Der Europäische Gerichtshof sorgt durch sein Urteil in der Sache Fashion ID GmbH & Co. KIG gegen Vertgraucherzentrale NRW e.V. im Zusammenhang mit dem Facebook Like-Button für vermeintlich mehr Rechtssicherheit im Zusammenhang mit der Einbindung von Social Media Buttons. Webseitenbetreiber, die den Like-Button oder ähnliche Plugins von Twitter, LinkedIn und Co. nutzen, sind gemeinsam mit dem entsprechenden Dienst für die Einhaltung des Datenschutzes verantwortlich.
Foto: sitthiphong - shutterstock.com
Der Like-Button
Gegenstand des Verfahrens waren datenschutzrechtliche Fragen im Zusammenhang mit der Datenübertragung durch den Like-Button von Facebook. Durch das Einbinden des Like-Buttons werden personenbezogene Daten der Webseitenbesucher an Facebook übertragen - ohne dass diese überhaupt davon Kenntnis nehmen. Indem der Webseitenbetreiber den Button auf seiner Webseite einbindet, setzt er einen Verweis auf fremde Inhalte von Facebook. Beim Aufrufen der Webseite erkennt der Browser den Verweis, fordert die entsprechenden Inhalte von Facebook an und übermittelt hierfür personenbezogene Daten des Besuchers an Facebook. Das sind zum Beispiel die IP-Adresse oder Datum und Uhrzeit des Zugriffs.
Dies geschieht unabhängig davon, ob der Like-Button angeklickt wird oder ob überhaupt eine Facebook-Mitgliedschaft besteht.
Verbraucherzentrale erzwingt Entscheidung
Die nordrheinwestfälische Verbraucherzentrale war der Ansicht, dass dies nicht rechtens sei und forderte den Online-Shop Fashion ID auf, die Einbindung zu unterlassen. Hiergegen wehrte sich das Unternehmen von Peek & Cloppenburg vor Gericht. In zweiter Instanz setzte das Oberlandesgericht Düsseldorf das Verfahren aus und legte dem EuGH insgesamt sechs Fragen zur Entscheidung vor.
Der EuGH hatte zunächst zu entscheiden, ob Verbraucherverbände wegen Verstößen gegen das Datenschutzrecht überhaupt klagebefugt sind. Dies war nach der alten EU-Datenschutzrichtlinie umstritten, auch nach der DSGVO wurde dies teilweise angezweifelt. Der EuGH dürfte jedoch mit seiner Aussage, dass bereits nach der alten Richtlinie eine Klagebefugnis gegeben war und die DSGVO eine solche Klagebefugnis nun sogar ausdrücklich regele, diesem Streit ein Ende gesetzt haben.
Danach widmete sich der EuGH der zentralen Frage, ob Fashion ID überhaupt datenschutzrechtliche Pflichten treffen oder ob hier die Verantwortung nicht allein bei Facebook liegen müsse - insbesondere unter Berücksichtigung der Tatsache, dass Fashion ID als Webseitenbetreiber weder erkennen noch beeinflussen könne, welche Daten an Facebook übertragen werden und wie diese dann weiter verarbeitet werden. Rechtlicher Maßstab für die Entscheidung war hier ebenfalls noch die alte EU-Datenschutzrichtlinie, die mittlerweile von der DSGVO abgelöst wurde. Die Aussagen des EuGH lassen sich jedoch grundsätzlich auch auf die Rechtslage unter der Datenschutzgrundverordnung übertragen.
Gemeinsame Verantwortlichkeit - Umfang und Grenzen
In diesem Zusammenhang betont der Gerichtshof zunächst die Zielsetzung des Europäischen Datenschutzrechts, ein hohes Schutzniveau für die Rechte der betroffenen Personen zu gewährleisten. Ein wirksamer und umfassender Schutz könne nur erreicht werden, wenn der Adressatenkreis der datenschutzrechtlichen Pflichten entsprechend weit gezogen werde.
