossen, dass Fashion ID über die Zwecke und Mittel dieser Vorgänge entscheidet.

Dagegen kann Fashion ID für die Vorgänge des Erhebens der in Rede stehenden Daten und deren Weiterleitung durch Übermittlung an Facebook Ireland als gemeinsam mit Facebook verantwortlich angesehen werden, da (vorbehaltlich der vom Oberlandesgericht Düsseldorf vorzunehmenden Nachprüfung) davon ausgegangen werden kann, dass Fashion ID und Facebook Irland gemeinsam über die Zwecke und Mittel entscheiden.

Es scheint insbesondere, dass die Einbindung des „Gefällt mir“-Buttons von Facebook durch Fashion ID in ihre Website ihr ermöglicht, die Werbung für ihre Produkte zu optimieren, indem diese im sozialen Netzwerk Facebook sichtbarer gemacht werden, wenn ein Besucher ihrer Website den Button anklickt. Um in den Genuss dieses wirtschaftlichen Vorteils kommen zu können, der in einer solchen verbesserten Werbung für ihre Produkte besteht, scheint Fashion ID mit der Einbindung eines solchen Buttons in ihre Website zumindest stillschweigend in das Erheben personenbezogener Daten der Besucher ihrer Website und deren Weitergabe durch Übermittlung eingewilligt zu haben. Dabei werden diese Verarbeitungsvorgänge im wirtschaftlichen Interesse sowohl von Fashion ID als auch von Facebook Ireland durchgeführt, für die die Tatsache, über diese Daten für ihre eigenen wirtschaftlichen Zwecke verfügen zu können, die Gegenleistung für den Fashion ID gebotenen Vorteil darstellt.

Der Gerichtshof betont, dass der Betreiber einer Website wie Fashion ID für bestimmte Vorgänge der Verarbeitung der Daten der Besucher seiner Website wie das Erheben der Daten und deren Übermittlung an Facebook Ireland als (Mit-)Verantwortlicher diesen Besuchern zum Zeitpunkt des Erhebens bestimmte Informationen zu geben hat, wie beispielsweise seine Identität und die Zwecke der Verarbeitung.

Außerdem präzisiert der Gerichtshof noch zwei der sechs in der Richtlinie vorgesehenen Fälle einer rechtmäßigen Verarbeitung personenbezogener Daten.

Zu dem Fall, in dem die betroffene Person ihre Einwilligung gegeben hat, entscheidet der Gerichtshof, dass der Betreiber einer Website wie Fashion ID diese Einwilligung vorher (nur) für die Vorgänge einholen muss, für die er (mit-)verantwortlich ist, d. h. das Erheben und die Übermittlung der Daten.

Zu den Fällen, in denen die Datenverarbeitung zur Verwirklichung eines berechtigten Interesses erforderlich ist, entscheidet der Gerichtshof, dass jeder der für die Verarbeitung (Mit-)Verantwortlichen, d. h. der Betreiber einer Website und der Anbieter eines Social Plugins, mit dem Erheben und der Übermittlung der personenbezogenen Daten ein berechtigtes Interesse wahrnehmen muss, damit diese Vorgänge für jeden Einzelnen von ihnen gerechtfertigt sind.

Den Volltext der Entscheidung finden Sie hier:

BGH
Beschluss vom 11.04.2019
I ZR 186/17

Der BGH hat das Verfahren gegen Facebook wegen möglicher Datenschutzverstöße durch Weitergabe von Nutzer-Daten an Online-Spiele-Anbieter bis zur Entscheidung des EuGH zur datenschutzrechtlichen Problematik des Facebook Gefällt-Mir-Buttons ausgesetzt (siehe dazu OLG Düsseldorf legt EuGH Rechtsfragen im Zusammenhang mit Nutzung des Facebook-Gefällt-Mir-Buttons auf Unternehmenswebseiten vor ).

Die Pressemitteilung des BGH:

Bundesgerichtshof setzt Verfahren gegen Facebook wegen Verstößen gegen Datenschutzrecht bis zu einer Entscheidung des EuGH aus

Der unter anderem für Ansprüche aus dem Gesetz gegen den unlauteren Wettbewerb zuständige I. Zivilsenat des Bundesgerichtshofs hat heute ein bei ihm anhängiges Verfahren des Bundesverbands der Verbraucherzentralen und Verbraucherverbände gegen Facebook wegen Verstößen gegen Datenschutzrecht bis zur Entscheidung des Gerichtshofs der Europäischen Union in einem diesem vom Oberlandesgericht Düsseldorf vorgelegten Vorabentscheidungsverfahren ausgesetzt.

Sachverhalt:

Die in Irland ansässige Beklagte, die Facebook Ireland Limited, betreibt das soziale Netzwerk "Facebook". Auf der Internetplattform dieses Netzwerks befindet sich ein "App-Zentrum", in dem die Beklagte den Nutzern ihrer Plattform kostenlos Online-Spiele anderer Anbieter zugänglich macht. Im November 2012 wurden in diesem App-Zentrum mehrere Spiele angeboten, bei denen unter dem Button "Sofort spielen" folgende Hinweise zu lesen waren: "Durch das Anklicken von ‚Spiel spielen" oben erhält diese Anwendung: Deine allgemeinen Informationen, Deine-Mail-Adresse, Über Dich, Deine Statusmeldungen. Diese Anwendung darf in deinem Namen posten, einschließlich dein Punktestand und mehr."

Der Kläger ist der Dachverband der Verbraucherzentralen der Bundesländer. Er ist der Ansicht, die Beklagte verstoße mit dieser Präsentation der Spiele im "App-Zentrum" gegen § 13 Abs. 1 Satz 1 TMG und § 4a Abs. 1 Satz 2 BDSG aF, weil die den Nutzern erteilten Hinweise zu Umfang und Zweck der Erhebung und Verwendung ihrer Daten unzureichend seien und daher keine Grundlage für eine nach § 4a Abs. 1 Satz 1 BDSG aF wirksame Einwilligung in die Nutzung der Daten bilden könnten. Der Kläger ist ferner der Auffassung, dass es sich bei den verletzten datenschutzrechtlichen Vorschriften um Marktverhaltensregelungen im Sinne von § 3 Abs. 1, § 4 Nr. 11 UWG aF (jetzt § 3 Abs. 1, § 3a UWG) handele und ein Verstoß daher wettbewerbsrechtliche Unterlassungsansprüche nach § 8 Abs. 1 Satz 1 UWG begründe, zu deren Geltendmachung er als qualifizierte Einrichtung im Sinne von § 8 Abs. 3 Nr. 3 UWG berechtigt sei.

Bisheriger Prozessverlauf:

Das Landgericht hat die Beklagte antragsgemäß verurteilt, es zu unterlassen, auf ihrer Internetseite in einem App-Zentrum Spiele so zu präsentieren, dass Nutzer der Internetplattform mit dem Betätigen eines Buttons wie "Spiel spielen" die Erklärung abgeben, dass der Betreiber des Spiels über das von der Beklagten betriebene soziale Netzwerk Informationen über die dort hinterlegten personenbezogenen Daten erhält und ermächtigt ist, Informationen im Namen der Nutzer zu übermitteln (posten). Die Berufung der Beklagten hatte keinen Erfolg.

Entscheidung des Bundesgerichtshofs:

Der Bundesgerichtshof hat das Verfahren in entsprechender Anwendung von § 148 Abs. 1 ZPO bis zur Entscheidung des Gerichtshofs der Europäischen Union in der Rechtssache C-40/17 über das Vorabentscheidungsersuchen des Oberlandesgerichts Düsseldorf vom 19. Januar 2017 (Beschluss vom 19. Januar 2017 - I-20 U 40/16) ausgesetzt. Das Oberlandesgericht hat dem Gerichtshof der Europäischen Union in diesem Verfahren, in dem es um den "Gefällt mir"-Button von Facebook geht, die Frage zur Vorabentscheidung vorgelegt, ob die Regelungen in Art. 22 bis 24 der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Richtlinie) einer nationalen Regelung entgegenstehen, die - wie § 8 Abs. 3 Nr. 3 UWG - gemeinnützigen Verbänden zur Wahrung der Interessen der Verbraucher die Befugnis einräumt, im Falle einer Verletzung von Datenschutzvorschriften gegen den Verletzer vorzugehen. Diese Frage ist auch im vorliegenden Rechtsstreit entscheidungserheblich und nicht zweifelsfrei zu beantworten. Möglicherweise lässt die Datenschutz-Richtlinie eine Verfolgung von Verstößen allein durch die Datenschutzbehörden und die Betroffenen und nicht durch Verbände zu.

Vorinstanzen:

LG Berlin - Urteil vom 28. Oktober 2014 - 16 O 60/13

Kammergericht Berlin - Urteil vom 22. September 2017 - 5 U 155/14

Die maßgeblichen Vorschriften lauten:

§ 13 Abs. 1 Satz 1 TMG

Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31) in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist.

§ 4a Abs. 1 Satz 1 und 2 BDSG aF

Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. Er ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen.

§ 3 Abs. 1 UWG

Unlautere geschäftliche Handlungen sind unzulässig.

§ 3a UWG

Unlauter handelt, wer einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln, und der Verstoß geeignet ist, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen.

§ 8 Abs. 1 Satz 1 UWG

Wer eine nach § 3 oder § 7 unzulässige geschäftliche Handlung vornimmt, kann auf Beseitigung und bei Wiederholungsgefahr auf Unterlassung in Anspruch genommen werden.

§ 8 Abs. 3 Nr. 3 UWG

Die Ansprüche aus Absatz 1 stehen zu: qualifizierten Einrichtungen, die nachweisen, dass sie in der Liste der qualifizierten Einrichtungen nach § 4 des Unterlassungsklagengesetzes oder in dem Verzeichnis der Europäischen Kommission nach Artikel 4 Absatz 3 der Richtlinie 2009/22/EG des Europäischen Parlaments und des Rates vom 23. April 2009 über Unterlassungsklagen zum Schutz der Verbraucherinteressen (ABl. L 110 vom 1.5.2009, S. 30) eingetragen sind.

§ 148 Abs. 1 ZPO

Das Gericht kann, wenn die Entscheidung des Rechtsstreits ganz oder zum Teil von dem Bestehen oder Nichtbestehen eines Rechtsverhältnisses abhängt, das den Gegenstand eines anderen anhängigen Rechtsstreits bildet oder von einer Verwaltungsbehörde festzustellen ist, anordnen, dass die Verhandlung bis zur Erledigung des anderen Rechtsstreits oder bis zur Entscheidung der Verwaltungsbehörde auszusetzen sei.

EuGH-Generalanwalt
Schlussanträge vom 19.12.2018
C‑40/17
Fashion ID GmbH & Co. KG
gegen
Verbraucherzentrale NRW e. V.,
Beteiligte:
Facebook Ireland Limited,
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen

Der EuGH-Generalanwalt kommt zu dem Ergebnis, dass Verbraucherschutzvereine Datenschutzverstöße abmahnen dürfen. Ferner kommt der EuGH-Generalanwalt zu dem Ergebnis, dass Facebook und Webseitenbetreiber gemeinsam datenschutzrechtlich für die Verarbeitung personenbezogener Daten durch Verwendung des Gefällt-Mir-Buttons verantwortlich sind, wobei die Verantwortlichkeit des Webseitenbetreibers auf Verarbeitungsvorgänge beschränkt ist, für die er tatsächlich einen Beitrag zur Entscheidung über die Mittel und Zwecke der Verarbeitung der personenbezogenen Daten leistet. Der Webseitenbetreiber muss eine Einwilligung von Nutzer einholen und ihn über die Datenverarbeitung informieren.

Die Einschätzung des EuGH-Generalanwalts ist für den EuGH nicht bindend, dürfte aber der bisherigen Linie des EuGH entsprechen.

Ergebnis:
"Im Licht der vorstehenden Ausführungen schlage ich dem Gerichtshof vor, die vom Oberlandesgericht Düsseldorf (Deutschland) gestellten Fragen wie folgt zu beantworten:

Die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr steht einer nationalen Regelung nicht entgegen, die gemeinnützigen Verbänden die Befugnis einräumt, zur Wahrung der Interessen der Verbraucher rechtlich gegen den mutmaßlichen Verletzer von Datenschutzrecht vorzugehen.

Eine Person, die ein von einem Dritten bereitgestelltes Plugin in ihre Webseite eingebunden hat, welches die Erhebung und Übermittlung der personenbezogenen Daten des Nutzers veranlasst, ist als ein für die Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 anzusehen. Die (gemeinsame) Verantwortlichkeit des betreffenden für die Verarbeitung Verantwortlichen ist jedoch auf die Verarbeitungsvorgänge beschränkt, für die er tatsächlich einen Beitrag zur Entscheidung über die Mittel und Zwecke der Verarbeitung der personenbezogenen Daten leistet.

Bei der Prüfung, ob personenbezogene Daten nach den in Art. 7 Buchst. f der Richtlinie 95/46 niedergelegten Kriterien verarbeitet werden dürfen, ist auf die berechtigten Interessen beider im Einzelfall für die Verarbeitung Verantwortlichen abzustellen, und diese Interessen sind gegen die Rechte der betroffenen Personen abzuwägen.

Die nach Art. 7 Buchst. a der Richtlinie 95/46 einzuholende Einwilligung der betroffenen Person ist gegenüber dem Webseiten-Betreiber zu erklären, der Drittinhalte in seine Webseite eingebunden hat. Art. 10 der Richtlinie 95/46 ist dahin auszulegen, dass die sich aus dieser Bestimmung ergebende Informationspflicht auch für diesen Webseiten-Betreiber gilt. Die Einwilligung der betroffenen Person nach Art. 7 Buchst. a der Richtlinie 95/46 muss eingeholt und die Informationen im Sinne von Art. 10 dieser Richtlinie müssen bereitgestellt werden, bevor die Erhebung und die Übermittlung der Daten erfolgt. Jedoch muss der Umfang dieser Verpflichtungen der gemeinsamen Verantwortlichkeit des betreffenden Webseiten-Betreibers für die Erhebung und Übermittlung der personenbezogenen Daten entsprechen."

Den vollständigen Text finden Sie hier:

Das Bundeskartellamt kommt nach vorläufiger Einschätzung zu dem Ergebnis, dass Facebook seine marktbeherrschende Stellung missbraucht und sich kartellrechtswidrig verhält. Das Sammeln und Verwerten von Daten aus Drittquellen außerhalb der Facebook-Website (z.B. durch Gefällt-Mir-Button / Like-Button) ist missbräuchlich.

Das Bundeskartellamt hat zudem ein Hintergrundpapier veröffentlicht.


Die Pressemitteilung des Bundeskartellamtes:

Vorläufige Einschätzung im Facebook-Verfahren: Das Sammeln und Verwerten von Daten aus Drittquellen außerhalb der Facebook Website ist missbräuchlich

Das Bundeskartellamt hat dem Unternehmen Facebook seine vorläufige rechtliche Einschätzung in dem Verfahren wegen des Verdachts auf Missbrauch einer marktbeherrschenden Stellung übersandt. Die Behörde geht nach dem jetzigen Stand der Dinge davon aus, dass Facebook auf dem deutschen Markt für soziale Netzwerke marktbeherrschend ist. Weiter ist das Amt der Ansicht, dass Facebook missbräuchlich handelt, indem das Unternehmen die Nutzung des sozialen Netzwerks davon abhängig macht, unbegrenzt jegliche Art von Nutzerdaten aus Drittquellen sammeln und mit dem Facebook-Konto zusammenführen zu dürfen. Zu diesen Drittseiten gehören zum Einen konzerneigene Dienste wie WhatsApp oder Instagram. Hierzu gehören aber auch Webseiten und Apps anderer Betreiber, auf die Facebook über Schnittstellen zugreifen kann.

Andreas Mundt, Präsident des Bundeskartellamtes: „Wir sehen vor allem die Datensammlung außerhalb des sozialen Netzwerks von Facebook und ihre Zusammenführung mit dem Facebook-Konto als problematisch an. Mithilfe von Schnittstellen fließen auch dann Daten an Facebook und werden dort gesammelt und verwertet, wenn man andere Internetseiten besucht. Dies geschieht sogar schon, wenn man z.B. einen „Gefällt Mir-Button“ gar nicht nutzt, aber eine entsprechende Seite aufgerufen hat, in die ein solcher Button eingebettet ist. Dies ist den Nutzern nicht bewusst. Wir sehen nach dem jetzigen Stand der Dinge auch nicht, dass zu diesem Verhalten von Facebook, dem Daten-Tracking und der Zusammenführung mit dem Facebook-Konto, eine wirksame Einwilligung der Nutzer vorliegt. Das Ausmaß und die Ausgestaltung der Datensammlung verstößt gegen zwingende europäische Datenschutzwertungen.“

Nach der vorläufigen Auffassung des Bundeskartellamtes muss Facebook als marktbeherrschendes Unternehmen bei dem Betrieb seines Geschäftsmodells berücksichtigen, dass die Facebook-Nutzer nicht auf andere soziale Netzwerke ausweichen können. Die Teilnahme am Facebook-Netzwerk setzt eine Registrierung und eine uneingeschränkte Zustimmung zu den Nutzungsbedingungen zwingend voraus. Der Nutzer wird vor die Wahl gestellt, entweder das „Gesamtpaket“ zu akzeptieren oder auf die Nutzung des Dienstes zu verzichten.

Dabei wird die private Nutzung des Netzwerks u.a. davon abhängig gemacht, dass Facebook unbegrenzt jegliche Art von Nutzerdaten aus Drittquellen sammeln, den Facebook-Konten der Nutzer zuordnen und zu zahlreichen Datenverarbeitungsvorgängen verwenden kann.

Nach der vorläufigen Bewertung des Bundeskartellamtes sind die Nutzungsbedingungen von Facebook zumindest in diesem Punkt nicht angemessen und verstoßen zu Lasten der Nutzer gegen datenschutzrechtliche Wertungen. Angesichts der marktbeherrschenden Position des Unternehmens kann auch nicht von einer wirksamen Einwilligung der Nutzer zu dieser Form der Datensammlung und Weiterverarbeitung ausgegangen werden.

Das Bundeskartellamt konzentriert sich in diesem Verfahren auf die Sammlung und Verwendung von Nutzerdaten aus Drittquellen. Das Verfahren bezieht sich dabei nicht auf die Datensammlung und -verwendung auf dem sozialen Netzwerk Facebook selbst. Es wird ausdrücklich offengelassen, ob auch hier Datenschutzverstöße und ein Missbrauch von Marktbeherrschung vorliegen oder nicht.

Bei der Nutzung anderer Dienste außerhalb von Facebook können die Nutzer jedenfalls nicht damit rechnen, dass anfallende Daten in diesem Ausmaß dem Facebook-Konto hinzugefügt werden. So fließen Daten von Webseiten und Apps schon mit deren Aufruf bzw. Installation an Facebook, wenn sie eine der Schnittstellen eingebunden haben. Solche Schnittstellen sind millionenfach auf deutschen Webseiten und in Apps verbreitet. Hier sind nach bisheriger Einschätzung des Bundeskartellamtes mehr Steuerungsmöglichkeiten der Verbraucher zu fordern, die von Facebook über geeignete Maßnahmen zur Verfügung gestellt werden und die Datensammlung wirksam begrenzen.

Das Bundeskartellamt arbeitet hinsichtlich der datenschutzrechtlichen Bewertungen eng mit Datenschutzbehörden zusammen.

Andreas Mundt: „Datenschutz, Verbraucherschutz und der Wettbewerbsschutz kommen an der Stelle zusammen, an der Daten, wie bei Facebook, einen wesentlichen Faktor für die wirtschaftliche Dominanz eines Unternehmens darstellen. Auf der einen Seite steht mit dem sozialen Netzwerk eine kostenlose Dienstleistung, auf der anderen Seite stehen attraktive Werbeplätze, deren Wert gerade deshalb so hoch ist, weil Facebook über riesige Mengen personalisierter Daten verfügt. Dabei muss sich Facebook an die Regeln und Gesetze halten. Das Kartellrecht verbietet es, dass ein Unternehmen seine Marktmacht missbräuchlich ausnutzt.“

Das Anhörungsschreiben bildet zunächst einen Zwischenschritt im Missbrauchsverfahren, der dem Unternehmen die Möglichkeit einräumt, zu den Vorwürfen Stellung zu nehmen und weitere Rechtfertigungsgründe oder Lösungsvorschläge vorzutragen.

Das Bundeskartellamt führt gegen Facebook ein Verwaltungsverfahren. Am Ende des Verfahrens kann es zu einer Einstellung des Verfahrens, Verpflichtungszusagen des Unternehmens oder einer Untersagung durch die Kartellbehörde kommen. Eine abschließende Entscheidung in der Sache wird nicht vor Frühsommer 2018 ergehen.

OLG Düsseldorf
Beschluss vom 19.01.2017
I-20 U 40/16

Das OLG Düsseldorf hat mehrere Rechtsfragen im Zusammenhang mit Nutzung des Facebook-Gefällt-Mir-Button auf Unternehmenswebseiten dem EuGH zur Entscheidung vorgelegt (siehe zur Vorinstanz LG Düsseldorf: Facebook Like / Gefällt Mir-Button auf Unternehmenswebseite ist ein abmahnfähiger Wettbewerbsverstoß ).

Die Vorlagefragen:

"Das Oberlandesgericht Düsseldorf legt dem Gerichtshof der Europäischen Union folgende Fragen zur Vorabentscheidung vor:

1. Steht die Regelung in Artikeln 22, 23 und 24 der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr vom 24. Oktober 1995 (ABI.
Nr. L 281/31 vom 23.11.1995) einer nationalen Regelung entgegen, die neben den Eingriffsbefugnissen der Datenschutzbehörden und den Rechtsbehelfsmöglichkeiten des Betroffenen gemeinnützigen Verbänden zur Wahrung der Interessen der Verbraucher die Befugnis einräumt, im Falle von Verletzungen gegen den Verletzer vorzugehen ?

Falls die Frage 1) verneint wird:

2. Ist in einem Fall wie dem vorliegenden, bei dem jemand einen Programmcode in seine Webseite einbindet, der den Browser des Benutzers veranlasst, Inhalte von einem Dritten anzufordern und hierzu personenbezogene Daten an den Dritten zu übermitteln, der Einbindende „für die Verarbeitung Verantwortlicher“ im Sinne von Art. 2 Buchstabe d) der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr vom 24. Oktober 1995 (ABI. Nr. L 281/31 vom 23.11.1995), wenn er selber diesen Datenverarbeitungsvorgang nicht beeinflussen kann ?

3. Falls die Frage 2 zu verneinen ist: Ist Art. 2 Buchstabe d) der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr dahingehend auszulegen, dass er die Haftung und Verantwortlichkeit in dem Sinne abschließend regelt, dass er einer zivilrechtlichen Inanspruchnahme eines Dritten entgegen steht, der zwar nicht „für die Verarbeitung Verantwortlicher“ ist, aber die Ursache für den Verarbeitungsvorgang setzt, ohne diesen zu beeinflussen ?

4. Auf wessen „berechtigte Interessen“ ist in einer Konstellation wie der vorliegenden bei der nach Art. 7 Buchstabe f) der Richtlinie 95/46/EG vorzunehmende Abwägung abzustellen? Auf das Interesse an der Einbindung von Drittinhalten oder auf das Interesse des Dritte ?

5. Wem gegenüber muss die nach Art. 7 Buchstabe a) und Art. 2 Buchstabe h) der Richtlinie 95/46/EG zu erklärende Einwilligung in einer Konstellation wie der vorliegenden erfolgen?

6. Trifft die Informationspflicht des Art. 10 der Richtlinie 95/46/EG in einer Situation wie der vorliegenden auch den Betreiber der Webseite, der den Inhalt eines Dritten eingebunden hat und so die Ursache für die Verarbeitung personenbezogener Daten durch den Dritten setzt ?"

Den Volltext der Entscheidung finden Sie hier:

Derzeit wird von den Rechtsanwälten Fareds, die in der Vergangenheit zahlreiche Filesharing-Abmahnungen ausgesprochen haben, Abmahnungen für die Fidentus GmbH ausgesprochen und die Verwendung des Facebook Gefällt-Mir-Buttons (Like-Button) gerügt.

Wir haben immer wieder auf die Problematik hingewiesen. So etwa in dem Beitrag "LG Düsseldorf: Facebook Like / Gefällt Mir-Button auf Unternehmenswebseite ist ein abmahnfähiger Wettbewerbsverstoß".

Für betroffene Unternehmen gilt es, Ruhe zu bewahren und richtig auf eine Abmahnung zu reagieren. Bei einer vorschnell abgegebenen Unterlassungserklärung könne noch Jahre später teure Vertragsstrafen drohen.

LG Düsseldorf
Urteil vom 09.03.2016
12 O 151/15

Es war nur eine Frage der Zeit. Das LG Düsseldorf hat entschieden, dass die Verwendung des Facebook Like-Buttons bzw. Gefällt-Mir-Buttons auf der Webseite eines Unternehmens einen abmahnfähigen Wettbewerbsverstoß darstellt. Ein entsprechender Hinweis in der Datenschutzerklärung reicht - so das Gericht - nicht aus.

Ob die in Deutschland beliebte 2-Klick-Lösung zulässig ist, hat das Gericht ausdrücklich offengelassen. Gleichwohl gilt, dass eine wirklich und unstreitig rechtskonforme Lösung schon deshalb scheitert, weil die gesetzlichen Grundlagen schlicht ungeeignet sind, um Social-Media-Plugins praxistauglich abzubilden.

Es ist bedenklich, dass die rechtlichen Streitfragen auf dem Rücken von Webseitenbetreibern ausgetragen und zukünftig stärker in das Blickfeld von (Serien-)Abmahnern geraten werden.

Aus den Entscheidungsgründen:

"Die Nutzung des Facebook-Plugins „Gefällt mir" auf der Webseite der Beklagten, ohne dass die Beklagte die Nutzer der Internetseite vor der Übermittlung deren IP-Adresse und Browserstring an Facebook über diesen Umstand aufklärt, ist unlauter im Sinne des § 3a UWG i.V.m. § 13 TMG.

Nach § 13 Abs. 1 Satz 1 TMG hat der Betreiber eines Telemediendienstes den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs des EWR in allgemein verständlicher Form zu unterrichten. Dieser Pflicht ist die Beklagte hinsichtlich ihrer Internetseite in dem Stand, der der gerichtlichen Beurteilung unterliegt, nicht nachgekommen.
[...]
Eine Unterrichtung sah die Internetseite der Beklagten nicht vor, und zwar weder vor einer Weiterleitung von Daten an Facebook, noch während des Beginns des Nutzungsvorgangs. Der bloße Link zu einer Datenschutzerklärung in der Fußzeile der Webseite stellt keinen Hinweis zu Beginn bzw. vor Einleitung des Verarbeitungsvorgangs dar. Die von der Beklagten diesbezüglich aufgeführten Rechtsprechungsfundstellen befassen sich allein mit der jederzeitigen Abrufbarkeit der Belehrung, nicht aber mit dem Zeitpunkt in dem diese zu erfolgen hat.
[...]
Hinsichtlich der Rechtsverletzung indiziert die Begehung durch die Beklagte die Wiederholungsgefahr. Soweit die Beklagte ihren Webauftritt nunmehr auf die sog. "2-Klick-Lösung" umgestellt hat, braucht die Kammer nicht zu bewerten, ob diese den gesetzlichen Anforderungen genügt."

Den Volltext der Entscheidung finden Sie hier:

OVG Schleswig
Urteil vom 05.09.2014
4 LB 20/13


Das OVG Schleswig hat entschieden, dass Betreiber von Facebook-Fanpages nicht für Datenschutzverstöße, die in der Spähre von Facebook liegen, verantwortlich sind (ebenso bereits "VG Schleswig: Betreiber von Facebook-Fanpages nicht für Datenschutzverstöße durch Facebook verantwortlich"). Datenschutzbehörden (hier das ULD) sind nach dieser Entscheidung nicht berechtigt, gegen Betreiber von Facebook-Fanpages und Unternehmensseiten vorzugehen und zur Abschaltung aufzufordern. Das OVG hat die Revision zum Bundesverwaltungsgericht zugelassen.

Die Pressemitteilung des OVG Schleswig.
"OVG Schleswig: Wirtschaftsakademie kann vom ULD nicht zur Abschaltung ihrer Facebook-Fanpage verpflichtet werden

Der Betreiber einer Facebook-Fanpage ist für die allein von Facebook vorgenommene Verarbeitung personenbezogener Daten von Besuchern der Fanpage datenschutzrechtlich nicht verantwortlich, denn er hat keinen Einfluss auf die technische und rechtliche Ausgestaltung der Datenverarbeitung durch Facebook. Dass er von Facebook anonyme Statistikdaten über Nutzer erhält, begründet keine datenschutzrechtliche Mitverantwortung. Das ULD als Datenschutzaufsichtsbehörde darf den Fanpagebetreiber deshalb nicht zur Deaktivierung seiner Fanpage verpflichten.

Dies hat der 4. Senat des Schleswig-Holsteinischen Oberverwaltungsgerichts mit Urteil vom 4. September 2014 entschieden und damit die Berufung des Unabhängigen Landeszentrums für Datenschutz (ULD) gegen ein Urteil des Verwaltungsgerichts Schleswig vom 09. Oktober 2013 zurückgewiesen. Seine Anordnung Ende 2011 gegenüber der Wirtschaftsakademie Schleswig-Holstein GmbH, deren Facebook-Fanpage zu deaktivieren, hatte das ULD mit datenschutzrechtlichen Verstößen von Facebook - insbesondere einer fehlenden Widerspruchsmöglichkeit von Nutzern nach dem Telemediengesetz gegen die Erstellung von Nutzungsprofilen - begründet. Nach Auffassung des Oberverwaltungsgerichts war diese Anordnung des ULD auch bereits deshalb rechtswidrig, weil vor einer Untersagungsverfügung an einen datenschutzrechtlich Verantwortlichen erst ein abgestuftes Verfahren einzuhalten ist, in dem zunächst eine Umgestaltung der Datenverarbeitung angeordnet und ein Zwangsgeld verhängt werden muss. Eine rechtlich grundsätzlich denkbare Ausnahmesituation hiervon lag nicht vor.
Das Oberverwaltungsgericht hat wegen grundsätzlicher Bedeutung die Revision gegen das Urteil (Az.: 4 LB 20/13) zugelassen. Diese kann innerhalb eines Monats nach Zustellung der schriftlichen Urteilsgründe eingelegt werden."

VG Schleswig
Urteile vom 09.10.2013
8 A 37/12
8 A 14/12
8 A 218/11

Das VG Schleswig hat entschieden, dass Betreiber von Facebook-Fanpages nicht für Datenschutzverstöße durch Facebook verantwortlich sind. Das Gericht hob die Verfügungen des ULD auf, worin Betreibern von Facebook-Fanpages aufgegeben worden war, ihre Facebook-Fanpages zu deaktivieren.

Um etwaige datenschutzrechtliche Verstöße durch Nutzung des Gefällt-Mir-Buttons ging es vorliegend nicht.

Die Pressemitteilung des VG Schleswig finden Sie hier:

"VG Schleswig: Betreiber von Facebook-Fanpages nicht für Datenschutzverstöße durch Facebook verantwortlich" vollständig lesen

OLG Hamburg
Urteil vom 27.06.2013
3 U 26/12

Das OLG Hamburg hat entschieden, dass die Erhebung und Verwendung personenbezogener Daten ohne Zustimmung und Belehrung entgegen § 13 Abs. 1 TMG wettbewerbswidrig ist. Das OLG Hamburg kommt letztlich zutreffend zu dem Ergebnis, dass § 13 Abs. 1 TMG eine Marktverhaltensregel im Sinne von § 4 Nr. 11 UWG ist.

Datenschutzverstöße wurden bislang von der Rechtsprechung regelmäßig nicht als abmahnfähiger Wettbewerbsverstoß qualifiziert (siehe z.B. "KG Berlin: Verwendung des Facebook Like-Buttons auf Webseiten ist nicht wettbewerbswidrig - Beschluss vom 29.04.2011, 5 W 88/11").

Verstöße gegen § 13 Abs. 1 TMG oder andere Datenschutzverstöße sind allgegenwärtig. Nachdem sich nun das OLG Hamburg deutlich positioniert hat, muss mit zahlreichen Abmahnungen und rechtlichen Auseinandersetzungen gerechnet werden.

