von RA Jan Lennart Müller

EuGH-Urteil zum „Like-“ Button von Facebook: Was Online-Händler und Webseitenbetreiber jetzt tun müssen

News vom 22.08.2019, 08:04 Uhr | Keine Kommentare

Der Europäischen Gerichtshof (Urteil vom 29.7.2019, Az.: C-40/17 – Fashion ID) hat zum "Gefällt-mir-" bzw. "Like-" Button von Facebook grundsätzliche Entscheidungen getroffen. Die Aussagen des EuGH betreffen aber nicht nur Facebook-Plugins, sondern vielmehr alle Social-Media-Plugins. Online-Händler und Websitebetreiber sind verunsichert, welche Konsequenzen aus dieser Entscheidung zu ziehen sind. Wir klären in unserem Beitrag auf und zeigen, was jetzt zu tun ist.

I. Was ist der „Gefällt-mir-„ bzw. „Like-“ Button von Facebook?

Für die Button-Funktionalität stellt das soziale Netzwerk Facebook einen Programmcode zur Verfügung, welcher vom Online-Händler bzw. Websitebetreiber in die HTML-Programmierung der Internetseite mittels eines sog. Iframes (= Inline-Frames) einbindet (sog. "Plugin"). Die Einbettung eines Plugins hat zur Folge, dass bei jedem Aufruf der Internetseite mit Plugins automatisch Daten an den Anbieter des Plugins (= Facebook) übertragen werden.

Der technische Ablauf beim Aufruf der Internetseite ist wie folgt: Der Browser des Internetnutzers, der die Website aufruft, sendet eine Anfrage an die IP-Adresse des Webservers, auf dem die Internetseite gehostet wird, an die eigene IP-Adresse den HTML-Code der Seite zu senden.

Der Webserver des Websitebetreibers sendet dann den HTML-Code der Internetseite an die IP-Adresse des Seitenbesuchers, dessen Browser die HTML- Daten interpretiert. Hierbei identifiziert der Browser anhand des HTML-Codes auch die zusätzlich zu ladenden Ressourcen, einschließlich des eingebundenen Facebook-Plugins. Wie durch den HTML-Code vorgegeben, fragt er bei der in den Code eingebundenen Adresse, dem Server von Facebook, unter Mitteilung u.a. der eigenen IP- Adresse und des sog. Browserstrings, einer Angabe über den benutzten Browser, um Übermittlung der Ressourcen, also der Button-Darstellung und der Funktionalität, an die IP- Adresse des Browsers.

Die erhaltenen Daten werden dann an der durch den HTML-Code vorgegebenen Stelle in der Bildschirmwiedergabe der Internetseite dargestellt. Dieser Vorgang bedeutet, dass Facebook bereits mit Aufruf der Seite der Websitebetreibers und unabhängig davon, ob die Funktion „Gefällt mir“ durch Anklicken genutzt wird, eine Mitteilung über den Seitenaufruf und bestimmte Informationen über die Abfrage erhält.

So werden in jedem Fall eines Aufrufs der Seite des Websitebetreibers bestimmte Grunddaten an Facebook übermittelt, jedenfalls die IP- Adresse, unter der der Seitenbesucher "online" ist, und der String des genutzten Browsers. Bei diesen Daten handelt es sich um die gleichen Daten, die bei Aufruf einer Webseite an den Server, auf dem die Internetseite gehostet ist, übermittelt werden. Die Übermittlung an Facebook erfolgt aber nicht über den Server des Websitebetreibers, sondern auf Grundlage des HTML-Codes direkt von dem Seitenbesuchercomputer an Facebook. Facebook erhält bei dieser Datenübermittlung auch eine Information über die besuchte Website, eine eindeutige ID dieser Website und weitere Daten des Computersystems des Seitenbesuchers, welcher die Seite des Websitebetreibers aufruft.

