Categories: RechtRegulierung

„Gefällt mir“-Button: Website-Betreiber für Datenerhebung mitverantwortlich

Der Gerichtshof der Europäischen Union hat entschieden, dass die Betreiber von Websites, die einen „Gefällt mir“-Button von Facebook integrieren, gemeinsam mit dem Social Network für die Erhebung und Übermittlung personenbezogener Daten von Besuchern dieser Seite verantwortlich sind. Was allerdings später Facebook mit diesen Daten macht, fällt einzig in den Verantwortungsbereich des US-Unternehmens.

Das Urteil geht auf eine Klage der Verbraucherzentrale NRW zurück. Sie warf einem Online-Händler für Modeartikel namens Fashion ID vor, personenbezogene Daten seiner Besucher ohne deren Wissen und Zustimmung an Facebooks Niederlassung in Irland zu übertragen. Nach Einschätzung des Gerichts erfolgte die Datenübertragung unabhängig davon, ob der Besucher Facebook-Nutzer ist oder nicht oder den „Gefällt mir“-Button angeklickt hat.

Die Klage sowie das Urteil erfolgte auf Basis der EU-Datenschutzrichtlinie von 1995, die mit Wirkung vom 25. Mai 2018 durch die jetzt aktuelle Fassung ersetzt wurde. Auch sie gibt nach Ansicht des Gerichts Verbänden wie der Verbrauchzentrale die Möglichkeit, gegen Unternehmen zu klagen – was die DSGVO ausdrücklich vorsieht.

Fashion ID kann „für die Vorgänge des Erhebens der in Rede stehenden Daten und deren Weiterleitung durch Übermittlung an Facebook Ireland als gemeinsam mit Facebook verantwortlich angesehen werden, da (vorbehaltlich der vom Oberlandesgericht Düsseldorf vorzunehmenden Nachprüfung) davon ausgegangen werden kann, dass Fashion ID und Facebook Irland gemeinsam über die Zwecke und Mittel entscheiden“, heißt es in einer Pressemitteilung des Gerichts.

Fashion ID nutze den „Gefällt mir“-Button von Facebook anscheinend, um seine Werbung dort zu optimieren. Damit erteile Fashion ID zumindest stillschweigend auch seine Zustimmung in die Erhebung personenbezogener Daten der Website-Besucher sowie deren Weitergabe an Facebook.

Für die Datenverarbeitungsvorgänge, die Facebook Ireland nach der Übermittlung der Daten vorgenommen habe, könne Fashion ID indes nicht als verantwortlich angesehen werden. „Es erscheint nämlich auf den ersten Blick ausgeschlossen, dass Fashion ID über die Zwecke und Mittel dieser Vorgänge entscheidet.“

Die Kanzlei Wilde Beuger Solmecke bezeichnete die Entscheidung des EuGH als „salomonisch“. „Im konkreten Fall hielt er Peek & Cloppenburg als Betreiber der Webseite Fashion ID für die Erhebung der Nutzerdaten und die Weitergabe dieser Daten an Facebook verantwortlich. Keine Verantwortung trifft ihn jedoch für die Verarbeitung der Daten bei Facebook selbst. Hier muss sich Facebook um die teilweise erforderlichen Einwilligungen selbst kümmern. Wie Facebook das bei anonymen IP Adressen künftig machen will, bleibt offen und wird in Zukunft die Gerichte noch beschäftigen“, erklärte Christian Solmecke.

Das Gericht lasse zudem offen, ob Websitebetreiber stets eine Einwilligung für die Einbindung von Facebooks Like-Button benötigten oder ob ein berechtigtes Interesse der Betreiber als Rechtfertigungsgrund ausreiche. In beiden Fällen hätten die Betreiber jedoch Informationspflichten gegenüber ihren Besuchern, allerdings nur für die die Daten, für die der Betreiber mitverantwortlich sei. „Das Unternehmen muss keine Information darüber geben, wie Facebook diese Daten verarbeitet. Die Informationen muss Facebook selbst geben.“

Der Branchenverband Bitkom kritisiert indes die möglichen Auswirkungen für Websitebetreiber, die nicht nur Facebook, sondern jegliche Social-Media-Plug-ins betreffen. „Mit seiner Entscheidung bürdet der EuGH tausenden Webseitenbetreibern eine enorme Verantwortung auf – vom kleinen Reiseblog bis zum Online-Megastore und den Portalen großer Verlage“, sagte Bitkom-Hauptgeschäftsführer Bernhard Rohleder. „Nicht nur wer den Like-Button eingebunden hat, muss jetzt handeln. Webseitenbetreiber müssen nun mit Facebook und den anderen Social-Media-Anbietern Vereinbarungen schließen, ansonsten können sie in Haftungsfallen laufen.“

Rohleder bezweifelt zudem, dass die Informationspflichten zu Like-Buttons überhaupt von Nutzern beachtet werden. „Schon jetzt nehmen Informationen zu Cookies, die Datenschutzerklärung und die Geschäftsbedingungen großen Raum auf Webseiten ein und werden von den allermeisten nur noch formal zur Kenntnis genommen.“

HIGHLIGHT

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago