Blog wieder selbst gehostet

Seit heute ist der Blog aus Datenschutzgründen wieder auf einem eigenen virtuellen Server bei HostEurope gehostet.

Dies ermöglicht, WordPress datenschutzfreundlicher zu betreiben. Ein eigenes Hosting führt zu mehr Kontrolle über den Server und über die WordPress-Installation.

Nun kann auch komplett auf Cookies verzichtet werden. Der Cookie-Banner wurde daher entfernt.

Der Serverstandort ist auch in der Europäischen Union, im Rechenzentrum in Straßburg.

In der Vergangenheit war der Blog schon einmal komplett eigen betrieben. Aus Zeitgründen hatte ich dann auf eine Managed-Solution gesetzt, die allerdings nicht das von mir gewünschte Privacy-by-design bot.

Passwörter müssen nach Austausch des IT-Dienstleisters geändert werden

Das LG Köln (Urt. v. 18.05.2022, Az. 28 O 328/21) hat entschieden, das ein Unternehmen, das nach dem Wechsel des IT-Dienstleister die Zugangsdaten zu seinem System nicht ändert, gegen Art. 32 (Sicherheit der Verarbeitung) und Art. 5 Abs. 1 lit. f DSGVO (Sicherstellung eines angemessenen Sicherheitsniveau für die Verarbeitung von Daten) verstößt.

In dem konkreten Fall ging es um ein Unternehmen, welches Wertpapierdienstleistungen erbringt und den Kunden den Zugriff auf ein persönliches Dokumentenpostfach ermöglichte. Auf dieses Dokumentenpostfach konnten Hacker Zugriff erlangen, nachdem sie die Zugangsdaten durch einen Cyber-Angriff auf den ehemaligen IT-Dienstleister der Beklagten erbeuteten. Das Vertragsverhältnis zu dem IT-Dienstleister war bereits 2015 ausgelaufen. Eine Änderung des Passworts erfolgte seitdem nicht.

Die Beklagte wurde zu einem Schadenersatz von 1.200 € verurteilt.

Das Gericht hat es für ausreichend angesehen, dass das Versäumnis der Passwortänderung zumindest mitursächlich war. Der Nachweis, dass das nicht geänderte Passwort den Schaden alleine verursacht hat, war also nicht erforderlich. Bei der Schadensbemessung wurde berücksichtigt, dass die Daten in dem Dokumentenpostfach noch nicht missbraucht worden sind. Das Urteil zeigt wieder, dass es noch nicht zu einem Datenmissbrauch gekommen sein muss, um schadensersatzpflichtig zu werden.

Krankenhaus: Nur Behandelnde dürfen Zugriff auf die Akte haben

Das LG Flensburg hat entschieden (Urt. v. 19.11.2021, Az. 3 O 227/19), dass ein Behandlungsvertrag u.a. die selbständige Nebenpflicht (§ 241 Abs. 1 BGB) des Behandelnden begründet, dafür Sorge zu tragen, dass die zur Behandlung und ihrer Dokumentation erhobenen personenbezogenen Daten des Patienten nur zu erlaubten Zwecken verarbeitet werden, sei es durch den Behandelnden selbst oder durch seine Erfüllungsgehilfen. Dies bedeutet, dass nur die Personen Zugriff auf die Akte haben dürfen, die mit der Behandlung auch befasst sind.

Der Schmerzensgeldanspruch war aber verjährt. Das LG Flensburg hat klargestellt, dass die Anrufung der Datenschutzbehörde die Verjährung nicht hemmt, da diese keine Streitbeilegungsstelle iSd. § 204 Abs. 1 Nr. 4 BGB ist.

Streit um die Eingangsbestätigung beim beA

Wenige Monate bevor Anwälte am 01.01.2022 verpflichtet sind, zukünftig Schriftsätze nur noch elektronisch über das besondere elektronische Anwaltspostfache (beA) einzureichen und nach schwerwiegenden Sicherheitsproblemen gibt es erneut Streit um das beA.

Der Streit dreht sich um die Empfangsbestätigung, dass eine beA-Nachricht bei Gericht zugegangen ist, also eine für Rechtsanwälte aufgrund der drohenden Haftung bedeutende Funktion des elektronischen Rechtsverkehrs.

