Wer den "Gefällt mir"-Button in seiner Webseite einbindet, so dass personenbezogene Daten des Nutzers an Facebook übermittelt werden, ist gemeinsam mit dem Netzwerk verantwortlich. Was das für Webseitenbetreiber bedeutet, erklärt Tobias Kohl.
Kaum eine Woche vergeht, in der nicht Juristen rund um den Globus mit oder über Facebook streiten: Mal geht es um den Umgang mit Hasskommentaren und das Netzwerkdurchsetzungsgesetz, mal um Datenschutzverstöße im US-Wahlkampf oder die Übermittlung von EU-Daten in die USA. Trotz aller Unkenrufe, zahlreicher Skandale und des Vorwurfs, eine "Datenkrake" zu sein, ist das Interesse an dem sozialen Netzwerk bei privaten wie gewerblichen Nutzern ungebrochen.
In dieser Woche hatte sich der Europäische Gerichtshof (EuGH) mit einem datenschutzrechtlichen Vorlageverfahren aus Deutschland zu befassen. Es geht um den "Gefällt mir"-Button von Facebook, ein sogenanntes Social Media Plugin. Die Besonderheit, die die Verbraucherzentrale Nordrhein-Westfalen auf den Plan rief: Mit Besuch der Webseite sollen IP-Adresse und Browser-String des Nutzers an Facebook Irland übermittelt werden. Dies geschieht wohl unabhängig davon, ob der Nutzer den "Gefällt mir"-Button anklickt; und sogar dann, wenn er gar nicht über ein Facebook-Nutzerkonto verfügt.
Die Luxemburger Richter entschieden, dass die Webseitenbetreiber, die einen solchen "Gefällt-mir"- Button auf ihrer Seite einbinden, für die Einhaltung datenschutzrechtlicher Vorgaben ebenso verantwortlich sind wie Facebook. Und dass es an ihnen ist, die Nutzer über die Verarbeitung ihrer Daten zu informieren (EuGH, Urt. v. 29.07.2019, Az. C-40/17).
Verbraucherschützer gegen Peek & Cloppenburg
Die Einbindung von Social Media Plugins trägt dazu bei, mehr Besucher auf die Webseite zu locken, mehr Feedback zu erhalten und bestenfalls den Absatz von Produkten zu steigern. Kein Wunder also, dass viele Webseitenbetreiber diese Plugins nur allzu gerne nutzen und sich über das Liken und Teilen von Beiträgen oder Produkten freuen.
So geschehen auch im Vorlageverfahren nach Luxemburg, dem eine Unterlassungsklage der Verbraucherzentrale NRW gegen den Betreiber der Internetseite des Düsseldorfer Modehauses Peek & Cloppenburg, Fashion ID, zugrunde liegt. Auch FashionID.de hat den "Gefällt mir"-Button von Facebook als Plug-In in die Webseite integriert.
Hierin sahen die nordrhein-westfälischen Verbraucherschützer einen Verstoß gegen das Datenschutzrecht. Der Nutzer werde nicht ausreichend über die Datenverarbeitung aufgeklärt und informiert. Zudem fehle es an einer Einwilligung in die Datenerhebung und der Möglichkeit, dieser zu widersprechen. Das Landgericht Düsseldorf gab dem Verband Recht.
Für das daraufhin in der Berufungsinstanz mit der Sache befasste Oberlandesgericht Düsseldorf war die Rechtslage hingegen nicht ganz so eindeutig, so dass es den EuGH um Hilfe bei der Auslegung der Richtlinie 95/46, also dem alten Datenschutzrecht, bat. Die Richter aus der nordrhein-westfälischen Landeshauptstadt legten den Luxemburgern sechs Fragen zur datenschutzrechtlichen Zulässigkeit des "Gefällt-mir"-Buttons vor und setzten das Verfahren bis zur Beantwortung aus.
EuGH: Verantwortlich bis zur Übermittlung an Facebook
Der EuGH musste sich nun mit der Frage auseinandersetzen, ob der Webseitenbetreiber für die Datenverarbeitungsvorgänge bei der Einbindung des "Gefällt mir"-Buttons gemeinsam mit Facebook verantwortlich ist. Er konnte dabei auf ein Urteil aus dem vergangenen Sommer zurückgreifen, als die Luxemburger Richter geurteilt hatten, dass der Betreiber einer Facebook-Fanpage, also einer bei Facebook betriebenen Fanseite eines Unternehmens, gemeinsam mit Facebook datenschutzrechtlich verantwortlich ist (Urt. v. 05.06.2018, Az. C-210/16).
