„Gefällt mir“-Button: Website-Betreiber für Datenerhebung mitverantwortlich

Der Gerichtshof der Europäischen Union hat entschieden, dass die Betreiber von Websites, die einen „Gefällt mir“-Button von Facebook integrieren, gemeinsam mit dem Social Network für die Erhebung und Übermittlung personenbezogener Daten von Besuchern dieser Seite verantwortlich sind. Was allerdings später Facebook mit diesen Daten macht, fällt einzig in den Verantwortungsbereich des US-Unternehmens.

Das Urteil geht auf eine Klage der Verbraucherzentrale NRW zurück. Sie warf einem Online-Händler für Modeartikel namens Fashion ID vor, personenbezogene Daten seiner Besucher ohne deren Wissen und Zustimmung an Facebooks Niederlassung in Irland zu übertragen. Nach Einschätzung des Gerichts erfolgte die Datenübertragung unabhängig davon, ob der Besucher Facebook-Nutzer ist oder nicht oder den „Gefällt mir“-Button angeklickt hat.

Die Klage sowie das Urteil erfolgte auf Basis der EU-Datenschutzrichtlinie von 1995, die mit Wirkung vom 25. Mai 2018 durch die jetzt aktuelle Fassung ersetzt wurde. Auch sie gibt nach Ansicht des Gerichts Verbänden wie der Verbrauchzentrale die Möglichkeit, gegen Unternehmen zu klagen – was die DSGVO ausdrücklich vorsieht.

Fashion ID kann „für die Vorgänge des Erhebens der in Rede stehenden Daten und deren Weiterleitung durch Übermittlung an Facebook Ireland als gemeinsam mit Facebook verantwortlich angesehen werden, da (vorbehaltlich der vom Oberlandesgericht Düsseldorf vorzunehmenden Nachprüfung) davon ausgegangen werden kann, dass Fashion ID und Facebook Irland gemeinsam über die Zwecke und Mittel entscheiden“, heißt es in einer Pressemitteilung des Gerichts.

Fashion ID nutze den „Gefällt mir“-Button von Facebook anscheinend, um seine Werbung dort zu optimieren. Damit erteile Fashion ID zumindest stillschweigend auch seine Zustimmung in die Erhebung personenbezogener Daten der Website-Besucher sowie deren Weitergabe an Facebook.

Für die Datenverarbeitungsvorgänge, die Facebook Ireland nach der Übermittlung der Daten vorgenommen habe, könne Fashion ID indes nicht als verantwortlich angesehen werden. „Es erscheint nämlich auf den ersten Blick ausgeschlossen, dass Fashion ID über die Zwecke und Mittel dieser Vorgänge entscheidet.“

Die Kanzlei Wilde Beuger Solmecke bezeichnete die Entscheidung des EuGH als „salomonisch“. „Im konkreten Fall hielt er Peek & Cloppenburg als Betreiber der Webseite Fashion ID für die Erhebung der Nutzerdaten und die Weitergabe dieser Daten an Facebook verantwortlich. Keine Verantwortung trifft ihn jedoch für die Verarbeitung der Daten bei Facebook selbst. Hier muss sich Facebook um die teilweise erforderlichen Einwilligungen selbst kümmern. Wie Facebook das bei anonymen IP Adressen künftig machen will, bleibt offen und wird in Zukunft die Gerichte noch beschäftigen“, erklärte Christian Solmecke.

Das Gericht lasse zudem offen, ob Websitebetreiber stets eine Einwilligung für die Einbindung von Facebooks Like-Button benötigten oder ob ein berechtigtes Interesse der Betreiber als Rechtfertigungsgrund ausreiche. In beiden Fällen hätten die Betreiber jedoch Informationspflichten gegenüber ihren Besuchern, allerdings nur für die die Daten, für die der Betreiber mitverantwortlich sei. „Das Unternehmen muss keine Information darüber geben, wie Facebook diese Daten verarbeitet. Die Informationen muss Facebook selbst geben.“

Der Branchenverband Bitkom kritisiert indes die möglichen Auswirkungen für Websitebetreiber, die nicht nur Facebook, sondern jegliche Social-Media-Plug-ins betreffen. „Mit seiner Entscheidung bürdet der EuGH tausenden Webseitenbetreibern eine enorme Verantwortung auf – vom kleinen Reiseblog bis zum Online-Megastore und den Portalen großer Verlage“, sagte Bitkom-Hauptgeschäftsführer Bernhard Rohleder. „Nicht nur wer den Like-Button eingebunden hat, muss jetzt handeln. Webseitenbetreiber müssen nun mit Facebook und den anderen Social-Media-Anbietern Vereinbarungen schließen, ansonsten können sie in Haftungsfallen laufen.“

Rohleder bezweifelt zudem, dass die Informationspflichten zu Like-Buttons überhaupt von Nutzern beachtet werden. „Schon jetzt nehmen Informationen zu Cookies, die Datenschutzerklärung und die Geschäftsbedingungen großen Raum auf Webseiten ein und werden von den allermeisten nur noch formal zur Kenntnis genommen.“