Früher wurde beim Export der Nachrichten sichergestellt, dass die exportierten Nachrichten nach dem Export nicht mehr verändert werden können. Dies geschah dadurch, dass sämtliche mit der beA-Nachricht übermittelten Dokumente in einen ZIP-Container gepackt wurden und dieser mit einer entsprechenden Signaturdatei versehen wurde. Auf diese Weise war sichergestellt, dass die Nachricht nachträglich nicht mehr verändert werden konnte. . Seit einem Update Ende September wird die Signaturdatei nicht mehr erzeugt, was zu Kritik geführt hat. Anwälte hatten eine Petition gestartet, um wieder eine „rechtssichere Versanddokumentation im beA zu implementieren .

Die Bundesrechtsanwaltskammer hat nun reagiert und eine Stellungnahme veröffentlicht. Danach sei die Erstellung der Signaturdatei bisher überobligatorisch gewesen und das aktuelle System entspreche den Anforderungen des § 130a Abs. 5 ZPO. Darin heißt es:

(5) 1Ein elektronisches Dokument ist eingegangen, sobald es auf der für den Empfang bestimmten Einrichtung des Gerichts gespeichert ist. 2Dem Absender ist eine automatisierte Bestätigung über den Zeitpunkt des Eingangs zu erteilen.

Als automatisierte Bestätigung würde die Datei „_export.html“ ausreichen, welche auch die Dateinamen sämtlicher mit der Nachricht übersandten Dokumente enthalte.

Technisch überzeugend ist diese Argumentation nicht. Die Datei „_export.html“ ist eine reine HTML-Datei, die nachträglich verändert werden könnte. Natürlich kann dies auch bei jedem Fax-Bericht geschehen, aber gerade diese Unsicherheiten könnten mit einem technisch fortschrittlicheren System wie dem beA ja gerade beseitigt werden. Zumindest kündigt die Bundesrechtsanwaltskammer mit der Weiterentwicklung zum Vertrauenswürdigen Herkunftsnachweis in der Version 2.0 (VHN2) eine Funktion zum Überprüfen der Dateien anhand von Prüfsummen an. Die Implementierung erfolge allerdings erst später, vermutlich ab Januar 2022.

Es wäre besser gewesen, die Signaturdateien bis dahin beizubehalten.

Kein Bußgeld wegen DSGVO-Verstoß gegen Deutsche Wohnen

Die Immobiliengesellschaft Deutsche Wohnen muss doch nicht ein Bußgeld in Höhe von 14,5 Millionen € wegen einer nicht DSGVO-konformen Mieterdatenbank bezahlen. Der Berliner Datenschutzbeauftragte hatte gegen die Gesellschaft ein Bußgeldverfahren eingeleitet, weil die Deutsche Wohnen Daten von Mietern wie Gehaltsbescheinigungen, Selbstauskunftsformulare, Steuer-, Sozial- und Krankenversicherungsangaben gespeichert hatte und der Datenschutzbeauftragte die datenschutzrechtlichen Voraussetzungen hierfür nicht sah.

Gegen das festgesetze Bußgeld hatte die Deutsche Wohnen Einspruch eingelegt. Das Berliner Landgericht sah den Bescheid nun als unrechtmäßig an, weil das deutsche Recht eine strafrechtliche und ordnungswidrigkeitenrechtliche Verantwortung für juristische Personen nicht vorsieht. Der Bescheid hätte also gegen natürliche Personen ergehen müssen.

Ein Gesetzentwurf zur Schaffung eines Unternehmensstrafrechts wird derzeit diskutiert.

Wertersatz bei Widerruf einer Online-Partnerbörse

Der EuGH hat nun entschieden (Urt. v. 08.10.2020, C‑641/19), dass bei Widerruf eines Vertrages über eine Mitgliedschaft in einer Online-Partnerbörse (hier: Parship) nicht der volle Mitgliedsbeitrag bezahlt werden muss.

Was als Selbstverständlichkeit anmutet, war umstritten. Grundsätzlich kann man auf das Widerrufsrecht, welches Verbrauchern bei Fernabsatzverträgen und außerhalb von Geschäftsräumen geschlossenen Verträgen immer eingeräumt werden muss, nicht verzichten. Dies würde allerdings bedeuten, dass Unternehmen immer die 14-tägige Widerrufsfrist abwarten müssen, bevor sie mit ihren Leistungen beginnen. Das BGB sieht daher vor, dass das Unternehmen bereits vorher mit der Leistung beginnen kann, wenn der Verbraucher es ausdrücklich wünscht. Der Verbraucher kann dann trotzdem widerrufen, muss allerdings Wertersatz für die bis zum Widerruf erbrachten Leistungen zahlen.

