Und täglich grüßt der „Like-Button“: EuGH entscheidet über Facebook Like Button
EuGH: Betreiber von Internetseiten sind datenschutzrechtlich mitverantwortlich, wenn sie den Facebook-Like-Button auf ihren Seiten einbinden (EuGH, Urt. v. 29.7.2019, Rechtssache C 40/17)
Hintergrund
Das OLG Düsseldorf hat sich in einem Berufungsverfahren mit einigen Fragen an den EuGH gewandt. Der Vorlage liegt ein Rechtsstreit zwischen der Verbraucherzentrale NRW und der Fashion-ID, dem Betreiber der Internetseite des Düsseldorfer Modehauses Peek & Cloppenburg zu Grunde. Im Kern geht es darum, dass das Modehaus in seinem Onlineshop einen sog. Like-Button („gefällt mir“) von Facebook einbindet. Damit werden automatisch Daten jedes Onlineshopbesuchers an Facebook übertragen. Dies geschieht unabhängig davon, ob der User selbst einen Account beim Social Media Riesen hat oder den Like-Button drückt.
Datenschutzverstoß durch Facebook Like Button?
Aus Sicht der Verbraucherzentrale verstoßen Internetseiten mit der Nutzung dieses Facebook-Plugins (Facebook Like Button) gegen das Datenschutzrecht. Denn durch Einbindung des Facebook Like Button findet bereits beim Aufruf der Seite – ungefragt – eine Übermittlung personenbezogener Daten an Facebook statt. Auf diese Weise können von Facebook anonyme „Surfprofile“ erstellt werden. Wenn ein Nutzer bei Facebook eingeloggt ist, kann Facebook dadurch nachvollziehen, welche Internetseiten er besucht hat. Der EuGH hat nun mit Urteil vom 29.7.2019 die Ansicht der Verbraucherzentrale weitestgehend bestätigt. Er hat festgestellt, dass die Einbindung des Facebook Like Buttons datenschutzrechtlich relevant ist und den Seitenbetreiber eine Verantwortlichkeit trifft.
Was genau hat der EuGH eigentlich entschieden?
Die zentralen Aussagen des Urteils des EuGH zum Facebook Like Button sind:
- Der Betreiber einer Website, der dort ein Social-Media-Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, personenbezogene Daten des Besuchers an Dritte (hier: Facebook) zu übermitteln, kann als für die Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 angesehen werden. Den Seitenbetreiber trifft also eine Mitverantwortlichkeit für die Erhebung und Weitergabe durch Übermittlung der Daten an Facebook.
- Diese Verantwortlichkeit des Seitenbetreibers ist jedoch auf solche Vorgänge der Verarbeitung personenbezogener Daten beschränkt, für die er tatsächlich über die Zwecke und Mittel entscheidet. Konkret bezieht sich das auf die Erhebung der in Rede stehenden Daten und deren Weitergabe durch Übermittlung.
- In derartigen Fällen ist es erforderlich, dass sowohl der Betreiber als auch der Anbieter mit diesen Verarbeitungsvorgängen jeweils ein berechtigtes Interesse im Sinne von Art. 7 Buchst. f der Richtlinie 95/46 wahrnimmt. Dies ist Voraussetzung dafür, dass der jeweilige Datenverarbeitungsvorgang für jeden von ihnen gerechtfertigt bzw. zulässig ist.
- Art. 10 der Richtlinie ist dahingehend auszulegen, dass in einer solchen Situation auch die in dieser Bestimmung vorgesehene Informationspflicht den Betreiber der Webseite bzw. des Onlineshops trifft. Dieser muss also die betroffene Person (Webseitenbesucher) über die Datenverarbeitung informieren .Dies gilt jedoch nur für die Vorgänge der Verarbeitung personenbezogener Daten, hinsichtlich derer der Webseitenbetreiber tatsächlich über die Zwecke und Mittel entscheidet. Das Dilemma aus Sicht des Seitenbetreibers ist nämlich, dass er im Rahmen seiner Mitverantwortung den Seitenbesucher über die Verwendung der personenbezogenen Daten informieren muss. Dies ohne eigentlich genau zu wissen, was Facebook mit den erhobenen Daten macht und zu welchem Zweck Facebook diese verwendet. Es ist ihm also teils unmöglich seiner Informationspflicht mittels einer Datenschutzerklärung nachzukommen.
