Auf vielen Websites sind spezielle Schaltflächen von Social-Media-Anbietern integriert, wie etwa der weit verbreitete Like-Button von Facebook. Den meisten Anwender ist nicht bewusst, dass durch diese Elemente bereits beim Besuch der Website Daten wie die eigene IP-Adresse übertragen werden. Nach einem EuGH-Urteil müssen Website-Betreiber künftig über diesen Umstand informieren.
Der Streit um die Social-Plug-Ins, wie Elemente wie der Like-Button von Facebook auch genannt werden, ist schon etliche Jahre alt.
In dem jetzt verhandelten Fall war die Verbraucherzentrale NRW gegen einen Online-Modehändler, die Mode-Shoppingsseite „Fashion ID“, die zum Textilanbieter Peek & Cloppenburg mit Sitz in Düsseldorf gehört, vorgegangen, weil auf seinem Web-Shop diesen Facebook Like-Button eingebaut hatte.
Auf dem Portal wurde neben den angebotenen Textilien der bekannte „Gefällt mir“ bzw. „Like“-Button von Facebook eingeblendet, mit dessen Betätigung der User anderen Facebook Usern zeigen kann, ob ihm die angebotenen Modeartikel gefallen haben.
„Like“-Button nicht im Einklang mit dem Datenschutzrecht
Die Verwendung dieser Buttons verstoße gegen das Datenschutzrecht befand die Verbraucherzentrale NRW. Dies veranlasste sie, die Betreiberin der Internetseite Fashion ID abzumahnen und anschließend gerichtlich auf Unterlassung in Anspruch zu nehmen.
Dahinter steckt u.a. auch die Vermutung der Verbraucherzentrale, dass Facebook sogenannte Schattenprofile über Personen angelegt, die keine Mitglieder sind bzw. im Fall der Mitgliedschaft das entsprechende Profil durch die gewonnenen Erkenntnisse ergänzt.
Das Bedenkliche sahen die Verbraucherschützer vor allem darin, dass über die besuchte Seite auch, wenn der Like-Button gar nicht angeklickt wird,
- die IP-Adresse des Nutzers,
- die Kennung des Besuchers,
- die Verweildauer auf der Internetseite
- sowie Cookies, die ebenfalls persönlichen Daten enthalten können,
an „Facebook Ireland“ übertragen werden.
Funktionsweise der Social Plug-Ins
Der Like-Button wird ebenso wie diverse ähnliche Elemente anderer Social-Media-Dienste auf sehr vielen Seiten eingebunden.
Längst nicht alle Surfer wissen allerdings, dass über diese Plug-Ins nicht nur Daten erfasst werden, wenn man diese Elemente anklickt und zudem auch Nutzer der jeweiligen Social-Media-Dienste ist.
Aufruf einer Seite führt sofort zur Weiterleitung personenbezogener Daten
Üblicherweise geschieht es schon beim Aufruf einer Seite mit einem solchen Plug-In, dass personenbezogene Daten wie die IP-Adresse an den jeweiligen Dienstanbieter fließen, selbst wenn man dort gar nicht registriert ist. Im Fall des Like-Buttons erfährt Facebook beispielsweise neben der IP-Adresse auch Datum und Uhrzeit des Aufrufs sowie zusätzliche Browserdaten.
OLG ruft den EuGH an
Das LG Düsseldorf verurteilte das Unternehmen zunächst dazu, User über die Weitergabe der Daten aufzuklären. Das zweitinstanzlich mit der Angelegenheit befasst OLG legte dem EuGH verschiedene Fragen zur Klärung vor, darunter die Hauptfrage, ob die ungefragte und ungenehmigte Weiterleitung von Daten an soziale Netzwerken über sogenannte „Plugins“ mit Europarecht vereinbar ist.
Webseitenbetreiber und Facebook sind gemeinsam verantwortlich
Eine der für das Verfahren wesentlichen Streitpunkte der Verantwortlichkeit des Betreibers einer Website für die Datennutzung durch ein soziales Netzwerk, auf die er nach Abruf der Daten keinen Einfluss mehr hat, hat der EuGH eindeutig zugunsten der Verbraucher beantwortet. Bereits in einer Entscheidung zu den Facebook-Fanpages im vergangenen Jahr hatte der EuGH geurteilt, dass die Verantwortung bei Facebook und dem Betreiber der Website gemeinsam liegen kann (EuGH, Urteil v. 5.6.2018, C – 210/16). Diese Rechtsprechung führte der EuGH im anhängigen Fall konsequent fort.
