Luxemburg. Der Betreiber einer Website, in der der "Gefällt mir"-Button von Facebook enthalten ist, kann für das Erheben und die Übermittlung der personenbezogenen Daten der Besucher seiner Website gemeinsam mit Facebook verantwortlich sein. Dagegen ist er grundsätzlich nicht für die spätere Verarbeitung dieser Daten allein durch Facebook verantwortlich.
Das sagt die offizielle Pressemitteilung des Gerichtshofs der Europäischen Union. Sein Urteil fiel am 29.7.2019 im Rechtsstreit zwischen der Fashion ID GmbH & Co. KG und der Verbraucherzentrale NRW eV.
Fashion ID, ein deutscher Online-Händler für Modeartikel, band den "Gefällt mir"-Button von Facebook mittels eines von Facebook vorgegeben Codes in ihre Website ein. Anscheinend hat diese Einbindung zur Folge, dass beim Aufrufen der Website von Fashion ID durch einen Besucher die personenbezogenen Daten dieses Besuchers an Facebook Ireland übermittelt werden. Offenbar erfolgt diese Übermittlung, ohne dass sich der Besucher dessen bewusst ist, und unabhängig davon, ob er Mitglied des sozialen Netzwerks Facebook ist oder den Gefällt mir-Button angeklickt hat.
Urteil: Facebooks 'Like'-Button transportiert unerlaubt Daten.Foto: neonbrand unsplash
Daher wirft die Verbraucherzentrale NRW, ein gemeinnütziger Verband zur Wahrung von Verbraucherinteressen, Fashion ID vor, personenbezogene Daten der Besucher ihrer Website ohne deren Einwilligung und unter Verstoss gegen die Informationspflichten nach den Vorschriften über den Schutz personenbezogener Daten an Facebook Ireland übermittelt zu haben.
Dem EuGH-Urteil voran ging ein Urteil des Landgerichts Düsseldorfs, das im März 2016 der Verbraucherschutzzentrale NRW Recht gab und Fashion ID die Nutzung des Like-Buttons auf ihrer Website untersagte. Der Mutterkonzern Peek & Cloppenburg legte daraufhin Berufung ein und der Fall ging an das Oberlandesgericht Düsseldorf, welches den Prozess aussetzte, um dem EuGH einige Fragen zur Vorabklärung vorzulegen.
Information oder Einwilligung?
Laut Rechtsanwalt Christian Solmecke, Partner der Kanzlei Wilde Beuger Solmecke, hat das EuGH offen gelassen, ob der Betreiber einer Webseite von nun an immer die Einwilligung der Nutzer einholen muss oder ob ein berechtigtes Interesse aller Beteiligten als Rechtfertigungsgrund ausreicht – das müsse nun das OLG Düsseldorf klären. Sollten jedoch durch das Plugin Cookies bei den Nutzern gesetzt werden, sei eine Einwilligung stets erforderlich.
In jedem Fall müssten Seitenbetreiber eine gewisse Informationspflicht erfüllen, d.h. es muss in der Datenschutzerklärung ausdrücklich darauf hingewiesen werden, dass Daten erhoben und an Facebook weitergeleitet werden. Wie Facebook diese Daten dann weiter verarbeitet, muss von den Webseiten-Betreibern hingegen nicht erwähnt werden, da sie dafür als nicht verantwortlich angesehen werden können.
Digitalverbände kritisieren das Urteil
Dass Nutzer und Besucher einer Webseite zum Beispiel in den Datenschutz-Bestimmungen über die Verarbeitung informiert werden, sei prinzipiell noch nachvollziehbar, so der Bundesverband Digitale Wirtschaft. "Hier aber wieder das Einwilligungsprinzip für alle Nutzer zugrunde zu legen, geht an jeder Realität vorbei – das macht jede Webseiten-Nutzung aus Sicht der Nutzer maximal kompliziert und umständlich", kritisiert BVDW-Vizepräsident Thomas Duhr.
Und Bitkom lässt verlautbaren: "Mit seiner Entscheidung bürdet der EuGH tausenden Webseiten-Betreibern eine enorme Verantwortung auf – vom kleinen Reiseblog bis zum Online-Megastore und den Portalen grosser Verlage. Nicht nur wer den Like-Button eingebunden hat, muss jetzt handeln. Das Urteil wird sich auf alle gängigen Social Media-Plugins auswirken". / kn, MF
Auf der sicheren Seite Wer das Urteil des OLG Düsseldorf nicht abwarten, sondern auf Nummer sicher gehen möchte, hat nun zwei Möglichkeiten: Die erste ist die 2-Klick-Lösung: Dabei wird zuerst nur eine Grafik des Social Plugins eingebunden. Klickt der Nutzer auf das Bild, erscheint eine Eingabemaske, in der er seine Einwilligung geben muss. Erst wenn dies erfolgt ist, wird das echte Plugin nachgeladen. Eine Alternative dazu ist der vom heise-Verlag zusammen mit der Fachzeitschrift c't entwickelte Shariff-Button. Dabei wird kein Code in die Website eingebunden, sondern ein einfacher HTML-Link gesetzt, über den keine Daten automatisch übertragen werden. Dieser Link kann mit CSS individuell gestaltet werden. Die Kommunikation zwischen dem Nutzer und den sozialen Plattformen erfolgt über ein auf dem Server des Webseiten-Betreibers abgelegtes Skript, d.h. der Server steht als Vermittler zwischen dem Nutzer und der Plattform. Eine Verbindung zwischen den beiden wird erst dann hergestellt, wenn der Nutzer aktiv wird, d.h. auf einen Share- oder Like-Button klickt. Der Shariff-Button steht zum Download als Open Source auf Github zum Download zur Verfügung. In beiden Fällen sollte die Datenschutz-Erklärung einen Hinweis enthalten, dass Daten erhoben und an Soziale Dienste übermittelt werden. / MF |