Anwaltskanzlei Ferner Alsdorf

Nachdem nun die Runde gemacht hat, dass es zu ersten Abmahnungen wegen der Verwendung eines Facebook-Like-Buttons gekommen ist, häufen sich Beiträge zum Thema. Dabei fällt mir im Gesamtbild ein ziemliches Chaos in der inhaltlichen Darstellung auf, das die verunsicherten Webmaster sicherlich eher weiter verunsichert als ihnen hilft. Vor allem die fehlende Differenzierung bei den Angriffspunkten dürfte die Sache komplizierter machen, als sie ist.

Zuerst einmal ist festzuhalten, dass die Kombination der Worte “Abmahnung wegen Facebook-Button” falsches suggerieren. Wenn man einen Facebook- Button einbindet, bietet dies mindestens zwei denkbare Angriffspunkte, die beide abmahnfähig sind. Beide können unter unterschiedlichen Aspekten abgemahnt werden. Aber auch nur dann, wenn man definiert, was unter “einbinden” zu verstehen ist. Soweit, so unklar. Nun der Reihe nach.

Einbinden des Facebook-Buttons
Man kann einen “Like-Buton” auf verschiedene Weise einbinden. Relevant ist datenschutzrechtlich nur der Einbau, bei dem Daten an Dritte – speziell an Facebook – übermittelt werden. Das ist jedenfalls immer dann der Fall, wenn man auf seiner Webseite ein Element verwendet, das eigentlich auf den Facebook-Servern liegt und von dort bei jedem Seitenaufruf “geholt” wird.

Beispiel: Wenn ich ein Bild einbaue mittels img-Tag, das auf dem Facebook-Server liegt, dann sieht das der Webseiten-Besucher meiner Seite (Client) bei jedem Seitenaufruf. Im Hintergrund aber ruft er zwar meine Seite auf, sein Browser holt sich das Bild dann aber vom Facebook-Server. Bei diesem Zugriff wird die IP des Besuchers an Facebook übertragen. Ob Facebook die IP überhaupt speichert, spielt keine Rolle: Es ist eine Übertragung. Wenn man die technischen Details betrachtet, veranlasst das img-Tag in meiner Webseite nur die Übertragung, sie läuft weder über mich (ich erhebe nicht selber), noch bin ich mit meiner Webseite sonst unmittelbar betroffen. Das ist ein bisher nicht diskutierter Ansatz, um das Problem zu lösen, da genaugenommen ja keine eigene Datenverarbeitung vorliegt, sondern nur eine Veranlssung des Tätigwerdens des Browsers des Nutzers. Technisch ist das nichts anderes als ein üblicher Link, nur dass er eben quasi “automatisch” vom Browser “angeklickt” wird.
Dass das nicht im Detail diskutiert wird ist schade und m.E. auf das technische Unverständnis vieler Juristen (in der Rechtsprechung) zurückzuführen, spielt hier in der Betrachtung aber keine Rolle – erst einmal muss man (zur Zeit) hinnehmen, dass hier eine datenschutzrechtlich relevante Verarbeitung gesehen wird.

Wer das versteht, hat das Problem schon halb im Griff: Wenn ich mit nur lokalen Daten arbeite (Ein Bild liegt auf meinem Server und ist als Link mit meiner Facebok-Seite verbunden), liegt keine datenschutzrechtliche Relevanz vor. Wenn ich einen iFrame von Facebook verwende (übliches Verfahren beim Like-Button) schon. Wenn im Folgenden vom Einbinden des Buttons gesprochen ist, ist insofern das einbinden mit datenschutzrechtlicher Relevanz gemeint.