Dieser Linie bleibt der EuGH auch in dem aktuellen Verfahren treu und folgt damit der Urteilsempfehlung des Generalanwalts. Michael Bobek votierte bereits im Dezember des vergangenen Jahres für eine datenschutzrechtliche Mitverantwortlichkeit der Webseitenbetreiber und forderte, dass den Nutzern Informationen über die Datenverarbeitungsvorgänge zur Verfügung gestellt werden; zudem müssten sie in die Erhebung und Übermittlung personenbezogener Daten einwilligen.
Der EuGH stellte nun fest, dass der Webseitenbetreiber für das Erheben der personenbezogenen Daten beim Besuch des Internetauftritts und für die Weiterleitung der Daten an Facebook Irland gemeinsam mit dem Anbieter des Social Media Plugins verantwortlich ist. Dabei sei es auch unerheblich, dass der Seitenbetreiber nach der Übermittlung an Facebook gar keinen Zugriff mehr auf die personenbezogenen Daten habe. Es reiche bereits aus, dass er durch Einbindung des „Gefällt mir“-Buttons die Datenübermittlung an Facebook ermögliche und selbst von der durch den Klick auf den "Gefällt mir"-Button generierten Werbung profitiere. Auf diese Weise entschieden Fashion ID und Facebook Irland gemeinsam über die Zwecke und Mittel der Datenverarbeitung und erreichen einen wirtschaftlichen Vorteil.
Was Webseitenbetreiber jetzt tun sollten
Das Urteil hat zur Folge, dass der Webseitenbetreiber seine Nutzer vor Erhebung und Übermittlung der Daten an Facebook über diese Datenverarbeitung informieren und eine Einwilligung von diesem einholen muss.
Die heutige Entscheidung des EuGH sollte Webseitenbetreiber indes nicht davon abhalten, weiterhin Social Media Plugins zu verwenden. Sie müssen allerdings den Nutzer über die gemeinschaftliche Datenverarbeitung mit Facebook informieren und sich für ihren Teil der Verarbeitung eine Einwilligung einzuholen.
Es ist zu erwarten, dass Facebook ähnlich wie im Fall der Facebook-Fanpages eine Standardvereinbarung über die gemeinsame Verantwortlichkeit zur Verfügung stellen wird, auf die der Webseitenbetreiber den Nutzer verweisen kann. Zusätzlich sollte der Webseitenbetreiber in seiner Datenschutzerklärung auf die Funktionsweise des Plugins und die Widerspruchsmöglichkeit hinweisen.
Durch die Einbindung besonderer Plugins wie dem Shariff-Button, einem Open-Source-Programm, oder der Zwei-Klick-Lösung können Webseitenbetreiber eine automatische Übermittlung von personenbezogenen Daten an Facebook & Co. bei Besuch des Internetauftritts zunächst unterbinden. Erst mit einem bzw. zwei vorgeschalteten Klicks wird dem Nutzer das Teilen von Inhalten ermöglicht und somit der Kontakt zwischen Nutzer und sozialem Netzwerk hergestellt.
Eine weitere Möglichkeit könnte darin bestehen, im Cookie-Banner auf die Social-Plugins, ihre Funktionsweise und das Widerspruchsrecht hinzuweisen. Ob die deutschen Datenschutzaufsichtsbehörden bei all den Diskussionen um den Cookie-Banner hiermit zufrieden sein werden, dürfte allerdings fraglich sein.
Die Entscheidung zum "Gefällt-Mir"-Button von Facebook dürfte auch Auswirkungen auf andere Social Media Plugins wie etwa Instagram, Twitter oder XING haben. Auch diese Plugins werden gerne in Internetauftritte eingebunden. Und auch hier ist der Webseitenbetreiber gemeinsam mit dem Plugin-Anbieter verantwortlich. Das ist allerdings noch nicht das Ende der Fahnenstange: Die gemeinsame Verantwortlichkeit kann sich ebenso auf Website-Analyse-Tools erstrecken. Hier wie dort werden die Anbieter nicht umhinkommen, den Webseitenbetreibern Standardvereinbarungen zur Verfügung zu stellen.*
Der Autor Tobias Kohl, LL.M. ist Rechtsanwalt (Syndikusrechtsanwalt) bei der Postcode Lotterie DT gGmbH und Inhaber der Datenschutzberatung Got Privacy?!
* Anm. d. Red.: Aufgrund eines technischen Fehlers wurde der letzte Absatz erst nach der Veröffentlichung eingefügt, 18:25 Uhr (pl).
EuGH zu Social-Media-Plugins: . In: Legal Tribune Online, 29.07.2019 , https://www.lto.de/persistent/a_id/36749 (abgerufen am: 07.10.2024 )
Infos zum Zitiervorschlag