Webshoprecht.de
Landgericht Düsseldorf Urteil vom 09.03.2016 - 12 O 151/15 - Like-Button von Facebook verletzt geltendes Datenschutzrecht
LG Düsseldorf v. 09.03.2016: Like-Button von Facebook verletzt geltendes Datenschutzrecht
Das Landgericht Düsseldorf (Urteil vom 09.03.2016 - 12 O 151/15) hat entschieden:
- Personenbezogene Daten dürfen zur Bereitstellung von Telemedien nur erhoben und verwendet werden, sofern das TMG oder eine andere telemedienrechtliche Vorschrift dies erlauben oder der Nutzer eingewilligt hat.
- Eine elektronische Einwilligung ist zulässig, sofern sie die Voraussetzungen des § 13 Abs. 2 TMG erfüllt. Danach ist u.a. sicherzustellen, dass der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat. Dies setzt eine aktive Handlung des Nutzers, wie etwa das Setzen des Häkchens in einer Checkbox, voraus. Die Einwilligung muss der Datenverarbeitung vorangehen und darf nicht erst nachträglich eingeholt werden. Die Einwilligung wiederum verlangt, dass der Nutzer über die Weitergabe seiner Daten vorher unterrichtet wird.
- Die Nutzung des Facebook-Plugins „Gefällt mir“ auf der Webseite eines Onlinehändlers, ohne dass dieser die Nutzer der Internetseite vor der Übermittlung deren IP-Adresse und Browserstring an Facebook über diesen Umstand aufklärt und ggf. die aktive Einwilligung des Nutzers vor der Datenverarbeitung einholt, ist unlauter im Sinne des § 3a UWG i.V.m. § 13 TMG.
- Die IP-Adresse ist personenbezogen. Nutzer von Webseiten, die bei deren Aufruf auf Facebook eingeloggt sind, können mittels der IP-Adresse direkt ihrem Facebook-Konto zugeordnet werden, so dass für diese Gruppe ein Personenbezug gegeben ist. Auch bei Facebook-Nutzern, die sich zwar ausloggen, jedoch nicht ihre Cookies löschen, kann mittels gesetzter Cookies eine Zuordnung erfolgen.
Siehe auch Facebook und Stichwörter zum Thema Datenschutz
Tatbestand:
Der Kläger verlangt von der Beklagten Unterlassung der Integration eines Plugins des Anbieters des sozialen Netzwerks Facebook auf deren Internetseite.
Der Kläger ist ein Verbraucherverband. Zu den satzungsgemäßen Aufgaben des eingetragenen Vereins gehört Interessenvertretung für Verbraucher durch Aufklärung und Beratung. Nach seiner Satzung soll der Kläger Rechte der Verbraucher wahrnehmen und Verstöße gegen das Wettbewerbsrecht, das AGB-Recht und andere dem Schutz des Verbrauchers dienende gesetzliche Bestimmungen auch durch Einleitung gerichtlicher Maßnahmen verfolgen. In die Liste qualifizierter Einrichtungen gemäß § 4 UKlaG beim Bundesamt für Justiz ist der Kläger eingetragen.
Die Beklagte betreibt einen Onlineshop für Bekleidung verschiedener Hersteller des Unternehmens Peek & Cloppenburg KG Düsseldorf. Sie bietet auf ihrer Internetseite die Möglichkeit für Verbraucher, Bekleidung zu bestellen und diese sowohl an eine Privatadresse als auch an eine Adresse eines Verkaufshauses der Peek & Cloppenburg KG Düsseldorf liefern zu lassen.
Der Streit der Parteien betrifft die Einbindung des sog. „Like-Buttons“, eines Plugins von Facebook, auf der Internetseite der Beklagten. Auf der Internetseite der Beklagten (www.fashionid.de) befand sich bis zur Abmahnung durch die Klägerin und ohne, dass ein schriftlicher Vertrag zwischen der Beklagten und einer Facebook-Gesellschaft besteht, auf der Startseite am unteren rechten Rand ein Kasten, der auf den Auftritt der Beklagten in dem sozialen Netzwerk Facebook hinweist (sog. „Like-Button“). In diesen Kasten war die Funktion „Gefällt mir“ integriert. Hierdurch bestand die Möglichkeit, direkt auf der Seite der Beklagten die Facebook-Funktion „Gefällt mir“ durch Anklicken des entsprechenden Buttons zu nutzen. Unterhalb des Buttons fanden Nutzer der Beklagtenwebseite die Angabe vor, wie viele Facebook-Nutzer den Button bereits betätigt hatten. Waren die Facebook-Nutzer in ihr Profil eingeloggt, so wurden weiterhin verschiedene Profilbilder von Facebook-Nutzern abgebildet, die die Funktion „Gefällt mir“ bezüglich des Auftritts der Beklagten bereits genutzt hatten.