EuGH betont wirtschaftliches Eigeninteresse des Webseitenbetreibers
Der EuGH setzte in seiner Entscheidung vorbehaltlich der vom OLG Düsseldorf noch vorzunehmende Nachprüfung voraus, dass Fashion ID und Facebook gemeinsam über die Zwecke und Mittel der Datenweiterleitung entscheiden bzw. entschieden haben. Die Einbindung des „Gefällt mir“-Buttons diene der Optimierung der Werbung für Produkte von Fashion ID und solle dem Unternehmen einen wirtschaftlichen Vorteil verschaffen, indem seine Produkte über Facebook für andere Anwender erkennbar werden. Damit erteilte der Webseitenbetreiber in Verfolgung eigener Wirtschaftsinteressen seine stillschweigende Einwilligung in die Erhebung personenbezogener Daten durch Facebook. Daraus erwachsene seine Mitverantwortlichkeit auch für den Datenschutz.
Weiterleitung von Daten ohne Einwilligung ist Rechtsverletzung
Für die Luxemburger Richter steht im übrigen außer Frage, dass die Weiterleitung von Daten ohne Wissen und ohne Einwilligung des Betroffenen dessen Recht auf Datenschutz verletzt. Daher treffe den Betreiber der Website bereits vor Erreichen des Stadiums der Weiterleitung gegenüber dem User eine Hinweis- und Informationspflicht darüber,
- dass seine Daten weitergeleitet werden,
- an wen sie weitergeleitet werden,
- zu welchem Zweck die Verarbeitung der Daten erfolgt
- sowie die Verpflichtung, die Einwilligung des Users zur Weiterleitung der Daten einholen.
Das Gericht wies allerdings ausdrücklich darauf hin, dass das, was Facebook anschließend aus oder mit den Daten macht, nicht mehr im Verantwortungsbereich des Betreibers der Website liegt.
(EuGH, Urteil v. 29.7.2019, C – 40/17):
Hinweis: Das Urteil des EuGH betrifft die Zeitspanne vor Einführung der DSGVO am 25.5.2018. Die Vorgängerregelung der DSGVO (Richtlinie 95/46/EG) war in diesem Punkt allerdings ähnlich, so dass das Urteil in vollem Umfang auch für die aktuelle Rechtslage gültig ist.
Button-Urteil hat in der Praxis erhebliche Auswirkungen
Das EuGH-Urteil dürfte erhebliche Auswirkungen auf Website-Betreiber haben. Alle Websites, die solche datenübermittelnden Plug-Ins von Social-Media-Diensten oder anderen Anbietern verwenden,
- müssen künftig entsprechende Informationen bereitstellen
- und die Zustimmung zur Datenverarbeitung einholen.
Webseitenbetreiber müssen ihren Internetauftritt ändern
In Zukunft müssen Betreiber von Websites entweder ihre Datenschutzbestimmungen anpassen (Facebook hat im Fanpages-Fall den Webseitenbetreibern umgehend eine angepasste Datenschutzerklärung zur Verfügung gestellt) und die User ausführlich informieren, gegebenenfalls durch einen sogenannten „Pop-Up-Hinweis“ oder - was bei einigen Websites im Vorgriff auf die EuGH-Entscheidung bereits Standard ist - mit den sozialen Netzwerken, mit Twitter, Google und Co. entsprechende Vereinbarungen treffen, dass eine mögliche Datenübertragung erst nach einem Doppelklick auf das „Plugin“ mit vorgezogener Info über die Datenverarbeitung beginnt.
Reaktionen auf das EuGH-Urteil
Bei Wirtschaftsverbänden fielen die ersten Reaktionen auf das Brüsseler Urteil demgemäß auch eher kritisch aus.
- So monierte etwa der Vizepräsident des Bundesverbands Digitale Wirtschaft, dass die Webnutzung durch diese zusätzliche Einwilligungspflicht maximal kompliziert und umständlich werde.
- Beim Branchenverband Bitkom bezweifelt man, dass diese Einwilligungslösungen wirklich etwas bewirken können und befürchtet zudem einen zusätzlichen bürokratischen Aufwand für die eventuell notwendigen Vereinbarungen, die zwischen den Website-Betreibern und den Social-Media-Diensten geschlossen werden müssten.
Zwei-Klick-Lösungen in Frage gestellt
Auch bei Datenschutz-Aktivisten von Netzpolitik.org sieht man das Urteil nicht unkritisch. Hier hält man Einverständniserklärung für wenig sinnvoll und verweist auf die aus Datenschutzperspektive bessere Lösung in Form der sogenannten Zwei-Klick-Lösung.
Hierbei werden die Plug-Ins zunächst standardmäßig blockiert und erst nach expliziter Aktivierung durch den Website-Nutzer können diese Erweiterungen die Daten erfassen und übertragen. Eine solche Lösung hatte auch das verklagte Mode-Unternehmen auf dem Web-Shop vor einiger Zeit bereits eingebaut, auch auf vielen anderen Websites kamen solche Techniken zum Einsatz. Ob derartige Verfahren den Ansprüchen des EuGH-Urteils genügen, ist aktuell noch ungeklärt.