EuGH-Urteil zu Facebooks Like-Button

Das aktuelle Urteil des Europäischen Gerichtshofs wird einen großen Einfluss auf die Webseite-Gestaltung und weitere Internetpräsenzen haben.

Gegenstand des Urteils

Wie schon im Hinblick auf sog. „Facebook Fanpages“ urteilte der EuGH nun, dass Webseitebetreiber, die den „Gefällt mir“-Button auf ihrer Webseite so einbinden, dass personenbezogene Daten des Nutzers an Facebook übermittelt werden, gemeinsam mit Facebook verantwortlich für die Datenverarbeitung sind.

Hintergrund der aktuellen Entscheidung ist, dass mit dem Besuch der Webseite die IP-Adresse und die Browserdaten des Nutzers an Facebook übermittelt wird. Dies geschieht unabhängig davon, ob der Nutzer auf den Like-Button klickt und unabhängig davon, ob der Nutzer ein (Facebook-)Konto besitzt. Die Nutzer werden weder ausreichend über die dabei stattfindende Datenverarbeitung informiert, noch existiere eine rechtskonforme Einwilligung seitens des Nutzers und der Möglichkeit, der Datenerhebung zu wirksam zu widersprechen.

Gemeinsame Verantwortlichkeit des Webseitbetreibers mit Drittanbietern

Der EuGH urteile, dass der Webseitebetreiber gemeinsam mit Facebook für die damit einhergehende Datenverarbeitung (mit-)verantwortlich ist, gemäß Art. 26 DSGVO. Dabei sei es unerheblich, dass der Webseitenbetreiber (also Sie) nach der Übermittlung an Facebook überhaupt keinen Zugriff mehr auf die personenbezogenen Daten habe. Es reiche bereits aus, dass er durch die Einbindung des Gefällt-Mir-Buttons die Datenübermittlung an Facebook ermögliche und selbst von der durch den Klick auf den Button generierten Werbung profitiere. Denn hierdurch entschieden Facebook und der Webseitenbetreiber gemeinsam über die Zwecke und Mittel der Datenverarbeitung. Allerdings beschränkt der EuGH die gemeinsame Verantwortlichkeit auf die Phase der Erhebung der Daten der Webseitebesucher bzw. auf deren Übermittlung an Facebook. Für die spätere darauffolgende Verarbeitung soll dann Facebook allein verantwortlich sein.

Erfüllung sonstiger Datenschutz-Pflichten für Webseitebetreiber? Schwierig!

Nicht unerwähnt bleiben soll, dass Sie als (mit-)verantwortlicher Webseitebetreiber auch alle sonstigen datenschutzrechtlichen Pflichten erfüllen müssen, z.B. die Rechte der Betroffenen, wie das Recht auf Auskunft oder Löschung. Diese Rechte werden Sie aber kaum gegenüber Facebook durchsetzen und gewährleisten können. Auch hier stehen folglich Haftungs- und Bußgeldrisiken. So können etwa Auskunftsanfragen aber auch Bußgeldbescheide an jeden der beiden Verantwortlichen gerichtet werden, z.B. falls der andere Verantwortliche (Facebook) die Auskunft oder die Zahlung des Bußgelds verweigert. Sie haften also zunächst erstmal in vollem Umfang mit, wenngleich nationale Haftungszurechnungsregeln den Webseitebetreiber – je nach rechtlicher Interpretation – zu Gute kommen können.

Verbandsklagerecht – Verbraucherschutzverbände dürfen Datenschutzverstöße abmahnen

Der EuGH bejahte mit seinem aktuellen Urteil auch die umstrittene Frage, ob Verbraucherschutzverbände – neben den Aufsichtsbehörden – Datenschutzverstöße (kostenpflichtig) abmahnen dürfen und bestätigte damit auch das Verbandsklagerecht in dieser Hinsicht. Insofern bestehen für Webseitebetreiber entsprechende Risiken nicht nur im Hinblick auf die Datenschutzaufsichtsbehörden, sondern auch im Hinblick auf Verbraucherschutzverbände.

Achtung – Die Auswirkungen des Urteils betreffen nicht nur Like-Buttons Von besonderer Bedeutung ist, dass sich die Entscheidung auch auf Website-Analyse-Tools, Online-Marketing und Tracking-Tools, wie etwa Google Analytics, und sonstige Cookies bezieht.

Das bedeutet neben dem Erfordernis einer Einwilligung, transparenten Informationen für die Nutzer auch der Abschluss eines sog. Joint-Controller-Agreements. Bis die Anbieter der Analyse-Tools, z.B. Google, solche Agreements zum Abschluss zur Verfügung stellen, kann es dauern. Bis dahin ist der rechtskonforme Einsatz entsprechender Tools nicht möglich und birgt hohe Bußgeldrisiken.

Zugleich gilt das Urteil nicht nur für den Facebook-Like-Button, sondern grundsätzlich auch für alle anderen Social Media Plugins (z.B. Instagram, LinkedIn, Google+ etc.).

Handlungsempfehlungen und Vorgehensweise

Zu allererst sollten Sie eine Abwägungsentscheidung im Sinne einer Kosten-Nutzen-Relation treffen. Verzichten Sie daher besser auf den Einsatz entsprechender Widgets oder Tools, wenn diese Ihnen keine messbaren wirtschaftlichen Vorteile bringen (geringster Aufwand). Sofern Sie sich für den (weiteren) Einsatz entsprechender Tools entscheiden, sind u.a. einige wesentliche Voraussetzungen für den rechtskonformen Einsatz zwingend erforderlich:

1. Umfassende Information gegenüber dem Nutzer gemäß Art. 12, 13 und 14, z.B. in der Datenschutzerklärung mit einem entsprechenden Hinweis auf der Startseite.
2. Implementierung eines „Cookie-Opt-In-Banners“ (siehe https://www.cookiebot.com/de/), um die Einwilligung der Nutzer vor dem Setzen der Cookies (z.B. Google-Analytics-Cookie) einzuholen. Hierbei ist zu beachten, dass die Häkchen nicht vorgesetzt sein dürfen (Opt-Out), sondern der Nutzer die Haken aktiv setzen und hierdurch einwilligen muss.
3. Zusätzlich können Sie als Webseitenbetreiber durch besondere Plugins wie dem Shariff- Button oder der sog. „Zwei-Klicklösung“ die automatische Übermittlung personenbezogener Daten an Facebook & Co. bei Besuch des Internetauftritts unterbinden. Erst bei einem bzw. zwei vorgeschalteten Klicks durch den Nutzer, wird diesem das Teilen von Inhalten ermöglicht und ein personenbezogener Kontakt zwischen dem Nutzer und dem Anbieter (z.B. Facebook) hergestellt.
4. Abschluss eines Joint-Controller-Agreements mit dem jeweiligen Anbieter des Tools (z.B. Facebook, Google etc.). Aktuell bietet leider nur Facebook ein solches Agreement an und auch nur für den Bereich „Facebook-Fanpage“. Es ist daher aktuell leider nicht möglich, alle rechtlichen Voraussetzungen zu erfüllen, wodurch stets ein Haftungsrisiko für Sie besteht.

Sofern Sie Social-Plugins und/oder sonstige Analysetools (Google-Analytics) etc. einsetzen, so empfehlen wir die Umsetzung der vorstehend skizzierten Maßnahmen.

Hierbei stehen wir Ihnen wie gewohnt jederzeit beratend zur Seite.