EuGH zum Facebook Like-Button

Gemeinsame Verantwortlichkeit bei Social Media Plugins

05.08.2019

Von

Christian Kuss (Experte)

und

Yvonne Wolski (Autor)

Christian Kuss ist Rechtsanwalt der Luther Rechtsanwaltsgesellschaft mbH in Köln. Sein Tätigkeitsschwerpunkt liegt auf IT- und Datenschutzrecht.

Alle Posts des Autors Email:

Yvonne Wolski ist Rechtsreferendarin und wissenschaftliche Mitarbeiterin bei Luther Rechtsanwaltsgesellschaft mbH. Ihre Tätigkeitsschwerpunkte liegen im Datenschutz- und IT-Recht.

Alle Posts des Autors

Gemeinsame Verantwortlichkeit - gemeinsame Pflichterfüllung

Folge der gemeinsamen Verantwortlichkeit ist zunächst, dass beide - sowohl Facebook als auch Webseitenbetreiber - in Bezug auf Erhebung und Übermittlung der personenbezogenen Daten durch den Like-Button den Vorgaben der DSGVO unterliegen. Demnach ist die Verarbeitung personenbezogener Daten nur rechtmäßig, wenn für jeden Verantwortlichen eine eigene entsprechende Rechtsgrundlage besteht. Darüber hinaus hat der Verantwortliche weitere Pflichten zu erfüllen, wobei insbesondere die Informationspflicht herauszuheben ist.

Nach Art. 26 DSGVO muss dabei zwischen den gemeinsam Verantwortlichen in transparenter Form festgelegt werden, wer die Erfüllung welcher datenschutzrechtlichen Pflichten - zum Beispiel die Wahrnehmung der Betroffenenrechte - übernimmt.

Rechtsgrundlage für die Verarbeitung

Nach den Ausführungen des EuGH kommen als Rechtsgrundlage für die Verarbeitung im Fall der Social Media Plugins

eine Einwilligung des Nutzers (Art. 6 Abs. 1 lit. a DSGVO) oder
ein berechtigtes Interesse der Verantwortlichen (Art. 6 Abs. 1 lit. f DSGVO)

in Betracht.
Ein berechtigtes Interesse kann die Datenverarbeitung nur insoweit rechtfertigen, wie Interessen des Betroffenen nicht überwiegen. Insofern ist eine Interessenabwägung anzustellen. Zugunsten des Webseitenbetreibers erkennt die DSGVO Werbung als berechtigtes Interesse an. Jedoch ist es stark von den Umständen des Einzelfalls abhängig, ob Werbeinteressen nicht hinter den Interessen der Betroffenen zurückzutreten haben.

Wer sich auf berechtigte Interessen stützen möchte, nimmt also starke Rechtsunsicherheiten in Kauf.

Auch eine Einwilligung ist nicht unproblematisch- Siie ist an bestimmte Voraussetzungen geknüpft, muss dokumentiert werden und ist überdies jederzeit frei widerruflich. Daneben behindert das Einholen der Einwilligung - nach Ansicht der Aufsichtsbehörden am besten mittels Banner und Opt-in für jeden einzelnen Punkt - in erheblichem Maße das Usererlebnis auf der Webseite.

Alternativen zum Social Media Button

Wegen der Schwierigkeiten der datenschutzkonformen Einbindung der Social Media Plugins haben sich mittlerweile Alternativen hierzu etabliert. Neben der "Zwei-Klick-Lösung" werden auch die Tools "Shariff" oder "Embetty" von den Datenschutzaufsichtsbehörden überwiegend positiv aufgenommen. Die Alternativen haben gemeinsam, dass beim Aufruf der Webseite zunächst keine Datenverarbeitung stattfindet und erst durch das Anklicken des Buttons aktiviert wird.

Gleichwohl sehen Datenschützer auch diese Lösungen kritisch und sehen die datenschutzrechtlichen Probleme in Bezug auf Rechtsgrundlage und Informationspflichten nicht als gelöst an. Die rechtssicherste - aber aus Sicht des viralen Marketings unvorteilhafte - Lösung stellt das Setzen eines einfachen Links dar. Dieser kann grafisch gestaltet werden, so dass er sich optisch nicht von den gewöhnlichen Buttons unterscheidet. Angesichts der im Datenschutzrecht bestehenden Haftungsrisiken ist diese Lösung eine Erwägung wert - zumindest bis zur endgültigen Klärung der Rechtslage.