II. Welcher Sachverhalt lag der EuGH-Entscheidung zugrunde?

Die Fashion ID, ein Online-Händler für Modeartikel, band im Jahre 2015 auf der Website das Social Plugin „Gefällt mir“ bzw. "Like-" Button des sozialen Netzwerks Facebook ein. Die Verbraucherzentrale NRW, ein gemeinnütziger Verband zur Wahrung von Verbraucherinteressen, warf Fashion ID vor, personenbezogene Daten der Besucher ihrer Website ohne deren Einwilligung und unter Verstoß gegen die Informationspflichten nach den Vorschriften über den Schutz personenbezogener Daten an Facebook Ireland übermittelt zu haben.

Die Verbraucherzentrale NRW erhob gegen Fashion ID beim Landgericht Düsseldorf Klage auf Unterlassung und erhielt teilweise recht. Die Sache ging in die Berufungsinstanz zum OLG Düsseldorf. Das OLG Düsseldorf setzte das Berufungsverfahren aus und legte dem EuGH mehrere Fragen zur Vorabentscheidung vor.

Die Fragen des OLG Düsseldorf im Vorabentscheidungsverfahren an den EuGH lauteten:

"1. Steht die Regelung in den Art. 22, 23 und 24 der Richtlinie 95/46 einer nationalen Regelung entgegen, die neben den Eingriffsbefugnissen der Datenschutzbehörden und den Rechtsbehelfsmöglichkeiten des Betroffenen gemeinnützigen Verbänden zur Wahrung der Interessen der Verbraucher die Befugnis einräumt, im Falle von Verletzungen gegen den Verletzer vorzugehen?
Falls die erste Frage verneint wird:
2. Ist in einem Fall wie dem vorliegenden, bei dem jemand einen Programmcode in seine Website einbindet, der den Browser des Benutzers veranlasst, Inhalte von einem Dritten anzufordern und hierzu personenbezogene Daten an den Dritten zu übermitteln, der Einbindende „für die Verarbeitung Verantwortlicher“ im Sinne von Art. 2 Buchst. d der Richtlinie 95/46, wenn er selber diesen Datenverarbeitungsvorgang nicht beeinflussen kann?
3. Falls die zweite Frage zu verneinen ist: Ist Art. 2 Buchst. d der Richtlinie 95/46 dahin gehend auszulegen, dass er die Haftung und Verantwortlichkeit in dem Sinne abschließend regelt, dass er einer zivilrechtlichen Inanspruchnahme eines Dritten entgegensteht, der zwar nicht „für die Verarbeitung Verantwortlicher“ ist, aber die Ursache für den Verarbeitungsvorgang setzt, ohne diesen zu beeinflussen?
4. Auf wessen „berechtigte Interessen“ ist in einer Konstellation wie der vorliegenden bei der nach Art. 7 Buchst. f der Richtlinie 95/46 vorzunehmenden Abwägung abzustellen? Auf das Interesse an der Einbindung von Drittinhalten oder auf das Interesse des Dritten?
5. Wem gegenüber muss die nach Art. 7 Buchst. a und Art. 2 Buchst. h der Richtlinie 95/46 zu erklärende Einwilligung in einer Konstellation wie der vorliegenden erfolgen?
6. Trifft die Informationspflicht des Art. 10 der Richtlinie 95/46 in einer Situation wie der vorliegenden auch den Betreiber der Website, der den Inhalt eines Dritten eingebunden hat und so die Ursache für die Verarbeitung personenbezogener Daten durch den Dritten setzt?"

Der EuGH hat in der Rechtssache C-40/17 mit Urteil vom 29.07.2019 die gestellten Fragen des OLG Düsseldorf beantwortet.

III. Die zentralen Aussagen des EuGH

Aus der Entscheidung des EuGH lassen sich die nachstehenden zentralen Aussagen folgern:

  • Verbraucherschutzverbände dürfen abmahnen
  • Websitebetreiber ist mitverantwortlich für den eingesetzten „Like-“ Button
  • Aussage dazu, auf wessen „berechtigte Interessen“ es ankommt
  • Aussage dazu, wer eine Einwilligung in Bezug auf was evtl. einholen muss##
  • Informationspflichten gegenüber den Nutzern
  • Einwilligungspflicht für Cookies!?

Zu den zentralen Aussagen des EuGH nachstehend im Einzelnen:

unlimited

1. Verbraucherverbände dürfen abmahnen

Hinsichtlich der ersten Vorlagefrage hatte der EuGH entschieden, dass Verbraucherverbände (neben Datenschutzbehörden und den eigentlich Betroffenen) befugt sind, im Falle von Datenschutzverletzungen gegen den Verletzer vorzugehen. Die (nicht mehr in Kraft befindliche) Datenschutzrichtlinie stand einer deutschen Regelung nicht entgegen, wonach auch Verbraucherverbände (wie vorliegend die Verbraucherzentrale NRW e.V.) gegen Datenschutzverstöße vorgehen konnten.

Mit der Geltung der DSGVO ist diese Frage mittlerweile gesetzlich geklärt, denn Art. 80 Abs. 2 DSGVO sieht vor, dass Verbraucherverbände im Falle von Datenschutzverstößen gegen die Verletzer vorgehen können.

Relevanz auch für BGH-Entscheidung:
Der BGH setzte ein Verfahren gegen Facebook wegen möglicher Datenschutzverstöße aus (Beschluss vom 11. April 2019 - I ZR 186/17). Dem BGH ging es beim Aussetzen des Verfahrens darum, zu erfahren, ob die sog. Datenschutz-Richtlinie eine Verfolgung von Verstößen allein durch die Datenschutzbehörden und die Betroffenen und nicht durch Verbände zulässt. Der BGH wird nach der nun eindeutigen Entscheidung des EuGH selbst das Verfahren in vorbenannter Sache wieder aufnehmen und eine Entscheidung fällen können.

2. Websitebetreiber ist mitverantwortlich für den eingesetzten „Like-“ Button

Mit seiner zweiten Vorlagefrage wollte das OLG Düsseldorf wissen, ob der Betreiber einer Website wie Fashion ID, der in seiner Website ein Social Plugin einbindet, als für die Verarbeitung Verantwortlicher (im Sinne von Art. 2 Buchst. d der Richtlinie 95/46) angesehen werden kann. Bei der Beurteilung war zu berücksichtigen, dass der Websitebetreiber keinen Einfluss auf die Verarbeitung der auf diese Weise an den Anbieter übermittelten Daten hat.

Exkurs in die Vergangenheit:

Der EuGH hatte bereits geurteilt, dass der Betreiber einer Fanpage – also der Händler bzw. werbende Unternehmen – für die (fremde) Datenverarbeitung, die Facebook im Rahmen solcher Seiten durchführt, (mit-)verantwortlich ist (EuGH, 05.06.2018 – C-210/16).

Der EuGH hat nun auch im Falle der Verwendung des „Like-“ Buttons entschieden, dass der Websitebetreiber (also auch der verwendende Online-Händler) und Facebook gemeinsam verantwortlich sind.

Zunächst stellte der EuGH klar, dass sich die „Verarbeitung Verantwortlicher“ auf diejenige Stelle bezieht, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden. Hierbei stellte das Gericht nochmals klar, dass es nicht zwingend eine einzige Stelle geben muss, sondern mehrere an dieser Verarbeitung beteiligte Akteure betreffen kann.

Der Verwender des „Like-“ Buttons ermöglicht durch die Einbindung, dass personenbezogene Daten der Besucher der Website erhoben und an Facebook weitergeleitet werden.

Entscheidend für die Annahme einer Mitverantwortung des Websitebetreibers ist demnach, dass dieser eine Miteintscheidung über die

  • Mittel und
  • Zwecke

hat.

Das Gericht nahm an, dass der Websitebetreiber über die Mittel durch Einbindung des "Like-" Buttons entschieden hat, andernfalls wären keine Websitebesucherdaten erhoben worden.

Auch trifft der Websitebetreiber eine Mitverantwortlichkeit über die Zwecke im Falle der Einbindung des "Like-" Buttons. Denn durch die Einbindung des „Like-“ Buttons von Facebook werde die Werbung für die eigenen Produkte optimiert, indem diese im sozialen Netzwerk Facebook sichtbar gemacht werden.

Fazit: Der Websitebetreiber ist im Falle der Einbindung des „Like-“ Buttons für die Erhebung und Weitergabe der Daten der Websitebesucher mitverantwortlich. ABER: Den Websitebetreiber trifft keine Verantwortung für die Verarbeitung der Daten durch Facebook selbst.

Gilt die Entscheidung nur für Facebook-Like-Buttons?

Zwar bezieht sich das Urteil des EuGH konkret nur auf den „Like-“ Button von Facebook. Allerdings ist davon auszugehen, dass nicht nur Social Plugins von Facebook von der Entscheidung betroffen sind, sondern sämtliche Social-Media-Plugins.

Damit wären auch die Social Plugins von

  • Instagram
  • Youtube
  • Twitter
  • Pinterest
  • TumblR
  • etc.

direkt von der Entscheidung betroffen.

Weitere Konsequenz – sog. Joint Control Vereinbarungen:

Im Falle der Verwendung von Social-Plugins wird die Vereinbarung über die gemeinsame Verantwortlichkeit (sog. Joint Control Vereinbarungen) zur Erfüllung der in Art. 26 DSGVO normierten Pflichten zwingende Voraussetzung. Liegt eine solche Vereinbarung nicht vor, ist die Nutzung der Social Plugins per se unzulässig. Es ist hierbei davon auszugehen, dass Facebook (und wohl auch die anderen Anbieter von Social Plugins) zeitnah derartige Vereinbarungen für ihre Nutzer bereitstellen werden. Ob diese Vereinbarungen sodann aber auch das notwendige Maß an Transparenz aufweisen werden, bleibt abzuwarten.

3. Auf wessen „berechtigte Interessen“ kommt es an?

Das Oberlandesgericht Düsseldorf wollte ferner wissen, auf wessen berechtigte Interessen (die des Websitebetreibers oder von Facebook) es im Falle der Einbindung des „Like-“ Buttons ankommt.

Der EuGH nahm hierzu wie folgt Stellung:

"Da angesichts der Antwort auf die zweite Frage in einer Situation wie der im Ausgangsverfahren in Rede stehenden der Betreiber einer Website, der in diese Website ein Social Plugin einbindet, (…) gemeinsam mit diesem Anbieter als für die Vorgänge der Verarbeitung (…) von personenbezogenen Daten der Besucher seiner Website Verantwortlicher angesehen werden kann, ist es erforderlich, dass jeder dieser Verantwortlichen mit diesen Verarbeitungsvorgängen ein berechtigtes Interesse im Sinne von Art. 7 Buchst. f der Richtlinie 95/46 wahrnimmt, damit diese Vorgänge für jeden Einzelnen von ihnen gerechtfertigt sind."

(Hervorhebungen durch den Zitierenden)

4. Einwilligung – wer muss diese evtl. einholen?

Das Oberlandesgericht Düsseldorf begehrte des Weiteren eine Antwort auf die Frage, ob die nach Art. 7 Buchst. a und Art. 2 Buchst. h RL 95/46/EG zu erklärende Einwilligung dem Websitebetreiber oder dem Plugin-Anbieter gegenüber abzugeben ist.

Der EuGH traf hinsichtlich der Frage zur Einholung einer evtl. erforderlichen Einwilligung die folgende Aussage:

"Was die Einwilligung (…) betrifft, so muss diese vor dem Erheben der Daten der betroffenen Person und deren Weitergabe durch Übermittlung erklärt werden. Daher obliegt es dem Betreiber der Website und nicht dem Anbieter des Social Plugins, diese Einwilligung einzuholen, da der Verarbeitungsprozess der personenbezogenen Daten dadurch ausgelöst wird, dass ein Besucher diese Website aufruft. (…) Die Einwilligung, die dem Betreiber gegenüber zu erklären ist, betrifft jedoch nur den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten, für den bzw. für die er tatsächlich über die Zwecke und Mittel entscheidet."

(Hervorhebungen durch den Zitierenden)

Hat der EuGH nunmehr entschieden, dass im Falle von Social Plugins immer eine Einwilligung einzuholen ist?

Nein. Entgegen der vielfachen Berichterstattung in den Online-Medien ist darauf hinzuweisen, dass der EuGH nicht entschieden hat, dass die Verwendung von Social Plugins immer einer Einwilligung bedürfen. Vielmehr hat das Gericht diese Frage offen gelassen und dem Oberlandesgericht Düsseldorf den Ball zugespielt. Das OLG Düsseldorf hat die Aufgabe, festzustellen, welche Rechtsgrundlage (berechtigte Interessen oder Einwilligung) tatsächlich im Falle der Verwendung des "Like-" Buttons erforderlich ist.

Der EuGH hat lediglich für beide möglichen Fälle die Verantwortlichkeiten geklärt. Sollte der Einsatz des "Like-" Buttons auf die berechtigten Interessen gestützt werden können, muss jeder der Verantwortlichen jeweils ein eigenes berechtigtes Interesse vorweisen können. Sollte hingegen eine Einwilligung erforderlich sein, müsste der Websitebetreiber diese Einwilligung lediglich für die Erhebung und Weiterleitung einholen. Facebook müsste demgegenüber eine Einwilligung für die anschließende Verarbeitung der Websitebesucherdaten einholen.

5. Informationspflichten gegenüber den Nutzern

Zuletzt sollte der EuGH für Klarheit sorgen, ob die Informationspflichten nach Art. 10 RL 95/46/EG auch den Websitebetreiber treffen.

Der EuGH führte zu den Informationspflichten konkret aus:

"Aus dem Wortlaut dieser Bestimmung ergibt sich, dass der für die Verarbeitung Verantwortliche oder sein Vertreter der Person, bei der die Daten erhoben werden, mindestens die in dieser Bestimmung genannten Informationen geben muss. (…) Daraus folgt, dass in einer Situation wie der im Ausgangsverfahren in Rede stehenden auch die Informationspflicht gemäß Art. 10 der Richtlinie 95/46 den Betreiber der Website trifft, wobei dieser die betroffene Person jedoch nur in Bezug auf den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten informieren muss, für den bzw. für die dieser Betreiber tatsächlich über die Zwecke und Mittel entscheidet."

(Hervorhebungen durch den Zitierenden)

Informationen in der Datenschutzerklärung unerlässlich!

Sie suchen noch nach einer Datenschutzerklärung für Ihre Internetseite, Social-Mediakanäle, Ihren Online-Shop, etc? Unsere sicheren Datenschutzerklärungen mit rechtlichem Pflegeservice können Sie hier finden!

6. Einwilligungspflicht für Cookies?

Vielfach diskutiert wurde die „Randnotiz“ des EuGH zur Verwendung von Cookies. Der EuGH hatte sich in den Randziffern 88 und 89 seiner Entscheidung im Zusammenhang mit der sog. Cookie-Richtlinie (Richtlinie 2002/58) wie folgt geäußert:

"88 Vorab ist darauf hinzuweisen, dass diese Frage nach Ansicht der Kommission für die Entscheidung des Ausgangsrechtsstreits unerheblich ist, da die von Art. 5 Abs. 3 der Richtlinie 2002/58 verlangte Einwilligung der betroffenen Personen nicht eingeholt wurde.
89 Hierzu ist festzustellen, dass nach Art. 5 Abs. 3 der Richtlinie 2002/58 die Mitgliedstaaten sicherstellen müssen, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46 u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat."

Aus dieser Bemerkung des EuGH könnte herausgelesen werden, dass für den Einsatz von Cookies generell eine Einwilligung erforderlich sein könnte. Im Zusammenhang mit der vorliegenden Entscheidung hatte der EuGH jedoch offen gelassen, ob eine Einwilligung im Falle des „Like-“ Buttons notwendig ist, dies hat vielmehr das OLG Düsseldorf zu beurteilen.

Fakt ist: Derzeit stützen viele Websitebetreiber die Verwendung von Cookies auf die sogenannten berechtigten Interessen. Sollte diese Rechtfertigungsmöglichkeit für die Zukunft entfallen, müsste für den Fall der Verwendung von (nicht technisch notwendigen) Cookies zwingend eine Einwilligung des Websitebesuchers eingeholt werden.

Inwieweit die Aussagen des EuGH zur Cookie-Richtlinie (für Deutschland) relevant sind, ist noch nicht geklärt. Es besteht Streit dahingehend, ob die seinerzeitige Cookie-Richtlinie in Deutschland überhaupt (richtig) umgesetzt worden ist. In diesem Beitrag können Sie den Meinungsstreit über die angeblich erfolgte Umsetzung nachlesen!

EuGH entscheidet zeitnah ausdrücklich über eine evtl. Cookie-Einwilligungspflicht:

Der BGH (Beschluss vom 05.10.2017, Az.: I ZR 7/16) legte dem EuGH im Rahmen eines Vorabentscheidungsverfahrens die konkrete Frage vor, ob für das Setzen von Cookies eine ausdrückliche Einwilligung notwendig ist. Der EuGH wird am 01.10.2019 über das Vorabentscheidungsverfahren in der Sache C-673/17 entscheiden und klären, ob eine Einwilligung im Falle der Cookie-Verwendung erforderlich ist.

Um Klarheit über die Einwilligungsbedürftigkeit bei Cookies zu erlangen, sollte die Entscheidung des EuGH im Verfahren C-673-17 abgewartet werden.

Hinweis an die Mandanten der IT-Recht Kanzlei: Selbstverständlich werden wir unseren Mandanten alle notwendigen Rechtstexte und Handlungsanleitungen zur Verfügung stellen, sollte eine Einwilligungspflicht für Cookies durch den EuGH aufgestellt werden!

IV. Hat die Entscheidung des EuGH überhaupt Relevanz für die DSGVO?

Die Entscheidung des EuGH erging noch zur alten Datenschutzrichtlinie 95/46/EG. Zwar ist die Datenschutzrichtlinie mit Geltung der Datenschutz-Grundverordnung (DSGVO) am 25.05.2018 nicht mehr wirksam. Allerdings besitzt die EuGH-Entscheidung trotzdem Relevanz für die DSGVO, denn die Definition des „für die Verarbeitung Verantwortlichen” findet sich seit Mai 2018 in Art. 4 Nr. 7 DSGVO und unterscheidet sich zur Vorschrift des Art. 2 Buchst. d der Datenschutz-Richtlinie in einem sehr geringem Maß. Zudem existieren die Rechtsfertigungsgrundlagen der berechtigten Interessen und der Einwilligung aus der Datenschutzrichtlinie in nahezu identischer Form in der jetzt gültigen Datenschutz-Grundverordnung weiter.

V. Konsequenzen bei Nichtbeachtung

Setzen Websitebetreiber ein Plugin/Tool ein, ohne ausreichende Maßnahmen umgesetzt zu haben, laufen diese Gefahr, dass die Datenschutzaufsicht die weitere Nutzung untersagt und ggf. ergänzend eine Geldbuße verhängt wird. Zudem könnten Besucher der Website und ggf. auch Mitbewerber rechtlich gegen Seitenbetreiber (mittels Abmahnung und gerichtlichem Verfahren) vorgehen.

