Der EuGH hat entschieden, dass bei Einbettung des Facebook-Like-Buttons auf einer Internetseite der Seitenbetreiber datenschutzrechtlich gemeinsam mit Facebook für die hierbei erhobenen Daten verantwortlich ist. Die Erhebung und Übermittlung von Daten an Facebook dürfe im Übrigen nur auf Grundlage der Einwilligung des Besuchers erfolgen.
Die datenschutzrechtliche Verantwortlichkeit beim verbreiteten Facebook-Like-Button war lange Zeit umstritten. Die Entscheidung schafft für Betreiber zwar weiter Rechtsklarheit bei der Einbindung von Drittanbieter-Tools, hat für die Praxis jedoch auch weitreichende Folgen.
Sachverhalt
Viele Internetseitenbetreiber arbeiten mit Plug-Ins von Drittanbietern. So sind Buttons zu sozialen Netzwerken bei Onlinehändlern besonders beliebt, da das Liken und Teilen Besucher anzieht, Feedback zu Produkten aller Art mit sich bringt und grundsätzlich eine erhöhte Reichweite garantiert.
Die Website "FashionID" – der Online-Shop des Düsseldorfer Modehauses Peek & Cloppenburg – hatte den Facebook-Like-Button bis Mai 2015 implementiert. Hierdurch wurden beim Aufruf der Seite personenbezogene Daten wie IP-Adresse, Webbrowser-Kennung des Besuchers sowie Datum und Zeit des Aufrufs automatisch erhoben und an Facebook weitergeleitet. Und dies unabhängig davon, ob der Besucher den Like-Button angeklickt hat, bei Facebook eingeloggt war oder überhaupt ein Facebook-Konto hatte.
Verbraucherzentrale NRW mahnte Fashion-Website ab
Die Verbraucherzentrale Nordrhein-Westfalen hielt die automatische Erhebung und Weitergabe der Daten an Facebook mangels Rechtsgrundlage für rechtswidrig und forderte FashionID auf, den Like-Button so nicht mehr zu nutzen. Das Unternehmen weigerte sich; der Fall wurde dem Gericht vorgelegt. Nachdem FashionID vor dem Landesgericht Düsseldorf unterlag, ist Facebook dem Berufungsverfahren vor dem OLG Düsseldorf auf Seiten von FashionID beigetreten.
Datenschutzrechtlich relevante Fragen dem EuGH vorgelegt
Im Januar 2017 hat das Oberlandesgericht sechs datenschutzrechtlich relevante Fragen im Vorabentscheidungsverfahren an den Europäischen Gerichtshof vorgelegt. Die Fragen umfassten unter anderem, wer für die Erhebung und Weitergabe von Daten über den Like-Button verantwortlich ist. Nur Facebook, und/oder auch der Betreiber der Internetseite, der das Plug-In implementiert hat? Bis zur nun ergangenen Entscheidung des EuGH hat das OLG Düsseldorf das Verfahren ausgesetzt.
EuGH: Entscheidung vom 29.07.2019, Az. C-40/17
Bereits letztes Jahr mussten sich die Richter des EuGH mit einer ähnlichen Frage auseinandersetzen: Sind die Betreiber von Facebook Fanpages gemeinsam mit Facebook für die erhobenen personenbezogenen Daten verantwortlich? Der EuGH bejahte dies, da nach seiner Ansicht die Fanpage-Betreiber im Wesentlichen entscheiden können, welche Daten von Besuchern erhoben werden und welche nicht.
Mit dem nun ergangenen Urteil zum Facebook-Like-Button hält der EuGH an dieser Entscheidung und Zuordnung der Verantwortlichkeiten fest. Der Generalanwalt des Europäischen Gerichtshofs hatte bereits früh den Standpunkt vertreten, dass Betreiber von Internetseiten mit der Implementierung des Like-Buttons, ähnlich wie Betreiber von Fanpages, für die Erhebung und Übermittlung von personenbezogenen Daten gemeinsam mit Facebook verantwortlich sind.
Auch hier hätten die Betreiber die Möglichkeit zu entscheiden, welche Daten erhoben werden. FashionID hingegen war der Auffassung, sie seien mangels Einflussmöglichkeiten auf die Datenerhebung nicht verantwortlich. Die Richter des EuGH haben sich nun – wie dies regelmäßig der Fall ist – der Ansicht des Generalanwalts angeschlossen. Für die Erhebung und Übermittlung der Daten sind Internetseitenbetreiber und das soziale Netzwerk gemeinsam verantwortlich. Dies umfasst im konkreten Fall auch die Pflicht der Internetseitenbetreiber vor Erhebung und Übermittlung der Daten an Facebook vom Seitenbesucher eine Einwilligung einzuholen. Als Rechtsgrundlage reichen, so der EuGH, die berechtigten Interessen des Seitenbetreibers (heute: Art. 6 (1) f) DS-GVO) nicht aus. Wie Facebook die übermittelten Daten letztendlich verarbeitet, entziehe sich hingegen der Verantwortlichkeit des Seitenbetreibers. Auch eine (privilegierte) Auftragsverarbeitung scheide aus.
Wie wirkt sich das Urteil aus?
Seitenbetreiber müssen nun umdenken. Einerseits ist die Einwilligung von Besuchern einzuholen, wenn der Button direkt bei Besuch der Website „scharf“ gestellt sein soll. Andererseits sind die Datenschutzerklärungen zu überarbeiten, so dass hier über die Erhebung und Übermittlung von Daten an Facebook informiert wird. Im Übrigen sind Seitenbetreiber und Facebook als gemeinsam Verantwortliche nach Art. 26 DS-GVO verpflichtet, eine Vereinbarung abzuschließen. Eine entsprechende Vorlage stellt Facebook bereits für Fanpagebetreiber bereit. Diese ist nach Ansicht der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder allerdings nicht datenschutzkonform.
FashionID reagierte im Übrigen bereits frühzeitig auf die Abmahnung der Verbraucherzentrale und änderte die Funktionsweise des Like-Buttons (sog. 2-Klick Lösung), so dass Besucher der hiermit verbundenen Datenverarbeitung erst ausdrücklich zustimmen müssen.
Anmerkung:
Die Entscheidung des EuGH richtet sich zwar nach der alten Datenschutz-Richtlinie, da die Abmahnung der Verbraucherzentrale bereits einige Jahre alt ist. Der Begriff des Verantwortlichen ist in der DS-GVO allerdings sehr ähnlich wie in der Datenschutz-Richtlinie definiert. Somit lässt sich die Entscheidung des EuGH auch auf die aktuell geltende Rechtslage übertragen, aber auch auf andere Plug-Ins von Drittanbietern auf den Webseiten der Betreiber.