Hier verlangten viele Partnerbörsen dann doch den vollen Betrag. Warum der volle Mitgliedsbeitrag und nicht der anteilsmäßigen Beitrag bis zum Widerruf? Weil die Partnerbörsen damit argumentierten, dass der Persönlichkeitstest diesen Wert habe. Und den erhalten die Mitglieder ja gleich zu Beginn vor Widerruf.

Der EuGH urteilte nun, dass der Vertrag im Ganzen betrachtet werden müsse. Dieser sehe eine Mitgliedschaft vor, die für einen bestimmten Zeitraum vergütet werden müsse und eben keine gesonderten Betrag für den Persönlichkeitstest. Bei einem Widerruf dürfen also nur die anteiligen Mitgliedsbeiträge als Wertersatz verlangt werden.

Vernichtung eines Werks kann den Urheber in seinem Urheberpersönlichkeitsrecht beeinträchtigen

§ 14 Urhebergesetz (UrhG) schützt den Urheber vor einer „Entstellung“ oder sonstigen Beeinträchtigung seines Werks. Lange war umstritten, ob auch die Vernichtung des Werks, zum Beispiel eines Bauwerks, unter diese Vorschrift fällt. Der Bundesgerichtshof hat nun in drei Urteilen entschieden, dass dem so ist. Allerdings müssen die Rechte des Architekten mit den Eigentumsrechten abgewogen werden.

Schutz vor Entstellung als Ausdruck des Urheberpersönlichkeitsrechts

§ 14 UrhG gehört zu den Vorschriften des sogenannten Urheberpersönlichkeitsrechts. Der Gesetzgeber sieht zwischen dem Urheber und seinem Werk ein geistiges und persönliches Band (BeckOK UrhR/Kroitzsch/Götting, 26. Ed. 15.10.2019, UrhG § 14 Rn. 1) und dieses Band soll nicht durch eine ungewollte Veränderung zerstört werden. Urheber, die an ihrem Werk besonders hängen, kennen dieses Gefühl. Geschützt wird der Urheber vor Entstellung oder einer anderen Beeinträchtigung seines Werks, wobei Entstellung jede Verschlechterung des Werks, Veränderung des Werkcharakters, Verzerrung oder Verfälschung der Grundauffassung des Werkes ist (BeckOK UrhR/Kroitzsch/Götting, 26. Ed. 15.10.2019, UrhG § 14 Rn. 10).

Die in der deutschen Architekturwelt wohl mit bekanntesten Fälle betrafen den Berliner Hauptbahnhof, wo der Einbau einer Flachdecke über der Nord-Süd-Strecke als Entstellung angesehen wurde (LG Berlin, Urt. v. 28.11.2006 – Az. 16 O 240/05, GRUR 2007, 964) als auch der Fall des Stuttgarter Hauptbahnhofs, wo sich die Erben des Architekten gegen den Abriss der Seitenflügel und der Treppenanlage der großen Schalterhalle wehrten, was allerdings als zulässiger Eingriff angesehen wurde, weil der Architekt hier schon länger verstorben war und seine Interessen daher nicht mehr das gleiche Gewicht wie zu seinen Lebzeiten haben (BGH, Beschl. vom 09.11.2011 – I ZR 216/10, GRUR 2012, 172).

Vernichtung als Entstellung?

Lange Zeit war umstritten, ob die Vorschrift den Urheber auch davor schützt, dass das Werk vernichtet wird. Teilweise wurde vertreten, dass sie nur das Interesse des Urhebers am Fortbestand des unverfälschten Werkes, nicht aber an der Existenz des Werkes als solchem schütze (vgl. KG, GRUR 1981, 742 – Totenmaske; OLG Schleswig, ZUM 2006, 426 [427] = BeckRS 2010, 29865, LG München I, FuR 1982, 510 [513]; LG Hamburg, GRUR 2005, 672 [674], Wandtke/Bullinger, Urheberrecht, 4. Aufl., § 14 UrhG Rn. 22-24).