Aus den Entscheidungsgründen:

"Der geltendgemachte Unterlassungsanspruch besteht gemäß §§ 3, 4 Nr. 11, 8 UWG i.V.m. § 13 Abs. 1 TMG, denn die beanstandete Internetseite beinhaltet nicht die nach § 13 Abs. 1 TMG erforderlichen Informationen.

Nach § 13 Abs. 1 TMG hat der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31) in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist.

Bei dieser Norm handelt es sich nach Auffassung des Senats um eine im Sinne des § 4 Nr. 11 UWG das Marktverhalten regelnde Norm (a.A. KG GRUR-RR 2012, 19). Diese Vorschrift setzt u.a. Art. 10 der Datenschutzrichtlinie 95/46/EG um, die nicht nur datenbezogene Grundrechte gewährleisten (Erwägungsgrund 1), sondern auch den grenzüberschreitenden Verkehr personenbezogener Daten auf ein einheitliches Schutzniveau heben soll (Erwägungsgründe 6 und 7), weil ein unterschiedliches Schutzniveau ein Hemmnis für die Ausübung von Wirtschaftstätigkeiten auf Gemeinschaftsebene darstellen und den Wettbewerb verfälschen könne (Erwägungsgrund 7 Satz 2). Die Regelungen der Richtlinie dienen deshalb auch der Beseitigung solcher Hemmnisse, um einen grenzüberschreitenden Fluss personenbezogener Daten kohärent in allen Mitgliedsstaaten und in Übereinstimmung mit dem Ziel des Binnenmarktes zu regeln (Erwägungsgrund 8). Entgegen der Auffassung des Kammergerichts (a.a.O.) handelt es sich deshalb bei dem Verstoß gegen § 13 TMG nicht nur um die Mißachtung einer allein überindividuelle Belange des freien Wettbewerbs regelnden Vorschrift. Denn § 13 TMG soll ausweislich der genannten Erwägungsgründe der Datenschutzrichtlinie jedenfalls auch die wettbewerbliche Entfaltung des Mitbewerbers schützen, indem gleiche Wettbewerbsbedingungen geschaffen werden. Die Vorschrift dient mithin auch dem Schutz der Interessen der Mitbewerber und ist damit eine Regelung i.S. des § 4 Nr. 11 UWG, die dazu bestimmt ist, das Marktverhalten im Interesse der Marktteilnehmer zu regeln (vgl. Köhler in: Köhler/Bornkamm, UWG, 29. Aufl., Rn 11.35c zu § 4 UWG). Angesichts der vorgenannten, der Datenschutzrichtlinie zugrundeliegenden Erwägungen ist darüber hinaus anzunehmen, dass die Aufklärungspflichten auch dem Schutz der Verbraucherinteressen bei der Marktteilnahme, also beim Abschluss von Austauschverträgen über Waren und Dienstleistungen, dienen, indem sie den Verbraucher über die Datenverwendung aufklären und dadurch seine Entscheidungs- und Verhaltensfreiheit beeinflussen (vgl. auch Köhler, a.a.O., Rn. 11.35d)."

Den Volltext der Entscheidung finden Sie hier:

LG Hamburg
Urteil vom 10.01.2013
327 O 438/11

Gewinnspiele von Unternehmen bei Facebook sind weit verbreitet. Im Regelfall ist dabei zur Teilnahme erforderlich, dass die Nutzer den Gefällt-Mir-Button betätigen.

Das LG Hamburg hat nun zutreffend entschieden, dass dieser Teilnahmemodus wettbewerbsrechtlich nicht zu beanstanden ist. Das Gericht vertritt zutreffend die Ansicht, dass diese Konstellation nicht mit dem Kauf von Facebook-Fans oder positiven Bewertungen in Bewertungsportalen zu vergleichen ist.

OLG Karlsruhe
Urteil vom 09.05.2012
6 U 38/11

Das OLG Karlsruhe hat entschieden, dass der Verstoß gegen datenschutzrechtliche Bestimmungen (hier §§ 4, 28 BDSG) ein abmahnfähiger Wettbewerbsverstoß sein kann.

Es war nur eine Frage der Zeit, bis es zu einer solchen Entscheidung kommt. Bislang war die Rechtsprechung insoweit eher zurückhaltend (siehe z.B. KG Berlin
Beschluss vom 29.04.2011, 5 W 88/11, Facebook Like-Button ). Allerdings darf aus dieser Entscheidung des OLG Karlsruhe nicht der Schluss gezogen werden, dass nach Ansicht dieses Gerichts jeder datenschutzrechtliche Verstoß automatisch wettbewerbswidrig ist. Das Gericht nimmt vorliegend einen Wettbewerbsverstoß an, da die betroffenen Vorschriften die Nutzung von Daten für Verkaufsförderung und Werbung regeln.


Aus den Entscheidungsgründen:

"Bei §§ 4 Abs. 1, 28 BDSG handelt es sich um Marktverhaltensregeln im Sinne des § 4 Nr. 11 UWG, weil und soweit sie die Zulässigkeit des Erhebens (§ 3 Abs. 3 BDSG), Verarbeitens (§ 3 Abs. 4 BDSG) und Nutzens (§ 3 Abs. 5 BDSG) personenbezogener Daten (§ 3 Abs. 1 BDSG) für Zwecke der Verkaufsförderung, insbesondere der Werbung, regeln.

