Facebook-Like-Button: Websitebetreiber sind (mit)verantwortlich

Der Fall

Bei Verwendung sogenannter Social-Sharing-Plugins werden Cookies auf den Rechner des Websitebesuchers heruntergeladen. Der Browser stellt dann automatisch eine Verbindung mit den Servern von Facebook her und übermittelt auch personenbezogene Daten dorthin. Betroffen davon sind alle Websitebesucher, auch solche ohne einen Facebook-Account. Mit den so übermittelten Daten erstellt Facebook Nutzerprofile, um anhand derer personalisierte Werbung zu schalten.

Zusätzlich wird durch Gebrauch eines „Gefällt mir“-Buttons auf der Website ein sog. iFrame eingebunden. Durch diesen fremden Content im Quelltext der eigentlichen Website ist Facebook in der Lage, bereits beim Seitenaufruf die Referer-URL zu erfahren. Darüber hinaus wird auch ein ggfs. bereits früher gesetztes Cookie an den Facebook-Server übertragen. Surft der Anwender im Netz und ist währenddessen bei Facebook eingeloggt, kann der Nutzer anhand der Sitzungs-ID zugeordnet und das Surfverhalten nachverfolgt werden.

Das Urteil

Im aktuellen Fall argumentiert der EuGH, dass davon ausgegangen werden kann, dass die beiden Beklagten Fashion ID (Onlineshop der Peek & Cloppenburg KG) und Facebook Irland gemeinsam über die Zwecke und Mittel der Übertragung der Daten entscheiden. Die Einbindung des „Gefällt mir“-Buttons von Facebook durch Fashion ID im Onlineshop ermöglicht letzteren die Werbung für ihre Produkte zu optimieren, indem diese im sozialen Netzwerk Facebook sichtbarer gemacht werden, wenn ein Besucher ihrer Webseite den Button anklickt.

Zur Erlangung dieses wirtschaftlichen Vorteils scheint Fashion ID – zumindest stillschweigend – in das Erheben personenbezogener Daten der Besucher ihrer Website und deren Weitergabe durch Übermittlung eingewilligt zu haben.

Als (Mit-)Verantwortlicher muss der Betreiber den Besuchern seiner Website zum Zeitpunkt des Erhebens bestimmte Informationen, wie beispielsweise seine Identität und die Zwecke der Verarbeitung, zur Verfügung stellen.

Die Verantwortung hinsichtlich der späteren Verarbeitung der Daten durch Facebook liegt aber alleine bei Facebook. Es erscheint laut EuGH nämlich auf den ersten Blick ausgeschlossen, dass Fashion ID über die Zwecke und Mittel dieser Vorgänge entscheidet.

Der EuGH präzisiert dann, was dies für die beiden zu unterscheidenden relevanten Fälle der „Einwilligung“ und des „berechtigten Interesses“ bedeutet:

• Zu dem Fall, in dem die betroffene Person ihre Einwilligung gegeben hat, entscheidet der EuGH, dass der Betreiber einer Website wie Fashion ID diese Einwilligung vorher (nur) für die Vorgänge einholen muss, für die er (mit-)verantwortlich ist. Also für das Erheben und die Übermittlung der Daten.
• Zu den Fällen, in denen die Datenverarbeitung zur Verwirklichung eines berechtigten Interesses erforderlich ist, entscheidet der EuGH, dass jeder der für die Verarbeitung (Mit-)Verantwortlichen, d.h. der Websitebetreiber und der Social-Media-Plattformbetreiber, mit dem Erheben und der Übermittlung der personenbezogenen Daten ein berechtigtes Interesse wahrnehmen muss, damit diese Vorgänge für jeden Einzelnen von ihnen gerechtfertigt sind.

Damit hat der EuGH die Lösung über ein berechtigtes Interesse nicht grundsätzlich ausgeschlossen. Jedoch wird dieses im Rahmen der erforderlichen Interessenabwägung nur sehr schwer zu begründen sein. Im vorliegenden Fall hat dies jetzt das OLG Düsseldorf, welches die Vorlage an den EuGH eingereicht hatte, unter Zugrundenahme von dessen Rechtsauffassung zu klären.

In unseren regelmäßigen Besprechungen von Urteilen zum Datenschutzrecht erklären wir Ihnen die Konsequenzen für den Unternehmensalltag.

Praktische Konsequenzen des Urteils

Die Konsequenz aus dem EuGH-Urteil wird sein, dass Websitebetreiber, die auf ihrer Seite Social-Plugins wie den „Gefällt mir“-Button verwenden möchten, informieren oder (falls erforderlich) eine Einwilligung einholen müssen, bevor Daten erhoben und übermittelt werden können. Das heißt in der Regel direkt beim ersten Aufrufen der Website. Aufgrund des wohl nur sehr schwer zu begründenden berechtigten Interesses beider mitverantwortlicher Parteien wird es wohl auf die Einwilligungslösung als Regel hinauslaufen.

Neben dem Verzicht auf Social-Plugins bieten sich deshalb folgende Lösungen für Webseitenbetreiber an:

• Das Einholen einer informierten Einwilligung bei Websiteaufruf über einen sog. Consent-Banner. Wird dies nicht gewährt, wird die Nutzung der Website nicht möglich sein oder es muss eine alternative Seite geladen werden, bei der keine Social-Plugins eingebunden sind.
• Das Implementieren einer sog. „2-Klick-Lösung“. Bei dieser muss der Nutzer durch seinen ersten Klick auf einen Funktionsbutton zunächst den Social-Button überhaupt aktivieren. Daraufhin wird er gemäß den Anforderungen an die notwendige Einwilligung informiert. Nur wenn er dann auch mit einem zweiten Klick einwilligt, wird der Button aktiv. Erst dann findet eine Erhebung und Übermittlung personenbezogener Daten statt.
• Die Shariff-Lösung. Bei dieser wird ein serverseitiges Skript eingebunden, das sich in die Kommunikation mit dem sozialen Netzwerk zwischenschaltet. Solange der Nutzer nicht aktiv auf den Plugin-Link bzw. -Button klickt, werden in diese Richtung keine Daten erhoben und übermittelt.

Als die aus Sicht des Datenschutzes wohl beste und am einfachsten zu implementierende Lösung empfehlen wir die letzte Variante. Die Shariff-Lösung bietet einen Weg, bei dem die jeweiligen Interessen berücksichtigt sind. Der Websitebetreiber kann weiterhin Social-Sharing-Buttons einbinden, ohne die Nutzbarkeit seiner Website einzuschränken. Die Plattformen bekommen jedoch nur dann persönliche Daten zur Verarbeitung, wenn der Nutzer sich proaktiv dafür entscheidet.

Da nur eine informierte Entscheidung freiwillig erfolgen kann, lautet die Devise auch in diesem Fall, je transparenter für den Besucher, desto sicherer für den Verantwortlichen.

Mehr über den datenschutzkonformen Einsatz von Social-Plugins mittels Shariff- oder 2-Klick-Lösung finden sie in unserem speziellen Artikel zu diesem Thema.