Der EuGH hat zum Facebook Like-Button (Gefällt-mir-Button) am 29.07.2019 entschieden, dass der Betreiber einer Website für das Erheben und die Übermittlung von personenbezogenen Daten der Besucher seiner Website gemeinsam mit Facebook verantwortlich sein kann (EuGH Urteil vom 29.07.2019 – C 40/17). Für die spätere Verarbeitung dieser Daten ist grundsätzlich Facebook allein verantwortlich.
Sachverhalt der EuGH Entscheidung zum Facebook Like-Button
Die Verbraucherzentrale NRW reichte gegen einen Online-Händler für Modeartikel beim Landgericht Düsseldorf Klage ein. Die Verbraucherzentrale NRW ist ein gemeinnütziger Verband zur Wahrung von Verbraucherinteressen. Die Klage richtete sich gegen die Einbindung des Facebook „Like-Button“ (Gefällt mir-Button) auf der Website der Beklagten. Die Klägerin begründet die Klage damit, dass durch die Einbindung des Like-Buttons schon beim ersten Besuch einer Webseite personenbezogene Daten des Website-Besuchers ohne dessen Einwilligung an Facebook Ireland übermittelt werden.
Recht auf informationelle Selbsbestimmung betroffen
Die Datenübermittlung erfolgt, ohne dass sich die Besucher dessen bewusst sind, und unabhängig davon, ob sie Mitglied bei Facebook sind. Auch ist es nicht erforderlich, den „Gefällt mir“-Button angeklickt zu haben. Deswegen liegen nach Ansicht der Verbraucherzentrale NRW Verstöße gegen das Recht auf informationelle Selbstbestimmung vor. Es werden durch den Facebook Like-Button nämlich personenbezogene Daten wie IP-Adresse erfasst. Ferner können Besucherprofile für eigene Marketingzwecke erzeugt werden. Dadurch kann Facebook nachvollziehen, welche Internetseiten von dem Besucher aufgerufen wurden.
Die Verbraucherzentrale NRW konnte sich beim Landgericht zunächst nur teilweise durchsetzen. Deshalb ging der Fall in die Berufung zum OLG Düsseldorf. Das OLG Düsseldorf legte sodann dem EuGH mehrere Fragen zur Vorabentscheidung vor.
Wesentliches Ergebnis des EuGH Urteils
Der EuGH entschied zu den wichtigsten Vorlagefragen im Ergebnis wie folgt:
- Verbände zur Wahrung von Verbraucherinteressen dürfen gegen den mutmaßlichen Verletzer von Vorschriften zum Schutz personenbezogener Daten vorgehen und sind deshalb klagebefugt.
- Der Verwender des Facebook Like-Buttons ist für das Erheben von personenbezogenen Daten und deren Übermittlung an Facebook Ireland gemeinsam mit Facebook verantwortlich. Beide entscheiden gemeinsam über die Zwecke und Mittel der Datenverwendung.
- Datenschutzrechtlich verantwortlich ist der Betreiber einer Website aber nur für seinen eigenen Bereich, Facebook hingegen für die anschließende Verarbeitung, auf die der Websitebetreiber keinen Einfluss mehr hat.
Auswirkungen der Entscheidung – alle Social-Media-Plugins betroffen
Die Grundsatzentscheidung des EuGH wirkt sich nicht nur auf den Facebook Like-Button aus. Betroffen sind letztendlich alle Social-Media-Plugins, die automatisch Daten an Dritte ohne vorhergehende Einwilligung des Besuchers weiterleiten.
Vor der Nutzung von Social-Media-Plugins müssen Sie zukünftig mit dem jeweiligen Anbieter der Plugins eine Vereinbarung über die gemeinsame Verantwortlichkeit gemäß Art. 26 Abs. 1 S. 2 DSGVO treffen. Ohne eine solche Vereinbarung ist die Nutzung des Social Plugins nach Datenschutzrecht unzulässig.
Da der EuGH und auch das OLG Düsseldorf noch nach altem Datenschutzrecht (Datenschutzrichtlinie) und nicht nach neuem Recht entscheiden müssen, gibt der EuGH keine Hinweise zur DSGVO. Das OLG Düsseldorf wird die vom EuGH nunmehr entschiedenen Grundsätze allerdings noch im aktuellen Fall umsetzen müssen. Insoweit bleibt die Frage spannend, ob sich das Gericht für eine Einwilligungslösung entscheiden wird. Alternativ könnte das Gericht auch zu dem Ergebnis kommen, dass sich die jeweils Verantwortlichen für ihre datenschutzrechtlichen Bereiche auf ein berechtigtes Interesse zur Einbindung dieses Buttons bzw. der daraus gewonnenen Daten berufen können.
Worauf müssen Webseitenbetreiber jetzt achten
Da das OLG Düsseldorf noch keine abschließende Entscheidung getroffen hat, ist gegenwärtig unklar, ob eine vorhergehende Einwilligung des Website-Besuchers mit der Datenübertragung durch den Facebook Like-Button erforderlich ist. Oder, ob ein berechtigtes Interesse beider Nutznießer des Buttons (also Websitebetreiber und Facebook) ausreicht. Im letzteren Fall käme es dann zukünftig auf Art. 6 Abs. 1 lit. f. DSGVO an.
Wir empfehlen beim Einsatz des Facebook Like-Buttons
2-Klick-Lösung
Nutzen Sie mindestens eine „2-Klick-Lösung“. Es gibt bereits viele Anbieter, die entsprechende Plugin’s anbieten.
Bei der „2-Klick“-Lösung erscheint beim Seitenaufruf nicht unmittelbar das Social-Plugin des sozialen Netzwerks. Es ist vielmehr nur ein visueller Hinweis auf ein entsprechendes passives Symbol vorhanden, mit dem eine Verknüpfung zum sozialen Netzwerk aktiviert werden kann. Klickt ein Besucher dann erstmalig auf dieses Symbol, wird er zunächst über seine datenschutzrechtlich erforderliche Einwilligung informiert. Erst wenn er durch einen zweiten Klick bestätigt, dass personenbezogene Daten im Falle des Aktivierens übertragen werden dürfen, wird das betreffende Social-Plugin aktiv nachgeladen und eine Informationsübertragung an das soziale Netzwerk aufgebaut.
Die 2-Klick-Lösung dürfte den Anforderungen an eine „eindeutig bestätigende Handlung“ i. S. d. Art. 4 Nr. 11 DSGVO entsprechen. Dafür spricht insbesondere der Erwägungsgrund 32 zur DSGVO. Danach können User ihre Einwilligung etwa durch Anklicken eines Kästchens beim Besuch einer Internetseite abgeben, mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert.
Stillschweigen, bereits angekreuzter Kästchen oder Untätigkeit der betroffenen Person sollten nach Erwägungsgrund 32 zur DSGVO keine Einwilligung darstellen.
Vereinbarung über die gemeinsame Verantwortlichkeit
Schließen Sie mit dem Anbieter des Social-Media Plugin eine Vereinbarung über die gemeinsame Verantwortlichkeit gemäß Art. 26 Abs. 1 S. 2 DSGVO ab. Derartige Vereinbarungen sollten zukünftig von den Social-Media Anbietern bereitgestellt werden.
Passende Datenschutzerklärung
Wir empfehlen auch, zu jedem datenschutzrechtlich relevanten Social-Media-Plugin in Ihre Datenschutzerklärung entsprechende Hinweise aufzunehmen. Passende Datenschutzerklärungen erstellen wir Ihnen gerne für Ihre Website oder Ihren Onlineshop. Nehmen Sie Kontakt mit uns auf.