Eine einer Entstellung gleichwertigen Beeinträchtigung hat nun der Bundesgerichtshof in drei Urteilen so gesehen. Das erste Urteil betraf eine Entfernung einer Kunstinstallation in einem Museum (BGH, Urt. v. 21.02.2019 – Az. I ZR 98/17, GRUR 2019, 609 – HHole for Mannheim), das zweite eine Lichtinstallation aus einem Gebäude (BGH, Urt. vom 21.02.2019 – Az. I ZR 99/17, ZUM 2019, 521) und das dritte eine Minigolfanlage, welche speziell mit Farben, die unter Schwarzlicht leuchten, ausgestaltet war (BGH, Urt. vom 21.02.2019 – Az. I ZR 15/18, ZUM 2019, 528).

In allen drei Urteilen hat der Bundesgerichtshof festgestellt, dass die Vernichtung eines urheberrechtlich geschützten Werks eine Beeinträchtigung im Sinne des § 14 UrhG darstelle. Durch die Vernichtung werde das geistige Band zwischen dem Urheber und seinem Werk durchschnitten (BGH, Urt. vom 21.02.2019 – Az. I ZR 15/18, aaO., Rn. 19). Notwendig sei aber auch hier wie bei § 14 UrhG üblich natürlich eine Interessenabwägung und innerhalb dieser sei besonders zu berücksichtigen, dass der Eigentümer des Werks ein Interesse daran hat, sein Eigentum so zu verwenden, wie er es möchte (Art. 14 GG). Auf Seiten des Urhebers sei besonders zu berücksichtigen, ob es das einzige Werkstück ist (BGH, Urt. v. 21.02.2019 – Az. I ZR 98/17 – HHole for Mannheim, aaO., Rn. 39) oder ob der Eigentümer angeboten hat, das Werk zurückzunehmen (BGH, Urteil vom 21.02.2019 – I ZR 15/18, aaO., Rn. 26), was bei einem Bauwerk naturgemäß ausscheidet, auch die Ausweichmöglichkeit, weitere Vervielfältigungsstücke anzufertigen (vgl. ebd.), scheidet bei Gebäuden wohl eher aus. Bei Bauwerken würde, so der Bundesgerichtshof weiter, in aller Regel das Interesse des Eigentümers überwiegen, wenn sich aus den Umständen des Einzelfalls nichts anderes ergibt (vgl. BGH, Urt. v. 21.02.2019 – Az. I ZR 98/17 – HHole (for Mannheim), aaO., Rn. 40). Hier würde das Eigentumsrecht in der Regel überwiegen.

„Fack ju Göhte“ nicht sittenwidrig

Dass sich die Wertvorstellungen geändert haben, sieht man auch immer wieder an Urteilen. Der EuGH hat nun entschieden, dass der Filmtitel „Fack ju Göhte“ nicht gegen die guten Sitten verstößt und deshalb als Marke eingetragen werden dürfe.

Nach Art. 7 Abs. 1 lit. f Unionsmarkenverordnung (UMV) dürfen Marken, die gegen die guten Sitten verstoßen, nicht eingetragen werden. Mit dieser Begründung verweigerte sowohl das Amt der Europäischen Union für geistiges Eigentum (EuIPO) die Eintragung als auch das erstinstanzliche Gericht, das Gericht der Europäischen Union (EuG, Urteil vom 24.01.2018 – T-69/17).

Der EuGH hat nun entschieden (EuGH , Urteil vom 27.02.2020 – C-240/18 P), dass die Marke nicht gegen die guten Sitten verstößt. Er begründete dies damit, dass den ersten Teil des Films knapp 7,4 Millionen Zuschauer gesehen hätten und der zweite zu den größten deutschen Kinoerfolgen gehöre. Dies sei zwar nicht allein Ausdruck der gesellschaftlichen Akzeptanz des Titels, doch aber ein Indiz. Obwohl der Begriff „Fack Ju“ mit dem englischen Ausdruck „fuck you“ in Verbindung gebracht werden kann werde er vom allgemeinen deutschsprachigen Publikum nicht als moralisch verwerflich wahrgenommen.

Das EuIPO muss nun erneut über die Eintragung entscheiden.