Was wird abgemahnt?
Es gibt beim Einbinden des Facebook-Buttons mit datenschutzrechtlicher Relevanz nun zwei Einstiegspunkte um abzumahnen:

1. Wenn man sich auf den Standpunkt stellt, dass eine IP-Adresse ein personenbezogenes Datum ist und die veranlasste Übertragung durch den Browser des Seitenbesuchers eine Verarbeitung im Sinne des BDSG und TMG darstellt, benötigt man eine Rechtsgrundlage für diese Verarbeitung. Eine gesetzliche ist nicht zu erkennen, bisherige Ansätze sind bestenfalls hoch umstritten. Man benötigt also die Einwilligung des Nutzers, was aber bisher faktisch keine Webseite machte (wie das aussehen kann, sieht man hier, wenn man nach unten unter den Artikel sieht). Damit liegt eine unerlaubte Verarbeitung personenbezogener Daten vor. Und hier noch einmal kurz: Ja, das liegt bei allen externen Inhalten dann vor. Vom Facebook-Like-Button über Youtube-Videos bis hin zu Google-Analytics.
2. Daneben (!) wird sich die Frage stellen, ob die Datenschutzerklärung hinreichend ausformuliert ist. Das wäre ein eigener Verstoss gegen die Regelungen des TMG, die bei Datenverarbeitung eine entsprechende Belehrung vorsehen.

Angriffspunkt 1 ist hoch riskant für beide Seiten: Alleine die Frage des Personenbezugs ist in der Rechtsprechung ein unkalkulierbares Risiko. Wer sich hier auf eine Klage bzw. einstweilige Verfügung einlässt, kann nicht wissen, was am Ende herauskommt. Sowohl Abmahner als auch Abgemahnter stehen hier vor einem schwarzen Loch. Dass jemand deswegen abmahnt ist keineswegs von der Hand zu weisen, aber letztlich ein derart hohes (Kosten-)Risiko, dass es kein Wunder ist, dass Abmahnungen in diesem Bereich bisher nicht aufgetreten sind. Hinzu kommt die Frage, ob ein technisch versierter Rechtsanwalt einen Richter umstimmen kann, überhaupt eine Verarbeitung zu erkennen und das Problem, dass man als Abmahner  – wenn nicht gerade ein IFrame verwendet wird – einen hohen Aufwand betreiben muss, um sicherzustellen, dass wirklich eine Technik zum Einsatz kommt, die überhaupt diskussionswürdig eine Verarbeitung sein kann.

Angriffspunkt 2 dagegen ist eher einfach: Die Datenschutzerlärung ist einfach einzusehen, wenn sie überhaupt vorhanden ist. Man muss sie nur durchsehen und kann dann entscheiden, ob sie ausreicht oder nicht. Und da die meisten Webmaster & Shop-Betreiber hier auch gar nicht drüber nachdenken, findet man gleich eine Fülle von potentiellen Gegnern.

Im Ergebnis wird m.E. eine Abmahnung wegen einer fehlerhaften bzw. unzureichenden Datenschutzbelehrung der Grund für die aktuellen “Facebook-Abmahnungen” sein und sicherlich nur der Anfang: In den nächsten Monaten rechne ich mit einer Welle in dem Bereich, da sich hier gutes Geld verdienen lässt. Wenn man nun eine ordentliche Datenschutzbelehrung erstellt (das mag im Detail so kompliziert sein, wie eine abmahnsichere Widerrufsbelehrung), dürfte man Angriffspunkt 2 ausschalten – aber eben nicht Angriffspunkt 1. Wer das möchte, muss auf fremde Inhalte auf fremden Servern ganz verzichten – oder sich eben mit dem Gedanken trösten, dass das Risiko so hoch ist, dass hier noch nicht mit Abmahnungen zu rechnen ist. Jedoch ein Wort der Warnung: Im Zusammenhang mit Facebook eine ordentliche Datenschutzerklärung zu erstellen, ist recht schwer, da man gar nicht genau weiss, was da überhaupt verarbeitet wird.

Wer wird abgemahnt?

Alle fragen sich nun natürlich: Betrifft das nur gewerbliche Seitenbetreiber? Antwort wie immer: Kommt drauf an. Nämlich auf den Angriffspunkt (siehe oben). Wenn man auf den Angriffspunkt 1 blickt, wird man eine Persönlichkeitsrechtsverletzung annehmen können, die durch jeden Betroffenen gegen jeden Webseitenbetreiber ausgesprochen werden kann, gleich ob “privat” oder “gewerblich”. Eine fehlende/fehlerhafte Datenschutzerklärung ist dagegen erst einmal nur ein Ordnungsverstoss, kann also mit einem Bussgeld geahndet werden.

