EuGH: Rote Karte für Like-Button – was nun?

EuGH

Man konnte es schon vor drei Jahren ahnen: Mit Facebooks Like-Button auf einer kommerziellen Website sitzt man quasi auf Dynamit. Für das endgültige Urteil in dem immer noch offenen Rechtsstreit hat jetzt der Europäische Gerichtshof (EuGH) klare Leitplanken aufgestellt. Danach sind Webseitenbetreiber mitverantwortlich, wenn Facebook die Daten von Nutzern ohne deren Zustimmung sammelt. Die Folgen können fatal sein. Und sie sind nicht auf Facebook beschränkt.

Das EuGH-Urteil und seine Folgen

Der weitreichende Anlassfall im Telegrammstil: Die Verbraucherzentrale NRW verklagte den Online-Händler Fashion ID. Dieser habe durch die Einbindung von Facebooks Like-Button Daten der Website-Besucher schon beim Aufrufen der Seite an Facebook Ireland weitergeleitet. Die Betroffenen hätten das nicht wissen können, zumal davon auch Nichtmitglieder des sozialen Netzwerks betroffen seien.

Die Verbraucherzentrale bekam Recht, Facebook und Fashion ID gingen in die Berufung. Das angerufene OLG Düsseldorf schaltete den EuGH ein, um die komplexe Rechtsfrage im Lichte der inzwischen gültigen DSGVO prinzipiell klären zu lassen. Die jetzt vorliegende Entscheidung der Luxemburger Richter ist kein Urteil im Streitfall selbst, aber alle Gerichte und Behörden sind nun an die Interpretation des EuGH gebunden.

Das Urteil des EuGH kurzgefasst:

Verbraucherverbände sind berechtigt, Klage gegen Verletzer von Datenschutzbestimmungen einzureichen.
Wer in seine Website ein Plugin einbindet, das Nutzerdaten erhebt und (in diesem Fall: an Facebook) weiterleitet, ist zumindest dafür verantwortlich, weil er selbst entschieden hat, dies zu tun. Was bei Facebook dann mit diesen Daten geschieht, unterliegt nur insoweit seiner Verantwortung, wie er auch darüber (mit) entscheidet. Für den EuGH erscheint es „auf den ersten Blick“ ausgeschlossen, dass Fashion ID beim Zweck und der Art der Datenverarbeitung durch Facebook mitentscheidet.
Wie genau die Verantwortlichkeit bei der gemeinsamen Entscheidung zu dieser Datenerhebung und -verarbeitung zwischen Fashion ID und Facebook verteilt ist, muss das Düsseldorfer Gericht entscheiden.
Diese Verantwortung eines Webseitenbetreibers, eventuell gemeinsam mit einem Dritten (zum Beispiel dem Anbieter eines Tracking-Tools, einer Social-Media-Plattform etc.) gilt allgemein immer dann, wenn persönliche Nutzerdaten beim Besuch der Website erhoben werden.
In jedem Fall ist die ausdrückliche Zustimmung eines Nutzers einzuholen, bevor Daten von ihm erhoben oder in seinem Endgerät gespeichert werden (zum Beispiel Cookies). In diesem Zusammenhang ist auch die im Einzelfall komplizierte Frage ausschlaggebend, ob einer der Verantwortlichen ein „berechtigtes Interesse“ an diesen Daten hat.
Für die Pflicht, den Nutzer über alle Datenverarbeitungsvorgänge zu informieren, soweit sie im Verantwortungsbereich des Seitenbetreibers liegen, gilt sinngemäß das Gleiche.

Eine rasche Übersicht zum EuGH-Urteil bietet die Presseerklärung des Gerichtshofs.

Was müssen Webseitenbetreiber bei Facebooks Like-Button und Co. beachten?

Die an dieser Stelle bereits genannten Alternativen zum Abschied vom Like-Button gelten weiterhin und – das ist wichtig! – sie gelten ebenso bei allen anderen eingebauten Plugins bzw. Tools, mit denen automatisiert Nutzerdaten erhoben werden. Die Faustregel lautet: Alle Daten, die mit einer Person verbunden sind oder in Verbindung gebracht werden können, dürfen nur mit der ausdrücklichen Zustimmung dieser Person erhoben, gespeichert, analysiert usw. werden – selbst die schlichte Tatsache, dass er oder sie eine Seite besucht hat. Was da alles passiert, muss auf der Website haarfein in der Datenschutzerklärung erläutert sein.

Außerdem notwendig, um sich rechtskonform vor Ärger zu schützen:

Das Mindeste für die eigene Absicherung ist eine Vereinbarung zwischen Webseitenbetreiber und Anbieter über die geteilte Verantwortung. Facebook etwa bietet solche Vereinbarungen auf Grundlage eigener Verantwortungsbereiche an. Ohne eine solche Vereinbarung ist die Nutzung entsprechender Tools mindestens problematisch, meist aber rechtswidrig.
Zur datenschutzgerechten Einbindung von Social-Media-Inhalten gibt es Tools wie Embetty von Heise Online, und den c’t Shariff, die den Datenhunger zumindest bremsen und erst bei einem Klick des Nutzers dessen Daten übertragen. Zu beiden Tools merken die Entwickler von Heise aber vorsorglich an: „Das ist zwar datenschutzfreundlicher, ob es allerdings im strikten Sinne konform mit dem aktuellen EuGH-Urteil ist, muss noch geprüft werden. Wir klären derzeit die Details dazu.“
Cookie-Banner, und zwar die Opt-in-Variante, das heißt eine ausdrückliche Zustimmung ist Voraussetzung: Ob bzw. wie lange es noch erlaubt ist, den Zugang zu einer Website generell von einer solchen Zustimmung abhängig zu machen, ist strittig. Die holländische Datenschutzbehörde sagt bereits nein dazu.

Ein Rechtssprecher von Facebook teilte mit, man werde mit den Partnern eng zusammenarbeiten, um weiterhin eine rechtskonforme Nutzung des Like-Buttons zu ermöglichen. Dass dies tatsächlich in absehbarer Zeit geschieht, ist allein schon aus Eigeninteresse des Social-Media-Elefanten wahrscheinlich.

Fazit: Keine Panik, aber eine gute Beratung empfiehlt sich!

Ähnlich wie nach Inkrafttreten der DSGVO muss man nun nicht „das Internet abschalten“, wie manche Kommentatoren satirisch anmerken. Es ist im Grunde genommen nur einmal mehr klar geworden, dass Unwissenheit nicht vor Strafe schützt. Wer sich zukünftig noch blauäugig über irgendwo, irgendwie abgesaugte Nutzerdaten freuen will, könnte unsanft erwachen. Abmahnungen und Unterlassungsklagen kommen durchaus vor – und wer hat schon gar keine Feinde? Im Einzelfall sollten Website-Betreiber jedenfalls den Rat eines sachkundigen Juristen einholen.

Newsletter abonnieren