DSGVO zieht im Jahr 2020 an

Die Datenschutzgrundverordnung (DSGVO) ist seit dem 25.05.2018 anwendbar und sieht im Vergleich zur alten Rechtslage eine deutliche Erhöhung der damals vorgesehenen Bußgelder vor. Während das alte Bundesdatenschutzgesetz bei Datenschutzverstößen eine Geldbuße bis zu 300.000 € vorsah (§ 43 Abs. 3 BDSG a.F.), sind nun Bußgelder bis zu 20.000.000 € oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes möglich, je nachdem, welcher Betrag höher ist (Art. 83 Abs. 5 DSGVO). Während sich die Datenschutzaufsichtsbehörden in der Anfangszeit der DSGVO mit Bußgeldern noch zurückgehalten hatten und vor allem Anweisungen und Empfehlungen gegeben haben, ziehen die Bußgelder nun an. Bereits in der zweiten Jahreshälfte 2019 gab es die ersten größeren Bußgelder. So wurde zum Beispiel die Wohnungsgesellschaft Deutsche Wohnen SE mit einem Bußgeld von 14,5 Millionen € belegt, weil sie ein Archivsystem verwendet hat, das keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu entfernen. In der Datenbank seien „teilweise Jahre alte private Angaben betroffener Mieter“ gespeichert gewesen wie etwa Gehaltsbescheinigungen oder Kontoauszüge. Das Unternehmen hatte trotz Hinweise nicht reagiert, sodass nun ein Bußgeld verhängt worden war.

Ebenso wurde 1&1 mit einem Bußgeld in Höhe von 9,5 Millionen € sanktioniert, weil die technisch-organisatorischen Maßnahmen nicht hinreichend implementiert worden seien, um Kundendaten vor der Kenntniserlangung unberechtigter Personen zu schützen. Es handelte sich um einen Fall, bei dem die Handynummer eines ehemaligen Lebenspartners abgefragt werden konnte, weil an der Hotline keine entsprechenden Identifizierungsmaßnahmen außer Angabe des Namens und des Geburtsdatums getroffen worden seien, was für den vorherigen Lebenspartner natürlich ein Leichtes gewesen war, um an die neue Handynummer seines Expartners zu kommen.

Beide Bußgelder beruhen auf Entscheidungen der Datenschutzaufsichtsbehörden, stellen also noch keine Gerichtsurteile dar. Die beiden Unternehmen haben aber Einspruch gegen die Bescheide eingelegt, sodass bald gerichtlich geklärt werden wird, ob die Bußgelder bestehen bleiben. Interessant ist vor allem die Frage, ob die Höhe der Bußgelder von den Gerichten bestätigt werden. Die DSGVO sieht zwar einzelne Bemessungskriterien für die Höhe der Geldbuße vor (Art. 83 Abs. 2 DSGVO), eine feste Rechtsprechung hierzu gibt es aber noch nicht. Die Datenschutzaufsichtsbehörden hatten im Oktober 2019 ein Bußgeldkonzept (https://www.datenschutzkonferenz-online.de/media/ah/20191016_bu%C3%9Fgeldkonzept.pdf) vorgestellt, an dem sie sich orientieren möchten. Aber auch dies ist gerichtlich noch nicht gebilligt und auch nicht besonders detailliert dargestellt.

Diese Beispiele zeigen, dass die Behörden vermehrt Datenschutzverstöße sanktionieren. Das Jahr 2020 wird hier erstmals mehr Klarheit bringen.

Was bedeutet die Fashion ID-Entscheidung des EuGH?

Am 29.07.2019 hat der EuGH eine lange erwartete Entscheidung zum Thema Social Media Plugins gefällt.

Bereits im März 2019 hatten sich die deutschen Aufsichtsbehörden entsprechend dahingehend positioniert, dass die Nutzung von Google Analytics, nicht auf die Rechtsgrundlage der berechtigten Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO) gestützt werden könne, wenn eine Weitergabe der Daten an einen Dritten erfolge. Es liege zwar ein berechtigtes Interesse vor (1. Stufe), aber es scheitere an der Erforderlichkeit der Verarbeitung zur Wahrnehmung des Interesses (2. Stufe). Die Reichweitenmessung könne auch auf dem eigenen Server erfolgen. Es müsse daher zwingend eine Einwilligung eingeholt werden. Diese Ansicht lässt sich wohl auch auf Social Media Plugins, also z.B. Facebook Like-Buttons, übertragen.

