EuGH zum Facebook Like-Button

Gemeinsame Verantwortlichkeit bei Social Media Plugins

05.08.2019
Von  und Yvonne Wolski  
Christian Kuss ist Rechtsanwalt der Luther Rechtsanwaltsgesellschaft mbH in Köln. Sein Tätigkeitsschwerpunkt liegt auf IT- und Datenschutzrecht.
In der Rechtssache C-40/17 erging am 29.07.2019 das Urteil des Europäischen Gerichtshofs. Die Autoren dieses Artikels nehmen das zum Anlass, die Einbindung von Social Media Plug-Ins aus datenschutzrechtlicher Sicht umfassend zu prüfen.

Der Europäische Gerichtshof sorgt durch sein Urteil in der Sache Fashion ID GmbH & Co. KIG gegen Vertgraucherzentrale NRW e.V. im Zusammenhang mit dem Facebook Like-Button für vermeintlich mehr Rechtssicherheit im Zusammenhang mit der Einbindung von Social Media Buttons. Webseitenbetreiber, die den Like-Button oder ähnliche Plugins von Twitter, LinkedIn und Co. nutzen, sind gemeinsam mit dem entsprechenden Dienst für die Einhaltung des Datenschutzes verantwortlich.

Der Klick auf den Facebook Like Button einer Website löst einen Datenaustausch zwischen dem Betreiber der Website und Facebook aus, der für die Besucher nur schwer bis gar nicht nachvollziehbar ist.
Der Klick auf den Facebook Like Button einer Website löst einen Datenaustausch zwischen dem Betreiber der Website und Facebook aus, der für die Besucher nur schwer bis gar nicht nachvollziehbar ist.
Foto: sitthiphong - shutterstock.com

Der Like-Button

Gegenstand des Verfahrens waren datenschutzrechtliche Fragen im Zusammenhang mit der Datenübertragung durch den Like-Button von Facebook. Durch das Einbinden des Like-Buttons werden personenbezogene Daten der Webseitenbesucher an Facebook übertragen - ohne dass diese überhaupt davon Kenntnis nehmen. Indem der Webseitenbetreiber den Button auf seiner Webseite einbindet, setzt er einen Verweis auf fremde Inhalte von Facebook. Beim Aufrufen der Webseite erkennt der Browser den Verweis, fordert die entsprechenden Inhalte von Facebook an und übermittelt hierfür personenbezogene Daten des Besuchers an Facebook. Das sind zum Beispiel die IP-Adresse oder Datum und Uhrzeit des Zugriffs.

Dies geschieht unabhängig davon, ob der Like-Button angeklickt wird oder ob überhaupt eine Facebook-Mitgliedschaft besteht.

Verbraucherzentrale erzwingt Entscheidung

Die nordrheinwestfälische Verbraucherzentrale war der Ansicht, dass dies nicht rechtens sei und forderte den Online-Shop Fashion ID auf, die Einbindung zu unterlassen. Hiergegen wehrte sich das Unternehmen von Peek & Cloppenburg vor Gericht. In zweiter Instanz setzte das Oberlandesgericht Düsseldorf das Verfahren aus und legte dem EuGH insgesamt sechs Fragen zur Entscheidung vor.

Der EuGH hatte zunächst zu entscheiden, ob Verbraucherverbände wegen Verstößen gegen das Datenschutzrecht überhaupt klagebefugt sind. Dies war nach der alten EU-Datenschutzrichtlinie umstritten, auch nach der DSGVO wurde dies teilweise angezweifelt. Der EuGH dürfte jedoch mit seiner Aussage, dass bereits nach der alten Richtlinie eine Klagebefugnis gegeben war und die DSGVO eine solche Klagebefugnis nun sogar ausdrücklich regele, diesem Streit ein Ende gesetzt haben.

Danach widmete sich der EuGH der zentralen Frage, ob Fashion ID überhaupt datenschutzrechtliche Pflichten treffen oder ob hier die Verantwortung nicht allein bei Facebook liegen müsse - insbesondere unter Berücksichtigung der Tatsache, dass Fashion ID als Webseitenbetreiber weder erkennen noch beeinflussen könne, welche Daten an Facebook übertragen werden und wie diese dann weiter verarbeitet werden. Rechtlicher Maßstab für die Entscheidung war hier ebenfalls noch die alte EU-Datenschutzrichtlinie, die mittlerweile von der DSGVO abgelöst wurde. Die Aussagen des EuGH lassen sich jedoch grundsätzlich auch auf die Rechtslage unter der Datenschutzgrundverordnung übertragen.

Gemeinsame Verantwortlichkeit - Umfang und Grenzen

In diesem Zusammenhang betont der Gerichtshof zunächst die Zielsetzung des Europäischen Datenschutzrechts, ein hohes Schutzniveau für die Rechte der betroffenen Personen zu gewährleisten. Ein wirksamer und umfassender Schutz könne nur erreicht werden, wenn der Adressatenkreis der datenschutzrechtlichen Pflichten entsprechend weit gezogen werde.

"Verantwortlicher" im Sinne des Datenschutzrechts ist demnach jeder, der allein oder gemeinsam mit anderen über Zweck und Mittel der Verarbeitung personenbezogener Daten entscheidet. Maßgeblich ist, ob ein Eigeninteresse an der Datenverarbeitung besteht und in diesem Eigeninteresse Einfluss auf die Datenverarbeitung genommen wird.
Bei der Einbindung des Like-Buttons verfolgt der Webseitenbetreiber wirtschaftliche Interessen, um die Reichweite seines Auftritts zu erhöhen und damit optimierte Werbung für seine Produkte schalten zu können. Facebook erhält im Gegenzug die Möglichkeit, die übertragenen Daten seinerseits für wirtschaftliche Zwecke zu nutzen. Das Mittel der Datenerhebung ist der Like-Button, welchen Facebook bereitstellt und den der Webseitenbetreiber wissentlich in seine Webseite einbindet. Hieraus folgt nach Auffassung des EuGH die gemeinsame Verantwortlichkeit - in der DSGVO geregelt in Art. 26, auch "Joint Controllership" genannt - von Facebook und Webseitenbetreibern.

Das Gericht sah es dabei als unerheblich an, dass Fashion ID keinen Einfluss auf die Datenübertragung hat. Es verwies zur Begründung auf die Tatsache, dass eine gemeinsame Verantwortlichkeit nicht zwingend voraussetzt, dass jeder Verantwortliche Zugang zu den personenbezogenen Daten hat. Vielmehr könne jeder Beteiligte in verschiedenen Phasen und in unterschiedlichem Ausmaß der Datenverarbeitung einbezogen sein, so dass der Grad der Verantwortlichkeit von den Umständen des Einzelfalls abhängig ist.

Der EuGH stellte aber auch klar, dass die gemeinsame Verantwortlichkeit von Facebook und Webseitenbetreiber auf diejenigen Verarbeitungsvorgänge beschränkt ist, bei denen gemeinsam über Zweck und Mittel der Verarbeitung entschieden wird.
Dies ist im Fall des Like-Buttons die Erhebung der personenbezogenen Daten sowie die Übermittlung.

Was Facebook nach der Übermittlung mit den Daten macht, entzieht sich dem Einfluss des Webseitenbetreibers, so dass er dafür nicht mehr verantwortlich ist und die gemeinsame Verantwortlichkeit mit der Übermittlung endet.