Jeder kennt ihn: den berühmten „Gefällt mir“-Button von Facebook. Doch wer diesen Button oder ein anderes Social-Plugin auf seiner Webseite einbindet, hat gemeinsam mit dem Netzwerk Sorge dafür zu tragen, dass keine personenbezogenen Daten ohne Zustimmung des Nutzers übermittelt werden.
Der Europäische Gerichtshof (EuGH) hat mit seinem Urteil C-40/17 vom 29.07.2019 entschieden, dass Webseitenbetreiber, die einen „Gefällt-mir“- Button auf ihrer Seite einbinden, für die Einhaltung datenschutzrechtlicher Vorgaben ebenso verantwortlich sind wie Facebook selbst. Weiterhin müssen die Seitenbetreiber in der Datenschutzerklärung darüber aufklären, welche Daten durch die Einbindung von Social-Plugins gesammelt und verarbeitet werden. Besonders brisant dabei ist, dass IP-Adresse und Browser-String an die sozialen Netzwerke weitergeleitet werden, auch wenn der betroffene Seitenbesucher keinen Account in sozialen Medien unterhält.
Verbraucherschützer gegen Fashion ID
Socia- Media Plugins tragen weitestgehend dazu bei, Besucher auf die Seite zu locken und Likes direkt über die eigene Seite zu generieren. Zudem ermöglichen solche Plugins schnelles Kundenfeedback und fördern im besten Fall auch den Absatz.
Ähnlich setzte auch FashionID.de, der Betreiber der Webseite des Modehauses Peek & Cloppenburg, den „Gefällt mir“-Button auf deren Webseite ein. Die Besucher wurden jedoch nicht ausreichend über die Datenverarbeitung aufgeklärt. Zudem fehlte die Möglichkeit, in die Datenerhebung einzuwilligen bzw. zu widersprechen. Dies beanstandeten auch die nordrhein-westfälischen Verbraucherschützer und bekamen vom Landgericht Düsseldorf Recht.
Das durch die Berufungsinstanz involvierte Oberlandgericht Düsseldorf konnte jedoch kein eindeutiges Urteil fällen, weswegen der EuGH um Hilfe bei Auslegung der Richtlinie 95/46 gebeten wurde.
Entscheidung des EuGH
Der EuGH urteilte, dass die Betreiber der Webseiten zusammen mit den sozialen Netzwerken zusammen für die Datenverarbeitungsvorgänge verantwortlich sind. Dabei stützen sich die Richter auf ein bereits im Sommer gefälltes Urteil bezüglich Facebook-Fanpages (wir berichteten). Dabei spielt es keine Rolle, dass der Betreiber der Webseite nach Übermittlung der Daten an Facebook keinen Zugriff mehr darauf hat. Entscheidend ist, dass er die Datenerhebung durch Einbindung eines Social-Media Plugins ermöglicht. Problematisch ist nun, dass es keinen Vertrag zur gemeinsamen Verantwortung im Hinblick auf Facebook Like-Button gibt. Selbst mit Einwilligung kann also kein datenschutzkonformer Einsatz stattfinden.
Was Webseitenbetreiber jetzt tun sollten
Verantwortliche sollten, sofern noch nicht geschehen, umgehend ihre Website dahingehend anpassen, dass vor Erhebung der Daten durch den Facebook Like-Button sowie idealerweise auch bei anderen Social-Plugins eine ausdrückliche Einwilligung (Opt-In) eingeholt werden muss. Selbstverständlich muss dann auch die Datenschutzerklärung entsprechend über den Einsatz aufklären.
Bzgl. der gemeinsamen Verantworlichkeit halten wir Sie auf dem Laufenden. In Kürze wird bei der IT-Recht Kanzlei DURY zu dem Thema „gemeinsame Verantworlichkeit“ auch ein Blog-Beitrag erscheinen.
UPDATE 31.07.2019: Facebook Like Button, Facebook Insights – Warum „gemeinsame Verantwortung“ immer wichtiger wird
Fazit
Nach unserer Ansicht ist gerade der „Gefällt mir“-Button von Facebook datenschutzrechtlich bedenklich, da im vorliegenden Fall keine Einwilligung zur Datenerhebung eingeholt wurde. Dies war auch bei anderen Seitenbetreibern der Regelfall. Das Urteil des EuGH war daher nur eine Zeitfrage. Wir vertreten diese Ansicht schon immer und weisen darauf stets in unseren Checklisten hin. Für unsere Kunden dürfte es sich also nicht viel ändern.
Falls Sie eine Webseite oder einen Online-Shop betreiben und Ihren Internetauftritt effektiv, nachhaltig gegen teure Bußgelder und Abmahnungen absichern möchten, stehen wir Ihnen mit unserem Website-Check bzw. unserem Paket für einen rechtssicheren Online-Shop gerne zur Seite. Sie erhalten von uns die auf Ihre Webseite angepassten Rechtstexte (Impressum, DSGVO-konforme Datenschutzerklärung, Widerrufsbelehrung, Muster-Widerrufsformular), die Sie dann auf nur noch auf ihrer Seite einpflegen müssen. Darüber hinaus wird ihre Seite durch einen spezialisierten Rechtsanwalt geprüft, selbstverständlich inklusive Haftungsübernahme.