Ein Webseiten-Betreiber, der den Facebook Like-Button auf seiner Webseite einbindet, ist für die durch den Button ausgelöste Erhebung personenbezogener Daten durch Facebook mitverantwortlich.
Der EuGH hat im Rahmen eines mit Spannung erwarteten Urteils zum sogenannten Facebook Like-Button ein wenig mehr Rechtssicherheit für Webseiten-Betreiber geschaffen. Webseiten-Betreiber, die den Like-Button (auch „Gefällt mir″-Button) auf ihren Webseiten einbinden, trifft nach der Entscheidung des Gerichts eine selbstständige datenschutzrechtliche Verantwortlichkeit neben der des sozialen Netzwerkes.
Die Entscheidung dürfte Auswirkungen weit über den Fall Facebook hinaus haben.
Verbraucherzentrale sah datenschutzrechtliches Problem bei Einbindung von Like-Buttons auf Unternehmenswebseiten ohne vorherige Einwilligung
Der EuGH hatte sich im Rahmen eines Vorabentscheidungsverfahrens gem. Art. 267 AEUV auf Antrag des Oberlandesgerichts Düsseldorf mit insgesamt sechs Rechtsfragen auseinanderzusetzen. Das OLG Düsseldorf ist als Berufungsinstanz mit einem Rechtsstreit zwischen der Verbraucherzentrale Nordrhein-Westfalen und dem Betreiber eines Online-Shops für Bekleidung befasst.
Die Rechtsfragen zur Vorabentscheidung betrafen insbesondere die Frage der datenschutzrechtlichen Zulässigkeit der Verwendung eines Like Buttons des sozialen Netzwerks Facebook auf der Webseite des Online-Shops. Der Einsatz solcher Like-Buttons ermöglicht einem Unternehmen, die Sichtbarkeit seiner Produkte oder Dienstleistungen zu erhöhen. Klickt ein registrierter Facebook-Nutzer auf den Button unter einem Produkt, wird seinen Facebook-Freunden das entsprechende Produkt in seinem Facebook-Feed angezeigt.
Die Verbraucherzentrale stört sich an der technischen Funktionsweise der Like-Buttons. Durch deren Einbindung auf einer Webseite erhält Facebook unabhängig von einer Betätigung des „Gefällt mir“- Buttons oder einer Mitgliedschaft des Webseiten-Besuchers im sozialen Netzwerk Zugang zu personenbezogenen Daten des Besuchers. Übermittelt werden Daten wie etwa die IP-Adresse oder durch Facebook gesetzte Cookies. Von dieser Übermittlung bekommt ein Webseiten-Besucher im Regelfall nichts mit. Facebook kann die Daten theoretisch nutzen, um dem Webseiten-Besucher personalisierte Werbung anzuzeigen.
Die Verbraucherzentrale ist der Ansicht, eine solche Datenübermittlung an Facebook verstoße gegen europäisches Datenschutzrecht, wenn der Webseiten-Besucher vor der Übermittlung nicht umfänglich über die Datenverarbeitung informiert werde und dieser vorher ausdrücklich zustimme.
Gemeinsame Verantwortlichkeit von Webseitenbetreiber und Facebook
Kernfrage des Vorabentscheidungsverfahrens war die datenschutzrechtliche Verantwortlichkeit des Betreibers einer Webseite, wenn er Like-Buttons auf seiner Seite einbindet. Zwar bezieht sich die Entscheidung des Gerichts auf einen Fall von 2015, mithin einen solchen, der zeitlich vor Inkrafttreten der Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 liegt. Das Gericht hatte den Fall aus diesem Grund nach den Normen der Datenschutzrichtlinie und nicht der DSGVO zu entscheiden. Die Entscheidung entfaltet aber ebenso Wirkung nach der aktuellen Rechtslage, da die DSGVO in weiten Teilen deckungsgleich mit der Datenschutzrichtlinie im Anwendungsbereich und Schutzniveau ist.
Das Gericht zog zur Begründung einer datenschutzrechtlichen Verantwortlichkeit des Webseiten-Betreibers zum einen den Zweck der Datenschutzrichtlinie, einen wirksamen und umfassenden Schutz des Betroffenen zu gewährleisten, heran. Dieser bedinge eine weite Auslegung des Begriffs des „Verantwortlichen“ im Sinne der Richtlinie.
Eine Verantwortlichkeit des Webseiten-Betreibers ergebe sich zunächst daraus, dass er durch Einbindung des Like-Buttons auf seiner Webseite die Datenerhebung durch Facebook erst ermögliche. Außerdem willige der Webseiten-Betreiber zumindest stillschweigend in die Erhebung der Daten durch Facebook ein, indem der Button eingebunden wird. Darüber hinaus läge auch aufgrund des erheblichen wirtschaftlichen Eigeninteresses des Webseiten-Betreibers an der Erhebung der Daten durch Facebook eine eigene datenschutzrechtliche Verantwortlichkeit vor. Die Verantwortlichkeit des Einbindenden sei auch deshalb als besonders hoch einzustufen, weil die Übermittlung der Daten an Facebook bereits mit dem bloßen Besuch der Webseite erfolge und nicht erst mit Betätigen des Buttons. Im Ergebnis liegt damit eine gemeinsame Verantwortlichkeit zwischen dem Websitebetreiber und Facebook vor.