Für die Button-Funktionalität stellte das soziale Netzwerk Facebook der Beklagten einen Programmcode zur Verfügung, den diese in die HTML-Programmierung ihrer Webseite mittels eines sog. Iframes (=Inline-Frames) einband (sog. „Plugin“). Die Einbettung eines Plugins hat zur Folge, dass bei jedem Aufruf der Internetseite mit Plugin automatisch Daten an den Anbieter des Plugins übertragen werden. Der technische Ablauf beim Aufruf der Beklagtenseite ist wie folgt: Der Browser des Internetnutzers, der die Webseite aufruft, sendet eine Anfrage an die IP-Adresse des Webservers, auf dem die Beklagtenseite gehostet wird, an die eigene IP-Adresse den HTML-Code der Seite zu senden. Der Webserver der Beklagten sendet dann den HTML-Code der Internetseite an die IP-Adresse des Nutzers, dessen Browser die HTML-Daten interpretiert. Hierbei identifiziert der Browser anhand des HTML-Codes der Beklagten auch die zusätzlich zu ladenden Ressourcen, einschließlich des eingebundenen Facebook-Plugins. Wie durch den HTML-Code vorgegeben, fragt er bei der in den Code eingebundenen Adresse, dem Server von Facebook, unter Mitteilung u.a. der eigenen IP-Adresse und des sog. Browserstrings, einer Angabe über den benutzen Browser, um Übermittlung der Ressource, also der Button-Darstellung und der Funktionalität, an die IP-Adresse des Browsers. Die erhaltenen Daten werden dann an der durch den HTML-Code vorgegebenen Stelle in der Bildschirmwiedergabe der Internetseite der Beklagten dargestellt. Dieser Vorgang bedeutet, dass Facebook bereits mit Aufruf der Seite der Beklagten und unabhängig davon, ob die Funktion „Gefällt mir“ durch Anklicken genutzt wird, eine Mitteilung über den Seitenaufruf und bestimmte Informationen über die Abfrage erhält. So werden in jedem Fall eines Aufrufs der Seite der Beklagten bestimmte Grunddaten an Facebook übermittelt, jedenfalls die IP-Adresse, unter der der Nutzer „online“ ist, und der String des genutzten Browsers. Bei diesen Daten handelt es sich um die gleichen Daten, die bei Aufruf einer Webseite an den Server, auf dem die Internetseite gehostet ist, übermittelt werden. Die Übermittlung an Facebook erfolgt aber nicht über den Server des Internetseitenanbieters, sondern auf Grundlage des HTML-Codes direkt von dem Nutzercomputer an Facebook. Unstreitig erhält Facebook bei dieser Datenübermittlung auch eine Information über die besuchte Webseite, hier also jene der Beklagten, eine eindeutige ID dieser Webseite sowie im Einzelnen durch die Parteien nicht dargelegte Daten des Computersystems, über das der Internetnutzer die Seite der Beklagten aufruft.
Bei der IP-Adresse, die an Facebook übermittelt wird, handelt es sich in aller Regel um eine sog. dynamische IP-Adresse, die der Provider einem Gerät seines Endnutzers für den Zeitraum einer bestimmten Internetnutzung zur Verfügung stellt. Nur dem Telekommunikationsanbieter des Nutzers ist es möglich, Auskunft darüber zu erteilen, welchem Anschlussnehmer eine IP-Adresse zu einem bestimmten Zeitpunkt zugeordnet war. Der Plugin-Anbieter oder sonstige Dritte konnten bzw. können die Zuordnung nicht durch eine allgemein zugängliche Quelle erfahren, es sei denn, sie beantragten die Herausgabe unter besonderen gesetzlichen Voraussetzungen bei Gericht. Der Browserstring ermöglicht ebenfalls keine unmittelbare Identifizierung des Nutzers, sondern es handelt es sich um eine Kennung, mit der der benutzte Internetbrowser gegenüber dem Seitenanbieter sein Fabrikat angibt, damit die angeforderte Webseite in einem mit dem Browser kompatiblen Format übermittelt und angezeigt werden kann. Facebook erhält so jedoch die Möglichkeit, die dort bereits vorhandenen Daten ihrer Nutzer in einer von den Parteien nicht genau geschilderten Weise mit den so gewonnenen IP-Daten zum Abgleich zu bringen.
Im sogenannten „Web 2.0“, also einer stärker auf Interaktivität ausgelegten Internetumgebung, werden Drittinhalte häufig mittels eines sogenannten „source-Attributs (.src)“ eingebunden, so dass es zur Übergabe von IP-Adressen und weiterer technischer Informationen an andere, als den Seitenanbieter kommt. Das Verfahren vermeidet die Potenzierung von Datenbeständen und erleichtert, eingebundene Inhalte ohne weiteres Zutun des Seitenbetreibers stets in der aktuellen Fassung anzuzeigen. Die Einbettung von Fremdinhalten in der geschilderten Weise greift nach der höchstrichterlichen Rechtsprechung in aller Regel weder in das Vervielfältigungsrecht, noch in das Recht auf öffentliche Zugänglichmachung hinsichtlich eingebundener Werkwiedergaben ein.
Im Streitfall wurden die nutzerbezogenen Daten von Facebook u.a. dafür benutzt, Inhalte, die über das Plugin ausgeliefert wurden, für den jeweiligen Nutzer zu personalisieren. Hatten bereits Facebook-Freunde des Webseiten-Besuchers die „Gefällt mir“ für die jeweilige Webseite bzw. die Webseite der Beklagten benutzt, so wurden Profilbilder dieser Freunde durch Facebook bevorzugt unter dem Button angezeigt. War ein Nutzer bei Facebook registriert und während des Besuchs der Internetseite der Beklagten bei Facebook eingeloggt, konnte er die Funktion „Gefällt mir“ nutzen. Konnte hingegen Facebook den Internetnutzer nicht identifizieren, wurde nur abstrakt angezeigt, wie vielen Personen die Internetseite gefiel. War der Nutzer nicht identifiziert oder auch nur nicht bei Facebook angemeldet, öffnet sich bei einem Klick auf den Button zunächst eine Seite, auf der sich der Internetnutzer bei Facebook registrieren oder anmelden kann. Wegen der weiteren Einzelheiten der Gestaltung der Internetseite der Beklagten vgl. die Screenshots in Anl. K1 (Bl. 18 ff. GA).