Bei privaten Webseiten sehe ich zur Zeit keinen Ansatzpunkt, um wegen einer fehlerhaften Datenschutzbelehrung zusätzlich auch noch abzumahnen. Gewerblich betriebene Webseiten dagegen dürften problemlos einen Wettbewerbsvorteil angekreidet bekommen, wenn sie unter Missachtung der klaren TMG-Vorgaben betrieben werden – eine wettbewerbsrechtliche Abmahnung ist hier m.E. durchaus möglich und auch zu erwarten. Zwar gibt es Diskussionen, ob ein Verstoss gegen das TMG wettbewerbsrechtlich wirklich abmahnfähig ist, ich sehe aber – wie so viele andere – hier eine eher theoretische Diskussion ohne grössere Praxisrelevanz.

Die Rechtsprechung bietet hier ein eher diffuses Bild: Das LG Berlin (103 O 104/08) sah durchaus einen abmahnfähigen Verstoss nach Wettbewerbsrecht, wenn gegen Datenschutzregelungen verstossen wird. Allerdings ging es in dieser Entscheidung um die Veröffentlichung von Schriftverkehr zwischen zwei Unternehmern, wobei das LG Berlin einen Verstoss im Rahmen des Wettbewerbs gesehen hat, da ein Wettbewerber hier den anderen zielgerichtet verunglimpfen sollte.

In einer aktuellen Entscheidung des LG Berlin (91 O 25/11 vom März 2011 – bestätigt vom KG in Berlin, 5 W 88/11) ging es dagegen um eine fehlerhafte Datenschutzbelehrung bei der Nutzung eines Facebook-Buttons – hier sahen das LG und KG in Berlin keinen Bezug zum Wettbewerb und verneinten eine Abmahnfähigkeit des Verstosses nach Wettbewerbsrecht. Ob diese Rechtsprechung sich durchsetzen wird, muss sich aber noch zeigen.

Fazit: Ich hoffe, ich habe gezeigt, dass bei dem Thema “Facebook-Abmahnungen” am Ende verschiedene Ansatzpunkte mit teilweise erheblichen Unsicherheiten bestehen. Letztlich gilt, was ich bereits seit Jahren predige: Wer Inhalte vom fremden Servern auf seiner Webseite verwendet, sieht sich eines nicht zu benennenden Abmahnungsrisikos ausgesetzt. Jedenfalls bei privaten Webseiten finde ich dieses Risiko durchaus überschaubar, während bei gewerblichen Webseiten in der Summe der Faktoren die Abmahnung für den Abmahner durchaus lohnenswert ist. Man sollte als Seitenbetreiber, wenn man vorbeugen möchte, entsprechende Inhalte nur mit Einwilligung der Nutzer anzeigen und seine Datenschutzerklärung anpassen (lassen). Wer ganz auf Nummer Sicher gehen möchte, der verzichtet auf externe Inhalte vollständig.

Zum Thema:

• Ich arbeite an einer datenschutzkonformen Lösung für WordPress
• Ein wenig Sicherheit bei Facebook: Rechte setzen
• Sind IP-Adressen personenbezogen?
• Eine Datenschutzerklärung ist nicht zwingend
• Piwik statt Google Analytics einsetzen
• Webseiten-Analyse: So werden Sie nicht erfasst
• Sicheres Surfen mit dem Firefox
  

Ähnliche Artikel

• Abmahnung: Neues zum Facebook-Like-Button
• Aktuelle Trusted-Shops Studie: Abmahnungen von Online-Shops
• Bundesgerichtshof zur Werbung mit Garantien beim Verbrauchsgüterkauf
• Vorsicht beim Ausschluss der Gewährleistung
• OLG Hamm zur Angabe von Versandkosten
• Abmahnung: Fremde Produktfotos bei ebay
• Nur regelmäßige Versandkosten bei Rücksendung nach Widerruf
• Abmahngefahr Widerrufsbelehrung – Heute: “Nur für Verbraucher”
• Abmahnungen wegen übersehener Kennzeichnungspflichten (EnVKV, KosmetikV etc.)
• Die Europäisierung der Abmahnung