VI. Lösungsvorschläge für die Verwendung des "Like-" Buttons (und aller anderen Social Plugins) für die Zukunft

Wir haben einige Lösungsvorschläge erarbeitet und teilen im Rahmen der Vorstellung der Lösungsvorschläge mit, was die jeweiligen Vor- und Nachteile der Lösungsvarianten sind:

1. Bloße Verlinkung auf den Social-Media-Kanal setzen

Wer ganz auf Nummer sicher gehen möchte, sollte den "Like"-Button (und alle anderen Social Plugins) von seiner Internetseite entfernen. Hierdurch ist sichergestellt, dass keine datenschutzwidrige Einbindung von Social-Plugins begangen wird. Jedoch erscheint diese Möglichkeit nicht äußerst attraktiv, da Webseitenbetreiber (wie vor allem Online-Händler) sich der Marketing-Möglichkeiten der Verbreitung Ihrer Angebot via sozialer Netzwerke nur sehr ungern entledigen möchten.

Vorschlag: Verlinken Sie einfach Ihre Social-Media-Kanäle! Sie können auf die Social-Media-Kanäle hinweisen und eine (Hyper-)Verlinkung anbringen, dies ist in rechtlicher Hinsicht absolut unproblematisch!

2. Verwendung der sog. "2-Klick"- bzw. "Shariff"- Lösung

a. Die "2-Klick"-Lösung

Eine weitere Möglichkeit wäre die von c't und heise entwickelte sog. "2-Klick"-Lösung. Dabei wird zwar optisch der „Like-“ Button in den eigenen Webauftritt eingebunden, nicht jedoch dessen volle Funktionalität – soll heißen: zwar erscheint der „Like-“ Button bereits beim Aufrufen der Webseite durch den Nutzer, jedoch werden noch keine personenbezogenen Daten an Facebook übermittelt.

Erst wenn der Nutzer auf den "Like"-Button klickt, anschließend gemäß der rechtlichen Vorgaben informiert worden ist und dann durch einen zweiten Klick ausdrücklich bestätigt, dass die entsprechenden Daten an Facebook übermittelt werden sollen, geschieht dies auch.

2-Klick-Lösung

Die Teilen-Buttons bleiben deaktiviert und übertragen keine persönlichen Daten an Facebook, Google und Twitter – bis der Nutzer sie einschaltet.

Problem: Nach einem Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis am 08.12.2011) sind die Anbieter deutscher Websites jedoch „regelmäßig nicht in der Lage, die für eine informierte Zustimmung ihrer Nutzerinnen und Nutzer notwendige Transparenz zu schaffen.“ Denn: Eine wirksame Einwilligung setzt voraus, dass der Websitebesucher weiß, worin er einwilligt. Selbst nach der Rechtsprechung des EuGH mit seiner „Auflockerung“ in Sachen Mitverantwortlichkeit bleibt fraglich, ob eine informierte Einwilligung eingeholt werden kann. Wissen Sie als Websitebetreiber wirklich, welche Daten Sie bei Einbindung des „Like-“ Buttons vom Seitenbesucher erheben und an Facebook weiterleiten?

Die sog. "2-Klick"-Lösung ist daher mit Vorsicht zu genießen und wird von unserer Kanzlei nicht bedenkenlos empfohlen.

Beim Einsatz der "2-Klick"-Lösung ist auf jeden Fall eine spezielle Datenschutzerklärung notwendig, um den Seitenbesucher entsprechend zu informieren!

b. Die "Shariff"-Lösung

Die ebenfalls von c`t und heise entwickelte "Shariff"-Lösung stellt eine Weiterentwicklung der "2-Klick"-Lösung dar, da sich beim Einsatz der "2-Klick"-Lösung kleine Nachteile für Webseitenbetreiber offenbart hatten:

Zum einen verleiten die Buttons nicht allzu sehr, Inhalte impulsiv und schnell zu teilen – zwei Klicks sind eben eine gewisse Hemmschwelle. Das zweite Problem ist die unauffällige Gestaltung der Empfehlungsbuttons: Die ausgegrauten Flächen verdeutlichen zwar den inaktiven Zustand, springen aber nicht so sehr ins Auge wie die bunten Originale von Facebook, Twitter und Instagram. Letztere ermuntern Besucher viel stärker dazu, Inhalte zu teilen.