Nun hat sich der Europäische Gerichtshof zu Social Media Plugins geäußert. Das Urteil erging zwar noch zur Datenschutzrichtlinie und noch nicht zur DSGVO, ist aber übertragbar.

Datenschutz ist abmahnfähig

Der EuGH positioniert sich zu einer seit Anwendbarkeit der DSGVO umstrittenen Frage, nämlich ob die DSGVO eine Sperrwirkung hinsichtlich der Sanktionen entfalte und damit Ansprüche nach dem Gesetz gegen den unlauteren Wettbewerb (UWG) ausscheiden.

Dem sei nicht so. Damit ist also europarechtlich klar, dass Datenschutzverstöße nach dem UWG abgemahnt werden können. Die Frage, ob Datenschutz Marktverhaltensregeln im Sinne von § 3a UWG sind, hat der EuGH natürlich hier nicht entschieden, ist aber nach herrschender Meinung ebenso zu bejahen, sodass Datenschutzverstöße grundsätzlich abmahnfähig sind. Deshalb möchte auch die Bundesregierung mit dem Gesetzentwurf zur Stärkung des fairen Wettbewerbs die Abmahnfähigkeit von Datenschutzverstößen bei Unternehmen bis zu 49 Mitarbeitern einschränken.

Deshalb möchte auch die Bundesregierung mit dem Gesetzentwurf zur Stärkung des fairen Wettbewerbs die Abmahnfähigkeit von Datenschutzverstößen bei Unternehmen bis zu 49 Mitarbeitern einschränken.

Gemeinsame Verantwortlichkeit

Der Websitebetreiber, der Social Media Plugins in seine Seite einbindet, ist mit dem sozialen Netzwerk gemeinsam Verantwortlicher im Sinne von Art. 26 DSGVO. Begründet wird dies mit dem witschaftlichen Interesse, das der Seitenbetreiber hat, wenn er die Social Media Plugins einbindet.

Notwendig wäre also ein Vertrag über die gemeinsame Verantwortlichkeit. Einen solchen bietet bisher noch kein soziales Netzwerk an mit Ausnahme von Facebook für Facebook Insights (Seiten-Insights-Ergänzung), der bisher aber die Like-Buttons noch gar nicht umfasst. Hier müsste also Facebook nachbessern, ebenso die anderen Netzwerke, die noch gar keinen solchen Vertrag anbieten.

Kleine Bemerkung am Rande: Die deutschen Datenschutzbehörden halten die Seiten-Insights-Ergänzung datenschutzrechtlich ohnehin noch für nicht ausreichend.

Ganz interessant: Der EuGH geht davon aus, dass eine gemeinsame Verantwortlichkeit nur für die Übermittlung bestehe, nicht für die Datenverarbeitung, die nach der Übermittlung an das soziale Netzwerk von diesem durchgeführt werde, da hierauf der Seitenbetreiber keinen Einfluss habe.

Rechtsgrundlage für die Übermittlung nötig

Wenig überrascht: Der EuGH stellt klar, dass für die Datenverarbeitung, also die Übermittlung, eine Rechtsgrundlage notwendig sei. Dies könne etwa eine Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO, Art. 7 DSGVO) sein, oder aber die berechtigten Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO).

Bei der Einwilligung hatte man bisher das Problem, dass diese ja nicht informiert eingeholt werden konnte, da der Seitenbetreiber ja nicht wusste, was das soziale Netzwerk mit den Daten macht. Man hat sich häufig daher damit beholfen, dass man die 2-Klick-Lösung implementiert hat, diese aber auf die berechtigten Interessen gestützt hat. Dann hatte man zwar vielleicht seine Informationspflichten nach Art. 13 DSGVO verletzt, nicht aber eine unwirksame, da nicht informierte Einwillugung, riskiert.

Nach diesem Urteil ist dies nun einfacher, denn es geht ja nur noch darum, dass Daten übermittelt werden. Was das soziale Netzwerk nach der Übermittlung mit den Daten macht, muss also nicht genau angegeben werden. Es sollte daher eine Einwilligung implementiert werden, etwa über die 2-Klick-Methode und die entsprechenden Informationen nach Art. 13 DSGVO bereitgestellt werden.

Die einfache Einbindung von Social Media Plugins ohne 2-Klick-Methode ist damit eindeutig rechtswidrig.