Bild: © tom_nulens-fotolia.com
Am Montag (29.07.19) fiel die Entscheidung des Europäischen Gerichtshofs. Wenn Seitenbetreiber einen rüvckFacebook-Like-Button auf Ihrer Webseite einbinden, sind sie mitverantwortlich für die Weitergabe bzw. Weiterverarbeitung der personenbezogenen Daten. Aber was bedeutet das jetzt und was ist noch erlaubt?
Wie alles begann.
Alles begann im Jahr 2015 mit einem Like-Button auf der Seite des Onlineshops Fashion ID. Die Verbraucherzentrale NRW sieht darin einen Verstoß gegen die Datenschutzrichtlinien. Denn das Social-Plugin übermittelt in der Regel schon beim Laden der Seite automatisch personenbezogene Daten an Facebook. Zum Beispiel Informationen über den genutzten Browser und die IP-Adresse des Seitenbesuchers. Dies führte zu einem Verfahren am Oberlandesgericht Düsseldorf, welches sich daraufhin an den EuGH wandte.
4 Jahre später.
Am 29.07.2019 fiel nun das Urteil am EuGH. Jedoch ist zu beachten, dass hier eine Klage aus dem Jahr 2015 verhandelt wurde. Zu dieser Zeit war die rechtliche Grundlage nicht die DSGVO, wie wir Sie seit dem letzten Jahr kennen, sondern die Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. Diese wurde 1995 erlassen und mit Wirkung zum 25. Mai 2018 aufgehoben und durch die Datenschutz-Grundverordnung ersetzt. Trotzdem lassen sich aus dem Urteil Rückschlüsse darüber ziehen, wie zukünftige Entscheidungen bei ähnlichen Verfahren mit der DSGVO als Rechtsgrundlag ausfallen können.
Das Problem mit dem Like-Button.
Der „Gefällt mir“-Button ermöglicht dem Seitenbetreiber, seine Produktwerbung auf Social Media zu optimieren. Denn die Likes, die durch das Plugins auf der Seite generiert werden, erhöhen die Sichtbarkeit auf Facebook. Der Seitenbetreiber willig mit der Einbindung des Like Buttons in seinem Onlineshop zumindest stillschweigend ein, dass personenbezogene Daten der Seitenbesucher erfasst und weitergegeben werden und nutzt diese zu seinem wirtschaftlichen Vorteil.
Was der EuGH sagt.
In der Pressemitteilung heißt es „[…]Dagegen kann Fashion ID für die Vorgänge des Erhebens der in Rede stehenden Daten und deren Weiterleitung durch Übermittlung an Facebook Ireland als gemeinsam mit Facebook verantwortlich angesehen werden, da (vorbehaltlich der vom Oberlandesgericht Düsseldorf vorzunehmenden Nachprüfung) davon ausgegangen werden kann, dass Fashion ID und Facebook Irland gemeinsam über die Zwecke und Mittel entscheiden.“.
Was bedeutet das jetzt?
Der Seitenbetreiber hat das Plugin eingebaut und profitiert von den genutzten Daten. Facebook verarbeitet diese Daten. Daraus ergibt sich die gemeinsame Verantwortlichkeit.
Im Falle einer gemeinsamen Verantwortlichkeit sieht das Gesetzt einen Vertrag vor (bei aktueller Rechtslage: Vereinbarungen zur gemeinsamen Verantwortlichkeit gem. Art. 26 DSGVO). So ein Vertrag existiert aber nicht zwischen den Seitenbetreibern und den Social Media Plattformen. Die Seitenbetreiber sind nun darauf angewiesen, dass Facebook und Co. solche Verträge ausarbeitet und zur Verfügung stellen. Facebook hat es immerhin versucht. Doch der Vertrag, den Facebook anbietet, genügt den gesetzlichen Anforderungen leider nicht. Bist jetzt stellt keine dieser Seiten einen Vertrag zur Verfügung, der den gesetzlichen Anforderungen genügt.
Das Urteil des EuGH hat auch darüber entschieden, dass es eine Einwilligung des Seitenbesuchers erfordert, wenn Dienste dieser Art auf der Seite eingesetzt werden.
Diese ganze Problematik betrifft nicht nur den Facebook-Like-Button auf der Webseite, sondern auch Share-Buttons, interaktive Maps usw. - eben alle Dienste von Drittanbietern, die Daten übermitteln.
Also kein Facebook-Like-Button mehr für den Onlineshop?
Jain. Wenn der Facebook Like Button nicht von der Webseite wegzudenken ist und man bereit ist, das Risiko einzugehen, ohne Vereinbarung über die gemeinsame Nutzung und ohne Einwilligung des Seitenbesuchers den Like-Button weiter zu nutzen, sollte die Shariff-Lösung von Heise eingesetzt werden.
Fazit des Urteils.
Die Einbindung von Plugins der verschiedenen Social Media Plattformen bleibt weiterhin rechtlich riskant. Ob man das Risiko als Onlineshopbetreiber eingehen sollte, muss jeder Shopbetreiber für sich selbst entscheiden. Wenn man sich dafür entscheidet das Risiko einzugehen, weil die Like Buttons verschiedener Social Media Seiten ein wichtiger Bestandteil des Geschäftsmodells sind, raten Anwälte dazu, Rücklagen für eventuelle Bußgelder zu bilden. Falls es dann zu einer Abmahnung kommen sollte, ist man zumindest finanziell ein Stück weit darauf vorbereitet.