Bei der "Shariff"-Lösung fallen die Social-Plugins aufgrund der bunten Gestaltung auf – und schützen die Privatsphäre des Nutzers ebenso gut wie das "2-Klick"-Verfahren nach Aussage von c`t. Bei den Buttons handelt es sich um einfache HTML-Links, die mit CSS individuell gestalten werden können.

Eine Einbettung über iframes ist nicht nötig, weshalb auch die Aktivierung der Knöpfe entfällt. Das erspart einen Klick und das Teilen geht ein bisschen schneller.

Shariff-Lösung

Shariff ist der Nachfolger der "2-Klick"-Lösung, das Teilen funktioniert einfach mit nur einem Klick.

Ein Skript ruft ab, wie oft eine Seite bereits geteilt oder getwittert wurde. Es nimmt über die Programmierschnittstellen (APIs) der Dienste zu diesen Kontakt auf und ruft die Zahlen ab. Die Abfrage geschieht also vom Server aus; statt der IP-Adresse des Besuchers wird lediglich die Server-Adresse an Facebook, Instagram und Twitter übertragen. Solange der Nutzer nicht auf den Link drückt, um Inhalte zu teilen, bleibt er zumindest für Facebook & Co. unsichtbar.

Auch beim Einsatz der "Shariff"-Lösung ist ebenfalls eine spezielle Datenschutzerklärung notwendig, um den Seitenbesucher entsprechend zu informieren!

Hausaufgabe für Webseitenbetreiber

Alle Webseitenbetreiber sind aufgrund der aktuellen Rechtsprechung des EuGH aufgerufen, ihre gelebte Praxis im Zusammenhang mit Social-Plugins auf den Prüfstand zu stellen!

VII. Zusammenfassung

Der Europäische Gerichtshof hat zum "Gefällt-mir-" bzw. "Like-" Button von Facebook Entscheidungen mit Grundsatzcharakter getroffen. Die Aussagen des EuGH betreffen aber nicht nur Facebook-Plugins, sondern generell alle Social-Media-Plugins. Die wesentlichen Aussagen des EuGH bzw. die hieraus zu ziehenden Konsequenzen können wie folgt zusammengefasst werden:

  • Bei Verwendung des „Like-“ Buttons (und anderer Social Plugins) ist der Websitebetreiber für die Erhebung und Weitergabe von personenbezogenen Daten an Facebook (mit-) verantwortlich.
  • Im Falle der Nutzung von Social-Plugins müssen Sie mit dem Anbieter der Plugins eine Vereinbarung über die gemeinsame Verantwortlichkeit gemäß Art. 26 Abs. 1 S. 2 DSGVO abschließen. Liegt eine solche Vereinbarung nicht vor, ist die Nutzung des Social Plugins per se unzulässig.
  • Informieren Sie die Websitebesucher über alle Datenschutzinformationen gemäß Art. 13, 14, 21 DSGVO sowie ergänzend über die Informationen zur gemeinsamen Verantwortlichkeit gemäß Art. 26 Abs. 2 S. 2 DSGVO (wenn ein Social Plugin in unmodifizierter Form verwendet wird).
  • Wenn Sie auf Social Media-Kanäle hinweisen möchten, nutzen Sie mindestens die sog. „2-Klick-Lösung", besser noch die Shariff-Lösung oder verlinken Sie einfach auf Ihre Social-Media-Kanäle.
  • Behalten Sie die Entscheidung des EuGH am 01.10.2019 im Auge – sodann wird sich entscheiden, ob zukünftig eine Einwilligungspflicht für Cookies gelten wird.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Bildquelle:
© Brad Pict - Fotolia.com
Autor:
Jan Lennart Müller
Rechtsanwalt

Besucherkommentare

Bisher existieren keine Kommentare.

Vielleicht möchten Sie der Erste sein?

© 2005-2019 ·IT-Recht Kanzlei Keller-Stoltenhoff, Keller
IT-Recht Kanzlei München 311
4.9 5