Die Beklagte hielt und hält auf ihrer Internetseite eine von jeder Unterseite mittels eines Klicks auf den am unteren Seitenrand befindlichen Link „Datenschutzerklärung“ erreichbare Datenschutzerklärung bereit. In dieser informiert sie Besucher über Art und Umfang der Erhebung und Nutzung personenbezogener Daten während des Bestellprozesses und der sonstigen Nutzung. Unter der Ziff. VI.3. der Datenschutzerklärung gibt die Beklagte Hinweise zur Nutzung sog. Social Plugins. Die Beklagte weist die Internetnutzer darauf hin, dass es, um die Speicherung ihrer Daten und eine Verknüpfung mit den in dem sozialen Netzwerk gespeicherten Informationen zu verhindern, ratsam sei, sich zuvor aus dem entsprechenden sozialen Netzwerk auszuloggen. Auch sei es möglich, die Funktion der Plugins der sozialen Netzwerke mit sog. Add-Ons für den Browser zu blockieren, beispielsweise durch Benutzung eines so genannten „Facebook-Blockers“. In der Datenschutzerklärung ist auch ein Link auf die Datenschutzerklärung der als Betreiberin des Plugins bezeichneten Facebook Inc. enthalten, die eine Information über die dort stattfindenden Datenerhebungs- und Verarbeitungsvorgänge enthält. Wegen des Wortlauts der verwendeten Klausel wird auf die Klageschrift, dort Seite 6, Bezug genommen.
Mit Schreiben vom 01.04.2015 mahnte der Kläger die Beklagte unter Hinweis darauf ab, die Integration der Funktion „Gefällt mir“ verstoße gegen Wettbewerbs- und Telemedienrecht, und forderte sie erfolglos zur Abgabe einer strafbewehrten Unterlassungserklärung auf. Die Beklagte änderte daraufhin die Einbindung des Buttons ab. Auf der Seite ist der Button nunmehr nur noch in einer sog. „2-Klick-Lösung“ eingebunden, wie sie sich auch auf anderen Internetseiten findet. Zunächst erscheint auf der Seite ein Symbol, das der Nutzer anklicken kann, um die Verknüpfung zu dem sozialen Netzwerk zu aktivieren. Klickt der Nutzer auf das Symbol, werden ihm Hinweise angezeigt, die dieser einmalig oder dauerhaft bestätigen kann. Erst nach der Bestätigung wird das Social Plugin aufgerufen und eine Informationsübertragung zu dem sozialen Netzwerk aufgebaut.
Der Kläger ist der Auffassung, die Integration der „Gefällt mir“-Funktion im Zusammenhang mit der verwendeten Datenschutzinformation stelle eine unerlaubte geschäftliche Handlung dar und sei nach § 4 Nr. 11 UWG i.V.m. §§ 12, 13 TMG sowie § 5 Abs. 1 UWG wettbewerbswidrig. Es handele sich bei den §§ 12, 13 TMG um Marktverhaltensregeln und die Nutzung des „Gefällt mir“-Buttons sei im Sinne des § 3 UWG spürbar. Der „Gefällt-mir“-Button werde allein zu Werbezwecken eingebunden, da, was unstreitig ist, häufige Klicks auf den „Gefällt mir“-Button zu einer besseren Platzierung von Werbung und zu dem vermehrten Erhalt personalisierter Werbung der Beklagten bei Facebook führe. Die Übermittlung der IP-Adresse, die im Falle früheren Einloggens bei Facebook für Facebook die Erkennung von Nutzern auch ohne Anklicken des Buttons ermögliche, sei ohne datenschutzrechtliche Einwilligung unzulässig. Eine Datenschutzerklärung, die nicht wie der Button selbst direkt bei Aufruf der Seite erfolge, entspreche nicht den telemedienrechtlichen Vorgaben, da sie nicht vorherig erfolge. Auch kläre die Belehrung unvollständig über die Arbeitsweise und Datenverwendung des Plugins auf. Die Pflicht zur Information treffe die Beklagte selbst, sie sei wegen der Möglichkeit zum Einwirken auf den Verarbeitungsvorgang durch Entfernen des Buttons verantwortlich, und eine Bezugnahme auf Datenschutzrichtlinien von Facebook sei nicht ausreichend. Die Information, durch welche Maßnahmen eine Verarbeitung personenbezogener Daten zu verhindern sei, sei unzutreffend, da für eine Datenweitergabe bei vorheriger Abspeicherung von Cookies das empfohlene Ausloggen aus dem sozialen Netzwerk nicht genüge. Diese Auffassung werde von allen Aufsichtsbehörden geteilt. Es liege eine Täuschung über Risiken der Dienstleistung gemäß § 5 Abs. 1 S. 2 Nr. 1 UWG, nämlich das Risiko einer Persönlichkeitsrechtsverletzung, und eine Irreführung nach § 5 Abs. 1 S. 2 Nr. 7 UWG vor.
Der Kläger meint, bei der Einbindung des Plugins handele es sich um die Erhebung und Verarbeitung personenbezogener Daten, die auch nicht erforderlich für die Inanspruchnahme des Telemediums der Beklagten sei. Allgemein führten die Abläufe zu einer Webanalyse, die das Verhalten eines Nutzers zu Benutzungsprofilen zusammenführen könne und eine personenbezogen konkretisierte Werbung ermögliche. Facebook werte IP-Adressen seiner Nutzer aus und könne bei Erhalt der IP-Adressen von Nutzern der Beklagtenseite ohne Aufwand einen Abgleich vornehmen. Die Beklagte bestreitet die technische Möglichkeit und die Vornahme von Abgleichen durch Facebook mit Nichtwissen. Nutzer, die die Beklagtenseite besuchten und bei Facebook eingeloggt seien, würden direkt ihrem Facebook-Konto zugeordnet. Facebook-Benutzer, die sich vor dem Seitenbesuch ausgeloggt hätten oder bereits einige Zeit nicht eingeloggt seien, würden dann zugeordnet, wenn sie nicht auch von Facebook verwendete Cookies gelöscht hätten. Facebook nutze insoweit sowohl Session-Cookies, die direkt nach der Beendigung einer Browsersitzung gelöscht werden, als auch permanente Cookies, die eine definierte Gültigkeit von mehreren Monaten oder Jahren hätten. Bei Nutzern ohne Facebook-Account werde dann, wenn die Internetseite mit dem Button aufgerufen werde, ein dauerhaftes Cookie gesetzt, so dass der Personenbezug später noch durch die Erstellung eines Facebook-Accounts hergestellt werden könne; letzteres bestreitet die Beklagte mit Nichtwissen. Auch die unstreitig ermittelten IP-Adressen seien personenbezogen. Wegen mangelnden Unrechtsbewusstseins auf Beklagtenseite, der unstreitig nicht erfolgten Abgabe einer Unterlassungserklärung und wegen des Einsatzes der mit dem „Gefällt-mir“-Button verbundenen Werbung bestehe Wiederholungsgefahr.
Der Kläger beantragt,
die Beklagte zu verurteilen, es bei Meidung eines für jeden Fall der Zuwiderhandlung vom Gericht festzusetzenden Ordnungsgelds bis zu 250.000,00 EUR, ersatzweise Ordnungshaft, oder Ordnungshaft bis zu sechs Monaten, wobei die Ordnungshaft an einem ihrer Geschäftsführer zu vollziehen ist und insgesamt zwei Jahre nicht übersteigen darf, geschäftlich handelnd gegenüber Verbrauchern zu unterlassen,
im Internet auf der Seite www.fashionid.de das Social Plugin „Gefällt mir“ von Facebook (Facebook Inc. bzw. Facebook Ltd.) zu integrieren,
- ohne die Nutzer der Internetseite bis zu dem Zeitpunkt, in dem der Anbieter des Plugins beginnt, Zugriff auf die IP-Adresse und den Browserstring des Nutzers zu nehmen, ausdrücklich und unübersehbar die Nutzer der Internetseite über den Zweck der Erhebung und der Verwendung der so übermittelten Daten aufzuklären,
und/oder
- ohne die Einwilligung der Nutzer der Internetseite zu dem Zugriff auf die IP-Adresse und den Browserstring durch den Plugin-Anbieter und zu der Datenverwendung einzuholen, jeweils bevor der Zugriff erfolgt,
und/oder
- ohne die Nutzer, die ihre Einwilligung im Sinne des Klageantrags zu 2 erteilt haben über deren jederzeitige Widerruflichkeit mit Wirkung für die Zukunft zu informieren,
und/oder
- zu behaupten
„Wenn Sie Nutzer eines sozialen Netzwerks sind und nicht möchten, dass das soziale Netzwerk über unseren Internetauftritt Daten über Sie sammelt und mit Ihren bei dem sozialen Netzwerk gespeicherten Nutzerdaten verknüpft, müssen Sie sich vor dem Besuch unseres Internetauftritts bei dem sozialen Netzwerk ausloggen.“
Die Beklagte beantragt,
die Klage abzuweisen.
Sie hält die Klageanträge für unbestimmt. Die Klageanträge beschränkten sich trotz fehlender Eindeutigkeit auf Wiedergabe des Gesetzeswortlauts und deren Verknüpfung sei unklar. Der „Gefällt mir“-Button werde nicht von der Facebook J Ltd. mit Sitz in E angeboten. Soweit sich der Kläger auf § 5 Abs. 1 S. 2 Nr. 1 und Nr. 7 UWG ohne Klarstellung des Rangverhältnisses berufe, folge hieraus eine unzulässige alternative Klagehäufung.
In der Sache vertritt die Beklagte die Auffassung, bei den §§ 12, 13 TMG handele es sich nicht um Marktverhaltensnormen, sondern um reines Datenschutzrecht. Die sich aus § 13 TMG ergebenden Belehrungspflichten beträfen eine einem Marktverhalten vorgelagerte Datenerhebung bzw. -verwendung. Bezweckt sei insoweit allein der Schutz des Grundrechts auf informationelle Selbstbestimmung. Nicht die Einbindung oder das Klicken auf den Gefällt-mir-Buttons führe zum Erscheinen einer Werbeanzeige bei Facebook, erforderlich sei vielmehr – was unstreitig ist –, dass zunächst eine Werbeanzeige beauftragt werde. Der konkrete Einsatzzweck des Buttons sei für die Bestimmung des Zwecks der Rechtsnormen unmaßgeblich. Der Datenschutz sei staatliche Aufgabe, der eine zusätzliche Kontrolle durch Verbraucherschutzverbände als Ersatzdatenschützer nicht gesetzlich intendiert. Die Zubilligung eines Unterlassungsanspruchs zugunsten eines Verbraucherverbandes wegen einer behaupteten Verletzung von Datenschutzrecht verletze zudem europäisches Recht.
Nach Meinung der Beklagten handelt es sich bei einer IP-Adresse und bei Browserstrings nicht um personenbezogene, sondern um technische Daten. Diese würden nicht von ihr erhoben, da sie keinen Besitz an den Informationen erlange. Die Übermittlung von IP und Browserstring erfolge, was unstreitig ist, unmittelbar an Facebook. Weder verwende, noch verarbeite sie selbst Daten, die bei ihr gespeichert oder durch Datenverarbeitung gewonnen würden. Es handele sich bei ihr nicht um die verantwortliche Stelle im datenschutzrechtlichen Sinne, da sie keine Daten für sich selbst erhebe oder erheben lasse. Auch liege keine Verletzung wettbewerbsrechtlicher Sorgfaltspflichten vor. Die irische Facebook-Gesellschaft J handele, bestätigt durch die dort zuständige Datenschutzbehörde, in Übereinstimmung mit dem nach dem maßgeblichen Herkunftslandprinzip anwendbaren irischen Datenschutzrecht. Die Beklagte meint, sie habe die Nutzer rechtzeitig, nämlich bei Beginn der Nutzung, über die Datenverwendung durch Facebook informiert. Eine Pflicht, über Umfang und Art der Weiterverwendung von Daten bei Facebook zu informieren treffe sie nicht. Insoweit sei Facebook zu Belehrungen gesetzlich verpflichtet. Ohnehin handele es sich bei der von der Klägerin beschriebenen Zusammenführung bestimmter Informationen in personenbezogener Weise um eine bloße Möglichkeit und ein hypothetisches Szenario. Ihr selbst sei ohnehin nach § 15 TMG die Erhebung personenbezogener Daten der Webseitenbesucher gestattet, da die Einbindung von Drittinhalten integraler Bestandteil der Funktionsfähigkeit des Internet, speziell des Web 2.0 und der gängigen Standards HTML, HTTP sei. Ein Verbot der Integration verstoße letztlich gegen die Meinungsfreiheit. Die Beklagte behauptet, ein sich im Internet bewegender Nutzer rechne regelmäßig damit, dass die Einbindung von Drittinhalten die Weitergabe von technischen Informationen an den Drittanbieter impliziere, dieses Bewusstsein habe er schon vor Aufruf einer Seite. Die Mitglieder von Facebook hätten der Datenverwendungsrichtlinie von Facebook zugestimmt und billigten die Datenerhebung und -verwendung, einschließlich der Datenübertragungsvorgänge. Erst recht gelte dies für die Nutzer, die den „Gefällt mir“-Button auch verwendeten. Eine Irreführung liege nicht vor, da die gegebenen Informationen zutreffend seien, auch seien keine lauterkeitsrechtlich relevanten Umstände betroffen. Ein etwaiger Verstoß gegen § 4 Nr. 11 UWG sei nicht spürbar und etwaig vorenthaltene Informationen hätten keinen Bezug zu einer etwaigen Kaufentscheidung des Verbrauchers.
Spätestens durch die unstreitige Umgestaltung der Internetseite nach der sog. „2-Klick-Lösung“ sei die Wiederholungsgefahr entfallen. Zum Zeitpunkt der Verwendung sei die Einbindung des Like-Buttons nach der instanzgerichtlichen Rechtsprechung und herrschenden Literaturmeinung zulässig gewesen. Die Beklagte hält das Vorgehen des Klägers für missbräuchlich, da dieser selbst auf seiner Seite Z-Videos, einen Stadtplans und ein Plugin eines Datenhändlers vorhalte, sich nicht an Belehrungspflichten halte und die Erhebung von IP-Adressen durch den US-amerikanischen Konzern und Suchmaschinenbetreiber H ermögliche.
Wegen der weiteren Einzelheiten des Sach- und Streitstands wird auf die gewechselten Schriftsätze nebst Anlagen sowie das Protokoll der mündlichen Verhandlung vom 24.02.2016 verwiesen.
Entscheidungsgründe:
Die Klage ist zulässig und in den Anträgen zu 1.-3. begründet. Der Antrag zu 4. ist unbegründet und die Klage war insoweit abzuweisen.
A.
Die Klage ist zulässig. Insbesondere sind die Klageanträge hinreichend bestimmt.
Ein Antrag ist hinreichend bestimmt, wenn der Gegenstand und Umfang der Entscheidungsbefugnis des Gerichts klar umrissen sind, sich der Beklagte erschöpfend verteidigen kann und nicht dem Vollstreckungsgericht die Entscheidung überlassen bleibt, was dem Beklagten aufgegeben oder verboten ist (BGH NJW 2014, 630). Diesen Voraussetzungen genügen die Anträge des Klägers. Das zu unterlassende Verhalten ist vollstreckungsfähig beschrieben. Die auf der Internetseite der Beklagten zu unterlassende Einbindung des Social Plugin „Gefällt mir“ von Facebook kennzeichnet die Datenfolge, die die Beklagte nicht mehr in ihre Internetseite integrieren darf, ausreichend deutlich. Der „Gefällt mir“-Button von Facebook und seine Funktionalität sind seit seiner Einführung im Jahr 2010 Gegenstand zahlreicher Erörterungen in Rechtsprechung und Literatur (vgl. Föhlisch/Pilou MMR 2015, 631 m.w.N.) Anders als in dem der Entscheidung BGH GRUR 2008, 357 zugrundeliegenden Sachverhalt existieren vorliegend auch nicht zwei gleichnamige Programme oder Plugins, so dass die Klageanträge auch nicht wegen Mehrdeutigkeit unbestimmt sind. Mit der Verbindung durch „und/oder“ ist das Verhältnis der Klageanträge ausreichend klar gefasst.
B.
Die Klage ist überwiegend begründet. Der Kläger kann als qualifizierte Einrichtung im Sinne von § 4 Abs. 1 Nr. 1 UKlaG gemäß § 8 Abs. 3 Nr. 3 UWG von der Beklagten Unterlassung der Einbindung des Facebook-Plugins „Gefällt mir“ verlangen, sofern nicht die in den Klageanträgen zu 1.-3. genannten Voraussetzungen erfüllt werden.
I.
Die Nutzung des Facebook-Plugins „Gefällt mir“ auf der Webseite der Beklagten, ohne dass die Beklagte die Nutzer der Internetseite vor der Übermittlung deren IP-Adresse und Browserstring an Facebook über diesen Umstand aufklärt, ist unlauter im Sinne des § 3a UWG i.V.m. § 13 TMG.
Nach § 13 Abs. 1 Satz 1 TMG hat der Betreiber eines Telemediendienstes den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs des EWR in allgemein verständlicher Form zu unterrichten. Dieser Pflicht ist die Beklagte hinsichtlich ihrer Internetseite in dem Stand, der der gerichtlichen Beurteilung unterliegt, nicht nachgekommen.