Gleichzeitig grenzte der EuGH in seinem Urteil die Verantwortlichkeit des Webseiten-Betreibers aber auch wieder ein. So erfasse diese nur die eigentliche Erhebung der Daten durch Facebook, aber nicht die weitere Verwendung durch Facebook. Auf diese habe der Webseiten-Betreiber nämlich keinen Einfluss.
Berechtigtes Interesse oder Einwilligung – EuGH legt sich nicht fest
Auch der Pflichtenkatalog, den das europäische Datenschutzrecht dem Verantwortlichen einer Datenverarbeitung auferlegt, beschränke sich laut Entscheidung des Gerichts nur auf die Phase, für die der Webseiten-Betreiber selbst verantwortlich sei. Die Reichweite der Informationspflicht des Verantwortlichen über die Art und den Umfang der erhobenen Daten gegenüber dem von der Verarbeitung betroffenen Nutzer soll nur für die eigentliche Erhebung und Übermittlung der Daten gelten, aber mangels Einflussnahmemöglichkeit nicht für die weitere Verwendung durch Facebook.
Nicht entschieden hat der EuGH, auf welche Rechtsgrundlage die Datenverarbeitung durch den Like-Button gestützt werden kann. Entgegen anderslautender Meldungen hat sich das Gericht nicht eindeutig zu dem Erfordernis einer Einwilligung positioniert. Ob eine solche erforderlich ist oder die Verarbeitung auf Grundlage von berechtigten Interessen gerechtfertigt werden kann, hat das OLG Düsseldorf zu entscheiden.
Der EuGH stellte jedoch klar, dass – im Falle der Erforderlichkeit einer Einwilligung – diese sich ebenfalls nur auf die Phase der Datenerhebung durch Facebook beziehe. Sie müsse aber in jedem Falle vom Webseiten-Betreiber eingeholt werden, da die Datenerhebung bereits mit Besuch der Webseite beginne.
Klagerecht von Verbraucherverbänden
Außerdem entschied der EuGH, dass die Regelung eines Klagerechts von Verbraucherverbänden mit der Datenschutzrichtlinie vereinbar sei. Dieser Teil der Entscheidung hat jedoch keine ausschlaggebende Relevanz mehr, da nach der nunmehr in Kraft getretenen DSGVO ohnehin gem. Art. 80 II DSGVO ein solches Klagerecht für Verbraucherverbände explizit vorgesehen ist.
Auswirkungen auf die Praxis: Übermittlung von IP-Adresse an Dritte braucht transparente Information und Rechtsgrundlage
Die Entscheidung des EuGH hat Bedeutung über den Facebook Like-Button hinaus. Die Einbindung von Drittinhalten, egal ob Social Plug-Ins, Anwendungen wie Google Maps oder Youtube-Videos, geht in den meisten Fällen zwingend mit der Datenerhebung der IP-Adresse durch den Anbieter einher.
Die Entscheidung des EuGH bringt Rechtsklarheit dahingehend, dass der Webseiten-Betreiber, der Drittinhalte einbindet, transparent über die Datenerhebung des Drittanbieters bei Besuch der Webseite informieren muss. Weiterhin muss der Webseiten-Betreiber mit dem jeweiligen Anbieter einen Vertrag über die Gemeinsame Verantwortlichkeit nach Art. 26 DSGVO schließen. Es bleibt abzuwarten, inwieweit Anbieter auf das Urteil reagieren werden und entsprechende Vertragstexte bereitstellen.
Unsicher bleibt die Frage der Notwendigkeit einer Einwilligung. Beobachtet man allerdings die gegenwärtige Diskussion zur datenschutzrechtlichen Zulässigkeit von Tracking Cookies, dürfte auch die Einbindung von Plug-Ins nach Ansicht der Datenschutzaufsichten und Gerichte eine Einwilligung erforderlich machen. Denn wie Tracking Cookies ermöglicht auch die Datenübermittlung durch Plug-Ins die Verfolgung von Webseiten-Besuchern über verschiedene Webseiten.
Eine Einwilligung des Webseiten-Besuchers in die Datenerhebung durch die Drittanbieter könnte auf unterschiedliche Weise abgebildet werden. In Betracht käme die Einbindung von Schaltflächen beim jeweiligen Plug-In, wie bereits bei der sogenannten Zwei-Klick-Lösung im Einsatz. Alternativ könnten Pop-Up Fenster, ähnlich Cookie-Bannern, beim Besuch der Webseite angezeigt werden. Unabhängig davon, welche Möglichkeit man wählt, müsste allerdings sichergestellt werden, dass der Webseiten-Besucher durch einen entsprechenden Erläuterungstext über die Tragweite seiner Zustimmung informiert wird. Wie dies möglich sein soll, ohne dass der Webseiten-Betreiber konkret weiß, wie der Drittanbieter die Daten weiterverarbeitet, bleibt offen. In jedem Falle ist aber davon auszugehen, dass die Notwendigkeit einer Einwilligung zu einer weiteren Überfrachtung der Webseiten mit Hinweisen führen wird.
