Datenschutzrecht

Kann man den Facebook Like Button legal einbinden? EuGH entscheidet bald

Der EuGH könnte bald die Frage klären, ob und wie Webseiten-Betreiber den Facebook Like Button rechtmäßig einbinden können. Ein Urteil wird in wenigen Monaten erwartet. RA Solmecke von der Kölner Medienrechtskanzlei WILDE BEUGER SOLMECKE zu den möglichen Konsequenzen des Falles:

„Das Oberlandesgericht (OLG) Düsseldorf hat dem Gerichtshof der Europäischen Union (EuGH) sechs Fragen zur datenschutzrechtlichen Zulässigkeit des Facebook Like Buttons vorgelegt (Beschl. v. 19.01.2017, Az. I-20 U 40/16). Der EuGH hat hierzu nun verhandelt – ein Urteil wird in wenigen Monaten erwartet.

Der EuGH muss nun im Wesentlichen klären, ob Webseiten-Betreiber den Facebook Like Button in datenschutzrechtlich zulässiger Weise einbinden können, obwohl dadurch automatisch Nutzerdaten an Facebook übertragen werden. Somit könnte der EuGH hier endlich Rechtsklarheit über die generelle Zulässigkeit des Facebook Like Buttons geben. Die Entscheidung wird Auswirkungen auf alle Social Plugins haben. Denn die Knöpfe von Google, Twitter und Pinterest funktionieren nach einem ähnlichen Prinzip.

Die Fragen beziehen sich zwar noch auf die alte Datenschutz-Richtlinie 95/46/EG und noch nicht auf die neue Datenschutzgrundverordnung (DSGVO), die seit dem 25. Mai 2018 anwendbar ist. Allerdings dürfte die Entscheidung weitestgehend übertragbar auf die heutige Rechtslage sein, weil auch die DSGVO entsprechende Regelungen zum Verhältnis zu nationalen Normen, zur datenschutzrechtlichen Verantwortlichkeit, den Erlaubnistatbeständen und den Informationspflichten enthält.

Worum geht es in dem Fall?

Die Verbraucherzentrale NRW hatte gegen die Fashion ID GmbH & Co. KG (ein Unternehmen der Unternehmensgruppe Peek & Cloppenburg KG) Klage eingereicht. Der Modekonzern solle es unterlassen, das „Gefällt mir“ Plugin von Facebook in den Internetauftritt zu integrieren. Denn über das Plugin werden bereits beim einfachen Aufrufen der konzerneigenen Webseite Fashion-ID Daten über das Surfverhalten eines jeden Nutzers an Facebook weitergegeben. Dies verstoße gegen (altes) Datenschutzrecht und sei damit wettbewerbswidrig.

Der Facebook Gefällt mir-Button hat die Besonderheit, dass er nicht auf Facebook selbst, sondern auf tausenden Webseiten von Privatpersonen und Unternehmen zu finden ist. Schon beim Besuch dieser Seiten werden automatisch Daten der Besucher (zum Beispiel die IP-Adresse) an Facebook zu Werbezwecken übertragen, indem Facebook Cookies auf die Computer der Seitenbesucher setzt. Der Nutzer bekommt von diesem Übertragungsvorgang in der Regel nichts mit. Und: Nutzer müssen für die Datenweitergabe nicht einmal selbst beim Social-Media Giganten Facebook registriert sein. In der Praxis können mit Hilfe der gesetzten Cookies einmal registrierte IP-Adressen wiedererkannt und so anonyme Surfprofile der Nutzer erstellt werden. Sind die Nutzer bei diesen Netzwerken sogar schon eingeloggt, so kann immer ganz genau nachvollzogen werden, welche Internetseiten von diesen Nutzern besucht worden sind. Es entsteht de facto eine Überwachung der Nutzer im Netz.

Wie haben die Gerichte den Button in der Vergangenheit beurteilt?

Die Richter am Landgericht (LG) Düsseldorf haben den Facebook Like Button für rechtswidrig erklärt. Die Installation des Facebook Gefällt mir-Buttons verletze Datenschutzvorschriften, da dadurch unter anderem die IP-Adresse des Nutzers ohne dessen ausdrückliche Zustimmung an Facebook weitergeleitet werde. Sollten Unternehmen ein Gefällt mir-Plugin auf der eigenen Internetseite installiert haben, so dürfen die dadurch gesammelten Kundendaten nicht ohne die ausdrückliche Einwilligung des Nutzers an Facebook weitergegeben werden. Unternehmen müssen die Nutzer außerdem über die Weitergabe von Daten aufklären (LG Düsseldorf, Urt. v. 09.03.2016, Az. 12 O 151/15 – nicht rechtskräftig).