1. Bereits mit dem Besuch der Webseite der Beklagten werden Nutzungsdaten, also Daten, die erforderlich sind, um eine Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (§ 15 Abs. 1 S. 1 TMG) erhoben. Zu solchen gehören nämlich auch Merkmale zur Identifikation des Nutzers, wie dessen IP-Adresse (vgl. Föhlisch/Pilou, a.a.O., S. 632).
Die Daten sind personenbezogen. Es handelt sich um Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person, § 3 Abs. 1 BDSG. Eine Einzelangabe im vorgenannten Sinn ist jede Information, die sich auf eine bestimmte, einzelne Person bezieht oder geeignet ist, einen Bezug zu ihr herzustellen.
Nutzer der Beklagtenseite, die bei deren Aufruf auf Facebook eingeloggt sind, können mittels der IP-Adresse direkt ihrem Facebook-Konto zugeordnet werden, so dass für diese Gruppe ein Personenbezug gegeben ist. Auch bei Facebook-Nutzern, die sich zwar ausloggen, jedoch nicht ihre Cookies löschen, kann mittels gesetzter Cookies eine Zuordnung erfolgen. Das diesbezügliche Bestreiten der Beklagten mit Nichtwissen reicht im Hinblick auf den durch Vorlage einer gutachtlichen Bewertung (Anl. K2) substantiierten Vortrag des Klägers und die im juristischen Schrifttum insoweit eindeutig beschriebene Funktionsweise des Plugins unter Nutzung von Cookies (vgl. Föhlisch/Pilous, a.a.O., Schweda, ZD-Aktuell 2015, 04659; Hupperz/Ohrmann CR 2011, 449, 454; Ernst NJOZ 2010, 1917) nicht aus, um der Darlegung der beschriebenen Funktionsweise wirksam entgegenzutreten. Facebook verfügt mit seinen Millionen aktiven Nutzern zudem über ein erhebliches Sonderwissen, das die Betreiber mit den gewonnenen Daten verknüpfen kann.
Die Kammer kann vor vorgenanntem Hintergrund offenlassen, ob gleiches auch für Besucher ohne Facebook-Konto und nicht eingeloggter Nutzer mit gelöschter Chronik gilt. In der Literatur wird diesbezüglich darauf hingewiesen, dass in diesem Fall über das Plugin Cookies gesetzt würden und dass, wenn ein Webseitenbesucher im Nachgang ein Facebook-Konto erstellt, ebenfalls ein Personenbezug hergestellt werden könne (vgl. Föhlisch/Pilous MMR 2015, 631 m.w.N.). Aber auch, soweit dies nicht festgestellt werden kann, ist ausweislich der Vorlage des Bundesgerichtshofs an den EuGH zu dieser Frage (BGH GRUR 2015, 192) zumindest naheliegend, dass der vor allem von Datenschutzbehörden vertretenen Theorie des absoluten Personenbezugs (vgl. Voigt/Alich NJW 2011, 3541) zu folgen ist und bereits die Übermittlung von IP-Adressen die Übermittlung personenbezogener Daten darstellt (so auch: KG Berlin BeckRS 2011, 10432).
2. Es handelt sich bei der Beklagten um die verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG.
Die datenschutzrechtliche Verantwortlichkeit nach dem TMG bestimmt sich allein nach § 3 Abs. 7 BDSG (Föhlisch/Pilous a.a.O.). Verantwortliche Stelle i.S.d. § 3 Abs. 7 BDSG ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch Andere im Auftrag vornehmen lässt. Die Regelung geht auf Art. 2 d) der RL 95/46/EG (DS-RL) zurück, nach dem „für die Verarbeitung Verantwortlicher” die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle ist, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Der Begriff der Verantwortlichkeit ist weit zu verstehen (EuGH MMR 2014, 445). Er erfasst jede Stelle, die personenbezogene Daten über Dritte erhebt, verarbeitet oder verarbeiten lässt. Die Erhebung besteht in einem Beschaffen von Daten, § 3 Abs. 3 BDSG.
Während die Anbieterin des Plugins ohne Zweifel die Daten verarbeitet, beschafft die Beklagte diese im vorgenannten Sinne. Durch das Einbinden des Plugins ermöglicht sie die Datenerhebung und spätere Verwendung der Daten durch Facebook. Sie könnte durch ein Entfernen des Buttons den Zugriff von vorneherein verhindern bzw. durch eine vorgeschaltete Abfrage bei den Nutzern, ob die Funktionalität aktiviert werden soll, den Zugriff auf die Daten und hierdurch deren Verwendung einschränken. Bei der Beklagten handelt es sich nicht um eine Auftragnehmerin von Facebook, sondern sie wirkt durch die Einbindung des Plugins unmittelbar an der Erhebung durch Facebook mit. Ihre Entscheidung und die technische Implementierung sorgen dafür, dass die Erhebung und die Verarbeitung stattfinden. Die Integration des Plugins ist nicht nur Vorbereitungshandlung für den Erhebungsprozess, sondern nimmt seinen Beginn damit, dass die Beklagte über ihren Server einen HTML-Code aussenden lässt, der den Browser des Nutzers zur Mitteilung seiner Daten an Facebook veranlasst. Die Aussendung des HTML-Codes ist damit erster Teilakt des Abrufs des „Gefällt mir“-Buttons und der darin liegenden Funktionalität. Die Erhebung der Daten zu deren Verwendung findet damit im eigenen Tätigkeits-und Haftungsbereich der Beklagten statt.