"Verantwortlicher" im Sinne des Datenschutzrechts ist demnach jeder, der allein oder gemeinsam mit anderen über Zweck und Mittel der Verarbeitung personenbezogener Daten entscheidet. Maßgeblich ist, ob ein Eigeninteresse an der Datenverarbeitung besteht und in diesem Eigeninteresse Einfluss auf die Datenverarbeitung genommen wird.
Bei der Einbindung des Like-Buttons verfolgt der Webseitenbetreiber wirtschaftliche Interessen, um die Reichweite seines Auftritts zu erhöhen und damit optimierte Werbung für seine Produkte schalten zu können. Facebook erhält im Gegenzug die Möglichkeit, die übertragenen Daten seinerseits für wirtschaftliche Zwecke zu nutzen. Das Mittel der Datenerhebung ist der Like-Button, welchen Facebook bereitstellt und den der Webseitenbetreiber wissentlich in seine Webseite einbindet. Hieraus folgt nach Auffassung des EuGH die gemeinsame Verantwortlichkeit - in der DSGVO geregelt in Art. 26, auch "Joint Controllership" genannt - von Facebook und Webseitenbetreibern.
Das Gericht sah es dabei als unerheblich an, dass Fashion ID keinen Einfluss auf die Datenübertragung hat. Es verwies zur Begründung auf die Tatsache, dass eine gemeinsame Verantwortlichkeit nicht zwingend voraussetzt, dass jeder Verantwortliche Zugang zu den personenbezogenen Daten hat. Vielmehr könne jeder Beteiligte in verschiedenen Phasen und in unterschiedlichem Ausmaß der Datenverarbeitung einbezogen sein, so dass der Grad der Verantwortlichkeit von den Umständen des Einzelfalls abhängig ist.
Der EuGH stellte aber auch klar, dass die gemeinsame Verantwortlichkeit von Facebook und Webseitenbetreiber auf diejenigen Verarbeitungsvorgänge beschränkt ist, bei denen gemeinsam über Zweck und Mittel der Verarbeitung entschieden wird.
Dies ist im Fall des Like-Buttons die Erhebung der personenbezogenen Daten sowie die Übermittlung.
Was Facebook nach der Übermittlung mit den Daten macht, entzieht sich dem Einfluss des Webseitenbetreibers, so dass er dafür nicht mehr verantwortlich ist und die gemeinsame Verantwortlichkeit mit der Übermittlung endet.
Gemeinsame Verantwortlichkeit - gemeinsame Pflichterfüllung
Folge der gemeinsamen Verantwortlichkeit ist zunächst, dass beide - sowohl Facebook als auch Webseitenbetreiber - in Bezug auf Erhebung und Übermittlung der personenbezogenen Daten durch den Like-Button den Vorgaben der DSGVO unterliegen. Demnach ist die Verarbeitung personenbezogener Daten nur rechtmäßig, wenn für jeden Verantwortlichen eine eigene entsprechende Rechtsgrundlage besteht. Darüber hinaus hat der Verantwortliche weitere Pflichten zu erfüllen, wobei insbesondere die Informationspflicht herauszuheben ist.
Nach Art. 26 DSGVO muss dabei zwischen den gemeinsam Verantwortlichen in transparenter Form festgelegt werden, wer die Erfüllung welcher datenschutzrechtlichen Pflichten - zum Beispiel die Wahrnehmung der Betroffenenrechte - übernimmt.
Rechtsgrundlage für die Verarbeitung
Nach den Ausführungen des EuGH kommen als Rechtsgrundlage für die Verarbeitung im Fall der Social Media Plugins
eine Einwilligung des Nutzers (Art. 6 Abs. 1 lit. a DSGVO) oder
ein berechtigtes Interesse der Verantwortlichen (Art. 6 Abs. 1 lit. f DSGVO)
in Betracht.