Ausblick

In Bezug auf das Urteil des EuGH ist klarzustellen, dass der Gerichtshof sich nicht zur datenschutzrechtlichen Zulässigkeit von Social Plugins per se geäußert hat. Er hat lediglich ausgesprochen, dass den Webseitenbetreiber eine Verantwortlichkeit für die Datenverarbeitung trifft. Ob ein Webseitenbetreiber sich auf berechtigte Interessen stützen kann oder ob eine Einwilligung zwingend ist, muss das OLG nun nach den Vorgaben des EuGH entscheiden.
Insofern ist der weitere Gang des Verfahrens mit Spannung zu verfolgen. Die Informationspflichten gelten aber in jedem Fall, so dass Webseitenbetreiber in Zukunft nicht mehr dazu beitragen werden, dass Facebook und Co. heimlich Daten sammeln.

Lesetipp: Facebook rüstet bei Werbertechnologie auf

Für Webseitenbetreiber bedeutet das Urteil des EuGH jetzt vor allem, den Einsatz von Social Plugins zu prüfen und zu überdenken. Jedenfalls müssen sie die Besucher ihrer Seite über die Datenverarbeitung ausreichend und in geeigneter Weise informieren, um sich nicht einem Haftungsrisiko auszusetzen.
Hierfür kommen zum Beispiel die Datenschutzerklärung oder entsprechende Cookie-Banner in Frage, deren Gestaltung und Platzierung jedoch ebenfalls diversen Vorgaben unterworfen sind. Schlussendlich sollte auch geprüft werden, ob Vereinbarungen nach Art. 26 DSGVO mit dem Anbieter der Plug-Ins vorhanden beziehungsweise rechtswirksam sind. Hier bestanden bisher insbesondere bei den von Facebook versendeten Vereinbarungen und Informationsblättern erhebliche Zweifel.

Sie sind Rechtsanwalt im IT-Bereich und veröffentlichen gerne nutzbringende Artikel. Dann bewerben Sie sich im IDG-Expertennetzwerk

Aktuelle IDG-Studien

Seit der Einführung von ChatGPT beherrscht kein anderes IT-Thema so die Schlagzeilen wie (generative) künstliche Intelligenz. Wir schauen auf Einsatzszenarien, Hintergründe und Folgen.

Mehr zur Studie erfahren
Der Einsatz von No-/Low-Code boomt. Lange dauert es wohl nicht mehr, bis Software-Entwicklung und Prozessmodellierung via grafischer UI das klassische Coding überholen. Mehr in der Studie.

Mehr zur Studie erfahren
Unternehmen rüsten auf: Je komplexer die Gefährdungslage, desto stärker der Bedarf an Security Services. Dazu alles zu Cyberattacken und Gegenmaßnahmen.

Mehr zur Studie erfahren
Hybrid Work: Wer als Arbeitgeber für die jungen Generationen interessant und attraktiv sein will, darf nicht auf eine moderne IT-Infrastruktur und -Arbeitsumgebung verzichten. Mehr in der Studie.

Mehr zur Studie erfahren
Das datengesteurte Unternehmen - Realität oder Hirngespinst? Erst wenige Firmen schaffen es, mithilfe von Daten-Insights neue Geschäftsmodelle auf die Beine zu stellen. Mehr in der Studie.

Mehr zur Studie erfahren
Für knapp neun von zehn Unternehmen kommt künftig eine Migration in die Cloud ohne strategischen Ansatz nicht infrage. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Unternehmen wollen energieeffizienter und nachhaltiger werden. Dazu müssen sie aber noch ihre IT-Strategien anpassen und die notwendige Datenbasis schaffen. Mehr dazu in der Studie.

Mehr zur Studie erfahren
Integrationsplattformen sind Drehscheiben für die Vernetzung von Anwendungen im Unternehmen und unterstützen zudem die Prozessautomatisierung. Mehr in der Studie.

Mehr zur Studie erfahren
Die End-to-End-Automatisierung von Geschäftsprozessen stellt einen wichtigen Eckpfeiler der digitalen Transformation der Unternehmen dar. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Auch in wirtschaftlich schwierigen Zeiten ist das (IT/Enterprise) Service Management geschäftskritsich - gerade mit Hinblick auf eine stärkere (Prozess-)Automatisierung. Trends und Zahlen dazu in der Studie.

Mehr zur Studie erfahren