Allein, dass die Beklagte keinen direkten Einfluss auf die Funktionsweise des Buttons und die Verarbeitung der Daten hat, ihr deren Umfang sogar unbekannt sein mag, und dass sich ihre aktive Tätigkeit auf die Einbindung des Plugins erschöpft, steht dem ebenso wenig entgegen, wie die Tatsache, dass nicht die Beklagte an sie übermittelte und in ihrem Besitz stehende Daten an Facebook weiterleitet, sondern die Erfassung der IP-Adresse unmittelbar durch Facebook erfolgt (so aber ohne nähere Begründung: Voigt/Alich NJW 2011, 3541; Piltz CR 2011, 657 mit dem Argument, es erscheine „nicht angebracht“, den Webseitenbetreiber als verantwortliche Stelle einzusehen, da er keine Verfügungsgewalt über die Daten erlange). Denn der Vorgang wird durch den HTML-Befehl auf der Beklagtenseite initiiert. Die Eigenschaft als verantwortliche Stelle ist nicht streng an den Besitz der Daten und die physische Herrschaft über den Verarbeitungsprozess gebunden. Löst ein Webseitenbetreiber durch die Einbindung von Drittinhalten in das eigene Angebot einen Verarbeitungsprozess aus, ist er hierfür auch datenschutzrechtlich verantwortlich. Denn allein durch konkrete Gestaltung der Webseite wird die Datenweitergabe an Facebook und damit die Datennutzung initiiert (so auch: KG Berlin BeckRS 2011,10432; Föhlisch/Pilou, a.a.O.; Ernst NJOZ 2010,1917).
3. Die Datenübermittlung ist nicht nach § 15 TMG gerechtfertigt, da sie für das Funktionieren und den Betrieb der Webseite der Beklagten nicht erforderlich ist.
Der Begriff der Erforderlichkeit impliziert ein enges Verständnis des Umfangs der Ausnahmeregel. Der „Gefällt mir“-Button ist für den Betrieb der Seite der Beklagten nicht unabdinglich. Vielmehr ist sie, wie jede Webseite, auch ohne Social Plugins zu betreiben und für die Nutzer aufzurufen. Eine große Verbreitung der Plugins oder Vorteile für die Beklagte auf Grund eines Marketing-Effekts führen nicht dazu, dass diese das Plugin in der beanstandeten Weise zwingend einzusetzen hätte.
Entgegen der Auffassung der Beklagten bedeutet ein solches Verständnis kein Verbot der Einbindung externer Dienste in eine Webseite, und dem Verbotstenor kommt keine zensurähnliche, grundrechtseinschränkende Wirkung zu. Denn die Einbindung von Drittinhalten, wie sie im Web 2.0 häufig anzutreffen ist, wird durch diesen keineswegs unmöglich gemacht. Das vom Gericht ausgesprochene Verbot gilt vielmehr nur für den Einzelfall, der nach technischer Funktionsweise, dem Zweck der Datenerhebung und durch die bestimmte geschäftliche Natur der Beklagtenseite bestimmt ist. Will die Beklagte weiterhin die Vorteile einer Verknüpfung mit Facebook nutzen, so muss sie lediglich die Rechte derer, die eine Drittweitergabe ihrer Daten weder erwarten, noch wünschen, angemessen beachten, etwa durch das von ihr nunmehr auch angewendete sog. „2 Klick-Verfahren“, bei dem der Datenweiterleitung eine Einverständnisabfrage vorgeschaltet ist. Es wird der Beklagten hiernach nicht unmöglich gemacht, Drittinhalte einzubinden. Die Beklagte hat zu dem nicht einmal vorgetragen, in welcher Weise die Einbindung genau in der beanstandeten Form wirtschaftlich notwendig ist, um ihr Angebot im Internet vorzuhalten oder eine auf der Verkaufsseite geäußerte Meinung (stärker) zu verbreiten.
4. Die Datennutzung kann sich auch nicht auf eine Einwilligung aller Besucher der Seite der Beklagten stützen.
Personenbezogene Daten dürfen zur Bereitstellung von Telemedien nur erhoben und verwendet werden, sofern das TMG oder eine andere telemedienrechtliche Vorschrift dies erlauben oder der Nutzer eingewilligt hat. § 12 Abs. 1 TMG wiederholt damit das in § 4 Abs. 1 BDSG erhaltene Datenverarbeitungsverbot mit Erlaubnisvorbehalt für Telemedien. Eine elektronische Einwilligung ist zulässig, sofern sie die Voraussetzungen des § 13 Abs. 2 TMG erfüllt. Danach ist u.a. sicherzustellen, dass der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat. Dies setzt eine aktive Handlung des Nutzers, wie etwa das Setzen des Häkchens in einer Checkbox, voraus (zum Ganzen: Föhlisch/Pilous a.a.O. m.w.N.). Eine Einwilligung ist zudem nur zulässig, wenn sie auf der freien Entscheidung des Betroffenen beruht. Weiter ist er auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie ggf. auf die Folgen der Verweigerung der Einwilligung hinzuweisen (§ 4a Abs. 1 BDSG). Dies bedeutet, dass eine Einwilligung freiwillig und informiert zu erfolgen hat. Die Einwilligung muss der Datenverarbeitung vorangehen und darf nicht erst nachträglich eingeholt werden. Die Einwilligung wiederum verlangt, dass der Nutzer über die Weitergabe seiner Daten vorher unterrichtet wird (vgl. OLG Düsseldorf K&R 2004, 591, 593).
Dass die Besucher der Beklagtenwebseite in diesem Sinne in die Datenübermittlung an Facebook eingewilligt haben, behauptet die Beklagte nicht. Bevor das Plugin auf der Webseite der Beklagten erschien und die Datenweitergabe erfolgte, war durch die Besucher nichts diesbezügliches zu erklären oder anzuklicken. Auch hinsichtlich der Nutzer, die ein Facebookkonto im Wissen um die Datenschutzrichtlinie von Facebook angelegt haben, ergibt sich aus dem Beklagtenvortrag nicht, dass diese um die Nutzung auf der Seite der Beklagten konkret wussten oder sich einverstanden erklärten. Die Belehrung über Plugins an sich genügt hierfür nicht.