§ 4 Nr. 11 UWG erfasst nur solche Vorschriften, die zumindest auch den Schutz der Interessen der Marktteilnehmer bezwecken. Marktteilnehmer sind nach § 2 Abs. 1 Nr. 2 UWG neben Mitbewerbern und Verbrauchern alle Personen, die als Anbieter oder Nachfrager von Waren oder Dienstleistungen tätig sind. Der Zweck, Interessen der Marktteilnehmer zu schützen, muss nicht der einzige und nicht einmal der primäre Zweck der jeweiligen Norm sein (Köhler/Bornkamm a.a.O. § 4 Rn. 11.33)."

Den Volltext der Entscheidung finden Sie hier:

Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis am 08. Dezember 2011)

Der Düsseldorfer Kreis hat einen Beschluss zum Datenschutz in sozialen Netzwerken veröffentlicht. Danach ist die Einbindung von Social-Plugins und das Betreiben von Facebook-Fanpages etc. in der derzeitigen Ausgestaltung mit dem deutschen Datenschutzrecht nicht zu vereinbaren sind.

In dem Beschluss heißt es:
"In Deutschland ansässige Unternehmen, die durch das Einbinden von Social Plugins eines Netzwerkes auf sich aufmerksam machen wollen oder sich mit Fanpages in einem Netzwerk präsentieren, haben eine eigene Verantwortung hinsichtlich der Daten von Nutzerinnen und Nutzern ihres Angebots. Es müssen zuvor Erklärungen eingeholt werden, die eine Verarbeitung von Daten ihrer Nutzerinnen und Nutzer durch den Betreiber des sozialen Netzwerkes rechtfertigen können. Die Erklärungen sind nur dann rechtswirksam, wenn verlässliche Informationen über die dem Netzwerkbetreiber zur Verfügung gestellten Daten und den Zweck der Erhebung der Daten durch den Netzwerkbetreiber gegeben werden können.

Anbieter deutscher Websites, die in der Regel keine Erkenntnisse über die Datenverarbeitungsvorgänge haben können, die beispielsweise durch Social Plugins ausgelöst werden, sind regelmäßig nicht in der Lage, die für eine informierte Zustimmung ihrer Nutzerinnen und Nutzer notwendige Transparenz zu schaffen. Sie laufen Gefahr, selbst Rechtsverstöße zu begehen, wenn der Anbieter eines sozialen Netzwerkes Daten ihrer Nutzerinnen und Nutzer mittels Social Plugin erhebt. Wenn sie die über ein Plugin mögliche Datenverarbeitung nicht überblicken, dürfen sie daher solche Plugins nicht ohne weiteres in das eigene Angebot einbinden"

Anmerkung:
Auch wenn wir die zahlreichen datenschutzrechtlichen Probleme in sozialen Netzwerken nicht verharmlosen wollen und Facebook & Co. allzu offenherzig mit dem Datenschutz umgehen, stellt sich die Frage, ob das Datenschutzrecht dazu dienen soll, technische Innovationen und neue Anwendungen, die von Internetnutzern und Unternehmen vielfach genutzt und gewollt werden, zu blockieren. Zudem ist es sehr bedauerlich und nicht hinnehmbar, dass nach Ansicht der Datenschützer nunmehr die Unternehmen, welche Socialmedia-Plattformen nutzen, die Zeche zahlen sollen.

Die Einhaltung datenschutzrechtlicher Vorgaben ist im Internet auch außerhalb von Social-Media-Plattformen praktisch unmöglich. Es ist dringend erforderlich, dass das deutsche Datenschutzrecht komplett erneuert sowie an neue technische und auch gesellschaftliche Gegebenheiten angepasst wird. Dabei gilt es auch die zum Teil fundamentalistisch anmutenden Positionen von Datenschützern und Datennutzern beiderseits zu überdenken und einen interessengerechten Ausgleich zu finden.

Das wissenschaftliche Dienst des Deutschen Bundestages hat ein Gutachten zu Facebook Fanpages, dem Gefällt-Mir-Button und anderen Social-Plugins veröffentlicht. Es überrascht nicht, dass das Gutachten zu dem Ergebnis kommt, dass die Rechtslage unklar ist.

Am Ende des Gutachtens heißt es :

"Vielmehr ist das geltende Datenschutzrecht von Unsicherheiten geprägt und macht die eindeutige Beantwortung rechtlicher Fragen in diesem Bereich schwer. Eine gerichtliche Beurteilung der untersuchten Sachverhalte steht bislang aus. Die zur Frage der Personenbezogenheit einer IP-Adresse auch in der Rechtsprechung vertretenen verschiedenen Auffassungen machen zudem deutlich, dass selbst im Falle einer richterlichen Entscheidung nicht von einer endgültigen Klärung datenschutzrechtlichen Kontroversen ausgegangen werden kann. Es kann daher keine abschließende Empfehlung hinsichtlich einer Entfernung der durch das ULD als datenschutzrechtlich unzulässig bewerteten Angebote gegeben werden."

Das Gutachten zeigt abermals, dass sich das deutsche Datenschutzrecht in einem katastrophalen Zustand befindet. Leider ist nicht damit zu rechnen, dass der Gesetzgeber in der Lage ist, eine zeitgemäßes, klares und funktionales Regelwerk zu schaffen. Es hilft dabei gar nichts, wenn Datenschützer wie das Unabhängige Landeszentrum für Datenschutz (ULD) Schleswig-Holstein mit markigen Worten und Ordnungsgeldern drohen. Es wird Zeit, dass das deutsche Datenschutzrecht und auch zahlreiche Datenschützer das Steinzeitalter hinter sich lassen.