- Unbeachtlich ist dabei, dass der Seitenbetreiber keinen Einfluss auf die Verarbeitung der auf diese Weise an den Anbieter (hier: Facebook) übermittelten Daten hat. Denn er entscheidet jedenfalls über das Mittel, da er mit dem Wissen der Datenübertragung gerade den Button in seiner Website integriert. Zum anderen entscheidet er auch über die Zwecke dieser Vorgänge der Verarbeitung personenbezogener Daten. Denn durch die Einbindung wird die Werbung für die Produkte der Webseitenbetreiber optimiert, indem diese im sozialen Netzwerk Facebook sichtbarer gemacht werden. Um in den Genuss dieses wirtschaftlichen Vorteils kommen zu können, scheint – so die Ansicht des europäischen Gerichtshofes – Fashion ID mit der Einbindung eines solchen Buttons in ihre Website zumindest stillschweigend in die Erhebung personenbezogener Daten der Besucher ihrer Website verbunden mit deren Weitergabe eingewilligt zu haben. Diese Vorgänge zeigen nach Ansicht des EuGH, dass ein Webseitenbetreiber (hier: Fashion ID) gemeinsam mit Facebook über die Zwecke und Mittel entscheiden kann. Folglich sind beide als verantwortlich im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 anzusehen.
- Nach Ansicht des EuGH ist dabei erforderlich, dass sowohl Betreiber, als auch Anbieter mit den jeweiligen Verarbeitungsvorgängen jeweils ein berechtigtes Interesse im Sinne von Art. 7 Buchst. f der Richtlinie 95/46 wahrnehmen. Andernfalls sind diese Vorgänge für jeden Einzelnen von ihnen nicht gerechtfertigt bzw. nicht zulässig. Dies insbesondere dann, wenn keine Einwilligung vorliegt.
Was müssen Website-Betreiber bei der Verwendung des Facebook Like Button künftig beachten?
Wie so oft heißt es auch hier wieder datenschutzrechtlich, dass derjenige, der einen wie in diesem Fall erheblichen Vorteil aus einer Sache zieht, sich nicht der Verantwortung entziehen kann. Webseitenbetreibern ist daher dringend zu raten, sofern sie die Vorteile des Facebook-Like-Buttons nutzen wollen, den Besucher darauf ausreichend hinzuweisen. Zudem sollten sie vorab eine entsprechende Einwilligung einholen oder zumindest ein berechtigtes Interesse dokumentieren und nachweisen können.
Sofern eine Einwilligung erforderlich ist bzw. eingeholt wird, muss der Seitenbetreiber diese nur für seinen Verantwortungsbereich einholen. Facebook hingegen muss diese für die anschließende Verarbeitung einholen. Technisch kann das mittels einer Zwei-Klick-Lösung umgesetzt werden. Seitenbetreibern ist (weiterhin) zu empfehlen, die sog. Zwei-Klick-Lösung zu verwenden oder auf den Facebook-Like-Button ganz zu verzichten. Anstelle des Like-Buttons kann man beispielsweise einen Hyperlink zum eigenen Facebook-Profil setzen.
Sofern die Datenverarbeitung auf ein berechtigtes Interesse gestützt werden soll, muss jeder der Verantwortlichen, also der Seitenbetreiber und Facebook jeweils ein eigenes berechtigtes Interesse haben und dieses auch nachweisen können. Ob dies künftig aber von den Gerichten als ausreichend erachtet wird, bleibt offen bzw. abzuwarten. Abschließend geklärt ist somit bisher nur die gemeinsame Verantwortlichkeit von Seitenbetreiber und Facebook. Das OLG Düsseldorf, das dem EuGH die Fragen vorgelegt hatte, muss nun noch auf Grundlage der Aussagen der Entscheidung des EuGH in der Sache entscheiden. Hierbei wird auch die sog. Cookie-Richtlinie (E-Privacy-Richtlinie) zu berücksichtigen sein.
Weitere Informationen und Kontakt
Weitere Informationen zum Datenschutzrecht finden Sie hier.
Sofern Sie Fragen zur datenschutzkonformen Gestaltung Ihrer Webseite oder Ihres Onlineshops haben, beraten unsere Anwälte Sie gerne. Rufen Sie uns an oder schreiben Sie uns.
© Isabelle B. Lehmann, Ass. jur., B.A. und Rechtsanwalt Christian Weber, WeSaveYourCopyrights Rechtsanwaltsgesellschaft mbH, 7.8.2019
verwandte Suchbegriffe: facebook, like, button, facebook like button, eugh, datenschutz, dsgvo, c 40/17, cookies, eugh urteil v. 29.7.2019
Sorry, the comment form is closed at this time.