Anschließend legte P & C gegen das Urteil Berufung ein und der Fall ging weiter zum OLG Düsseldorf. Und dieses hat den Prozess ausgesetzt, um dem EuGH die genannten Fragen zur Vorabentscheidung vorzulegen.

Die Fragen, die der EuGH beantworten muss

Zunächst muss der EuGH die Frage beantworten, ob die Verbraucherzentrale NRW überhaupt klagebefugt war.

Bejaht der EuGH diese Frage, wird er als nächstes klären müssen, ob ein Unternehmen, das den Facebook Like Button auf seiner Webseite einbindet, überhaupt „Verantwortlicher“ im Sinne des europäischen Datenschutzes ist, obwohl er den die Übermittlung der Daten selbst nicht beeinflussen kann. Dies ist vor allem deshalb relevant, weil an die Verantwortlichkeit eine Reihe datenschutzrechtlicher Verpflichtungen und Haftungsrisiken geknüpft sind.

Sollte der EuGH diese Frage verneinen, erwägt das OLG, dass der Webseiten-Betreiber alternativ nach den zivilrechtlichen Grundsätzen der Störerhaftung auf Unterlassung haften könnte. Hierzu möchte es vom EuGH wissen, ob dies überhaupt möglich ist oder ob die europäischen Datenschutzregeln hier abschließend sind.

Sollte die eine oder andere Art der Haftung in Betracht kommen, so stellt sich die Frage, ob die Daten rechtmäßig verarbeitet wurden. Hierfür benötigt der Verantwortliche (Facebook und/oder der Webseiten-Betreiber) eine datenschutzrechtliche Rechtfertigung. Hierzu möchte das OLG wissen, auf wen es bei der datenschutzrechtlichen Rechtfertigung einer Übermittlung überhaupt ankommt: Auf den Webseiten-Betreiber oder auf Facebook? Wessen „berechtigtes Interesse“ an der Datenübermittlung wäre relevant? Wer müsste eine Einwilligung vom Nutzer einholen?

Und schließlich könnte auch eine weitere umstrittene Frage geklärt werden: Muss der Webseiten-Betreiber seine Nutzer über die Datenübermittlung informieren, obwohl er nicht weiß, was Facebook mit den übermittelten Daten macht?

Wie können Unternehmen derzeit den Like Button rechtssicher einbinden?

Derzeit ist es aufgrund der unsicheren Rechtslage nicht empfehlenswert, den Facebook Like Button unmittelbar bei sich einzubinden.

Unternehmen, die den Like Button nutzen, können zunächst die sogenannte Zwei-Klick-Lösung anwenden. Bei diesem Verfahren wird zunächst nur ein Bild des Facebook-Like Buttons eingebunden. Klickt der Nutzer auf das Bild, wird zunächst eine Datenschutzerklärung angezeigt. Erst nachdem der Nutzer diese Daten zur Kenntnis genommen und bestätigt hat, wird der echte Button nachgeladen.

Alternativ können Unternehmen die Shariff-Button-Lösung verwendet. Im Gegensatz zur Zwei-Klick-Lösung reicht hier ein einziger Button-Klick, um die gewünschten Informationen mit anderen zu teilen. Beim Shariff-Button wird erst ein Kontakt zwischen Facebook und dem Nutzer hergestellt, wenn der Nutzer bewusst und aktiv auf den Button klickt und nicht bereits beim alleinigen Seitenaufruf.

Möchten Unternehmen eine dieser Lösungen anwenden, so ist derzeit eine Anpassung der Datenschutzerklärung empfehlenswert. Dort müssen sie dann zumindest auch auf den Einsatz von Facebook und Co. hinweisen. Auch, wenn sie nicht wissen können, was Facebook mit den Daten macht.

Unternehmen, die auf der ganz sicheren Seite sein wollen, sollten den Facebook Like Button gar nicht erst auf der Unternehmenswebseite einbauen, sondern von dort lediglich auf ihre Facebook Fan Page verlinken. Auf diese Weise findet überhaupt keine Übertragung von Daten der Nutzer statt.“

Christian Solmecke ist Partner der Kanzlei WILDE BEUGER SOLMECKE und inbesondere in den Bereichen des IT-, des Medien- und des Internetrechts tätig. Darüber hinaus ist er Autor zahlreicher juristischer Fachveröffentlichungen in diesen Bereichen.

Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (5 Bewertungen, Durchschnitt: 5,00 von 5)

RSSKommentare (0)

Kommentar schreiben

Kommentar schreiben

Mit dem Absenden des Kommentars erklären Sie sich mit den Datenschutzbestimmungen einverstanden.