Ein berechtigtes Interesse kann die Datenverarbeitung nur insoweit rechtfertigen, wie Interessen des Betroffenen nicht überwiegen. Insofern ist eine Interessenabwägung anzustellen. Zugunsten des Webseitenbetreibers erkennt die DSGVO Werbung als berechtigtes Interesse an. Jedoch ist es stark von den Umständen des Einzelfalls abhängig, ob Werbeinteressen nicht hinter den Interessen der Betroffenen zurückzutreten haben.
Wer sich auf berechtigte Interessen stützen möchte, nimmt also starke Rechtsunsicherheiten in Kauf.
Auch eine Einwilligung ist nicht unproblematisch- Siie ist an bestimmte Voraussetzungen geknüpft, muss dokumentiert werden und ist überdies jederzeit frei widerruflich. Daneben behindert das Einholen der Einwilligung - nach Ansicht der Aufsichtsbehörden am besten mittels Banner und Opt-in für jeden einzelnen Punkt - in erheblichem Maße das Usererlebnis auf der Webseite.
Alternativen zum Social Media Button
Wegen der Schwierigkeiten der datenschutzkonformen Einbindung der Social Media Plugins haben sich mittlerweile Alternativen hierzu etabliert. Neben der "Zwei-Klick-Lösung" werden auch die Tools "Shariff" oder "Embetty" von den Datenschutzaufsichtsbehörden überwiegend positiv aufgenommen. Die Alternativen haben gemeinsam, dass beim Aufruf der Webseite zunächst keine Datenverarbeitung stattfindet und erst durch das Anklicken des Buttons aktiviert wird.
Gleichwohl sehen Datenschützer auch diese Lösungen kritisch und sehen die datenschutzrechtlichen Probleme in Bezug auf Rechtsgrundlage und Informationspflichten nicht als gelöst an. Die rechtssicherste - aber aus Sicht des viralen Marketings unvorteilhafte - Lösung stellt das Setzen eines einfachen Links dar. Dieser kann grafisch gestaltet werden, so dass er sich optisch nicht von den gewöhnlichen Buttons unterscheidet. Angesichts der im Datenschutzrecht bestehenden Haftungsrisiken ist diese Lösung eine Erwägung wert - zumindest bis zur endgültigen Klärung der Rechtslage.
Ausblick
In Bezug auf das Urteil des EuGH ist klarzustellen, dass der Gerichtshof sich nicht zur datenschutzrechtlichen Zulässigkeit von Social Plugins per se geäußert hat. Er hat lediglich ausgesprochen, dass den Webseitenbetreiber eine Verantwortlichkeit für die Datenverarbeitung trifft. Ob ein Webseitenbetreiber sich auf berechtigte Interessen stützen kann oder ob eine Einwilligung zwingend ist, muss das OLG nun nach den Vorgaben des EuGH entscheiden.
Insofern ist der weitere Gang des Verfahrens mit Spannung zu verfolgen. Die Informationspflichten gelten aber in jedem Fall, so dass Webseitenbetreiber in Zukunft nicht mehr dazu beitragen werden, dass Facebook und Co. heimlich Daten sammeln.
Lesetipp: Facebook rüstet bei Werbertechnologie auf
Für Webseitenbetreiber bedeutet das Urteil des EuGH jetzt vor allem, den Einsatz von Social Plugins zu prüfen und zu überdenken. Jedenfalls müssen sie die Besucher ihrer Seite über die Datenverarbeitung ausreichend und in geeigneter Weise informieren, um sich nicht einem Haftungsrisiko auszusetzen.
Hierfür kommen zum Beispiel die Datenschutzerklärung oder entsprechende Cookie-Banner in Frage, deren Gestaltung und Platzierung jedoch ebenfalls diversen Vorgaben unterworfen sind. Schlussendlich sollte auch geprüft werden, ob Vereinbarungen nach Art. 26 DSGVO mit dem Anbieter der Plug-Ins vorhanden beziehungsweise rechtswirksam sind. Hier bestanden bisher insbesondere bei den von Facebook versendeten Vereinbarungen und Informationsblättern erhebliche Zweifel.