Einsatz von Facebook wird immer schwieriger

Nach der Fanpage gerät auch Like-Button ins Kreuzfeuer des EuGH

Einsatz von Facebook wird immer schwieriger: Nach der Fanpage gerät auch Like-Button ins Kreuzfeuer des EuGH

Die Klage der Verbraucherschutzzentrale Nordrhein-Westfalen gegen das zur Textil-Einzelhandelskette Peek & Cloppenburg, Düsseldorf gehörende Unternehmen Fashion ID war erfolgreich und hat ein europäisches Grundsatzurteil hervorgebracht. Jetzt ist klar: Der Europäische Gerichtshof macht für auf Internetseiten eingebettete „Gefällt mir“-Buttons Facebook und den Betreiber der Internetseite gemeinsam verantwortlich. Daraus folgt: Die Nutzer müssen gemäß Art. 13 DSGVO u. a. über Ausmaß, Art und Zweck der Datenverarbeitung vom Website-Betreiber informiert werden. „Das Urteil sorgt für Klarheit, die bei einigen Website-Betreibern für viel Arbeit sorgen wird. Die Verantwortung liegt auch bei den Unternehmen, die die Datenerfassung ermöglichen“, kommentiert UIMC-Geschäftsführer Dr. Jörn Voßbein das EuGH-Urteil zum Facebook-Button. Wie sah der konkrete Fall aus? Was bedeutet das EuGH-Urteil für die Unternehmen? Welche Lösungen bieten sich an, um datenschutzrechtlich sauber im Netz zu agieren?

Der Fall, den der EuGH zur Urteilsfindung vorliegen hatte, kam vom Oberlandesgericht Düsseldorf. Konkret: Die Fashion ID, ein Onlineangebot der Modekette Peek & Cloppenburg band auf der Website den als Like-Button bekannten "Gefällt mir"-Button so ein, dass Nutzer direkt auf Facebook bekunden konnten, dass sie ein bestimmtes Produkt mögen. Allerdings wurden bereits beim Besuch der Seite die personenbezogenen Daten des Nutzers an Facebook übermittelt – egal, ob der Button überhaupt angeklickt wurde [1]; sofern es sich um eine Facebook-Mitglied handelt, werden die Daten auch dem Account personenbezogen zugeordnet. Der Like-Button übertrug beim Laden der Seite die IP-Adresse, die Webbrowser-Kennung sowie Datum und Uhrzeit des Aufrufs. Die Verbraucherschutzzentrale NRW klagte gegen die ihrer Auffassung nach rechtswidrige Praxis.

Klare Ansage des EuGH: Die Einbindung des Buttons ohne Zustimmung der Nutzer ist datenschutzrechtlich nicht in Ordnung, wenn dadurch personenbezogene Daten an den Anbieter des Plug-ins übermittelt werden. Grund: Der Button optimiere die Werbung für die Produkte von Fashion ID und mache diese bei Facebook sichtbarer. Das sei ein wirtschaftlicher Vorteil, so dass Fashion ID "zumindest stillschweigend" der Erhebung personenbezogener Daten von den Website-Besuchern akzeptiert habe. Die Einwilligung müsse vor dem Erheben der personenbezogenen Daten, gemäß Art. 13 Abs. 1 DSGVO spätestens zum Zeitpunkt der Erhebung dieser Daten, und deren Übermittlung erklärt werden. Der Verarbeitungsprozess der personenbezogenen Daten der Besucher der Website, in die der Like-Button oder andere Social Plug-ins eingebunden ist, würde bereits durch den Besuch der Webseite ausgelöst. Folglich sei die Einwilligung durch den Betreiber der Website, nicht durch den Anbieter des Social Plug-ins, von den Betroffenen einzuholen. Für die spätere Datenverarbeitung durch Facebook könne der Betreiber allerdings nicht verantwortlich gemacht werden.

Was bedeutet das Urteil nun für Unternehmen? Der felsenfeste Datenschutz-Grundsatz bleibt die Richtschnur, wonach für jede Datenverarbeitung eine Erlaubnis nötig ist – entweder durch ein Gesetz, eine Einwilligung des Betroffenen oder eine Abwägung. Der bekannte Cookie-Hinweis könnte sich nun auch auf den „Gefällt mir“-Button ausweiten. Wenn Unternehmen künftig – sei es, um auf Nummer sicher zu gehen – Einwilligungen von den Nutzern einholen, reicht kein pauschales „okay“. „Der Website-Betreiber muss präzise und verständlich über die Datenverarbeitung informieren und darlegen, was mit den Daten des Nutzers passiert“, erläutert UIMC-Geschäftsführer Dr. Jörn Voßbein.

Lösungen? Seit einiger Zeit gibt es bereits eine Lösung für das „Gefällt mir“-Problem: Der Heise-Verlag hat den „Shariff“ entwickelt. Ein Website-Anbieter bindet dann den Facebook-Button zwar ein, aktiviert ihn jedoch erst, wenn der Nutzer draufklickt. Diese Methode hat die UIMC ihren Kunden schon frühzeitig geraten, die auch von der Stiftung Datenschutz empfohlen wird. Außerdem hält UIMC für seine Kunden Muster-Datenschutzerklärungen für die Sicherstellung der Informationspflichten bereit.

Damit alles okay? Ob der Shariff-Button zu 100% eine Rechtssicherheit garantiert, wird aktuell durch Heise geprüft. „Doch sollte man nicht vergessen, dass in der Regel daneben noch eine Fanpage betrieben wird, die aktuell auch nicht rechtskonform genutzt werden kann“, so Dr. Voßbein weiter (die UIMC berichtete). Auch gelten die Konsequenzen letztlich auch für andere, in die eigene Internetpäsenz eingebundene Dienste, wie z. B. GoogleMaps, Webfonts, Plugins anderer sozialer Netzwerke und Tracking-Tools. [1] Diese Information ergibt sich „vorbehaltlich der Nachprüfung durch das vorlegende Gericht [das OLG Düsseldorf] aus den dem Gerichtshof [EuGH] vorliegenden Akten“ (C-40/17 Fashion ID GmbH & Co. KG gegen Verbraucherzentrale NRW e. V. Rn 75). „Es ist Sache des vorlegenden Gerichts, nachzuprüfen, ob in einer Situation wie der im Ausgangsverfahren in Rede stehenden der Anbieter eines Social Plugins, wie im vorliegenden Fall Facebook Ireland, Zugriff auf Informationen hat, die im Endgerät des Besuchers der Website des Betreibers gespeichert sind, wie die Kommission geltend macht.“ (Rn 90).