5. Eine Unterrichtung sah die Internetseite der Beklagten nicht vor, und zwar weder vor einer Weiterleitung von Daten an Facebook, noch während des Beginns des Nutzungsvorgangs. Der bloße Link zu einer Datenschutzerklärung in der Fußzeile der Webseite stellt keinen Hinweis zu Beginn bzw. vor Einleitung des Verarbeitungsvorgangs dar. Die von der Beklagten diesbezüglich aufgeführten Rechtsprechungsfundstellen befassen sich allein mit der jederzeitigen Abrufbarkeit der Belehrung, nicht aber mit dem Zeitpunkt in dem diese zu erfolgen hat.
6. Es handelt sich bei den §§ 12, 13 TMG, die Umstände des Einzelfalls berücksichtigend (vgl. Köhler/Bornkamm, UWG. 34. Aufl., § 3a, Rn. 1.74), nicht nur um Verbraucherschutzgesetze nach § 2 Nr. 11 UKlaG (in der Fassung vom 24.02.2016), sondern auch um Marktverhaltensregeln im Sinne des § 3 a UWG. Gesetze, die die Erhebung von Daten betreffen, schützen im Einzelfall nicht nur das Persönlichkeitsrecht und das informationelle Selbstbestimmungsrecht, sondern auch den Wettbewerb an sich (vgl. etwa die Entscheidungen des OLG Hamburg vom 27.06.2013, Az. 3 U 26/12, OLG Köln vom 19.11.2010, Az. 6 U 73/10; OLG Karlsruhe vom 09.05.2012, Az. 6 U 38/11 und des KG Berlin vom 24.01.2014, Az. 5 U 42/12; ferner: Huppertz/Ohrmann, CR 2011, 449), und es ist zu berücksichtigen, dass die zunehmende wirtschaftliche Bedeutung der Erhebung elektronischer Daten diese nicht nur als Wirtschaftsgut erscheinen lässt, sondern auch die Entwicklung des Verständnisses des Datenschutzrechts beeinflusst.
Das eingesetzte Plugin dient (auch) dem Absatz und der Werbung der Beklagten. Dem konkreten Verstoß kommt so auch wettbewerbliche Relevanz zu. Die Nutzer der Beklagtenwebseite sind nicht nur in ihrem Schutz vor unerwünschter Werbung betroffen (a.A. KG BeckRS 2011, 10432; LG Frankfurt BeckRS 2004, 22875), sondern die Einbindung des Plugins beeinflusst deren kommerzielles Verhalten bezogen auf das auf der Seite angebotene Warenangebot. Den Webseitenbesuchern wird vermittelt, wie vielen Facebook-Mitgliedern die Seite und damit mittelbar auch die angebotenen Waren der Beklagten gefallen; ihnen wird die Möglichkeit gegeben, zu dem Kreis dieser ihnen teilweise bekannten Personen zu gehören; beides kann die Kaufentscheidung eines Webseitenbesuchers beeinflussen. Auch nicht-angemeldete Nutzer von Facebook erhalten die Zahl der „Likes“ angezeigt und werden zumindest mittelbar durch das eingebettete Tool, das die Datenerhebung ermöglicht, in ihrem Marktverhalten beeinflusst (vgl. Duchrow, MMR aktuell 2001, 320091).
7. Hinsichtlich der Rechtsverletzung indiziert die Begehung durch die Beklagte die Wiederholungsgefahr. Soweit die Beklagte ihren Webauftritt nunmehr auf die sog. „2-Klick-Lösung“ umgestellt hat, braucht die Kammer nicht zu bewerten, ob diese den gesetzlichen Anforderungen genügt. Denn der Unterlassungsanspruch gründet auf die vorherige Art der Einbindung des Plugins und den Umstand, dass die Beklagte diesbezüglich keine strafbewehrte Unterlassungserklärung abgegeben hat. Allein, dass bislang keine höchstrichterliche Rechtsprechung zu dem konkreten Plugin besteht und die Instanzrechtsprechung in der Bewertung uneinheitlich ist, lässt die Wiederholungsgefahr nicht entfallen. Ohnehin setzt der Unterlassungsanspruch kein Verschulden voraus, besteht also auch im Falle eines Rechtsirrtums.
II.
Aus den vorgenannten Gründen greifen auch die Anträge zu 2. und 3. durch. Dass der Begriff der Einwilligung ausfüllungsbedürftig ist, macht die Anträge nicht unbestimmt. Denn unstreitig bestand in der Fassung, die die Webseite der Beklagten hatte, keine Möglichkeit, eine Einwilligung zu erklären. Der Unterlassungstitel muss dem Schuldner nicht vorgeben, in welcher Weise die nach dem Gesetz vorgenommene Einwilligung erklärt werden muss.
III.
Der Antrag zu 4. ist unbegründet.
Die Belehrung mag unvollständig sein bzw. den unzutreffenden Eindruck erwecken, dass bereits ein Ausloggen aus dem Netzwerk verhindert, dass Daten gesammelt und verknüpft werden. Nicht jede unzutreffende Belehrung stellt sich aber als irreführend im Sinne des § 5 UWG dar.
Es liegt keiner der in § 5 Abs. 1 S. 2 Nr. 1-7 UWG genannten Fälle einer Irreführung vor. Die Täuschung über Risiken der Dienstleistung nach § 5 Abs. 1 S. 2 Nr. 1 UWG betrifft allein die eigene Dienstleistung, nicht – wie hier – eine fremde. Die Gewährleistung durch die Beklagte nach § 5 Abs. 1 S. 2 Nr. 7 UWG ist ebenfalls nicht betroffen.
V.
Die Ordnungsmittelandrohung hat ihre Grundlage in § 890 ZPO.
Die Nebenentscheidungen beruhen auf §§ 92 Abs. 1, 708 Nr. 11, 709, 711, 713 ZPO.