Datenschutzrecht

Facebook Like Button vor dem EuGH: Schlussanträge des Generalanwalts

Der EuGH muss die Frage klären, ob und wie Webseiten-Betreiber den Facebook Like Button rechtmäßig einbinden können. Nun liegen die Schlussanträge des EuGH-Generalanwalts vor. Seiner Auffassung nach sind Webseiten-Betreiber gemeinsam mit Facebook für die Verarbeitung von Nutzerdaten verantwortlich.

Facebook Like Button

Der Gerichtshof der Europäischen Union (EuGH) hat derzeit die Frage zu klären, ob und wie Webseiten-Betreiber den Facebook Like Button rechtmäßig einbinden können. Das Oberlandesgericht (OLG) Düsseldorf hatte dem EuGH sechs Fragen zur datenschutzrechtlichen Zulässigkeit des Facebook Like Buttons vorgelegt. Zuvor hatten die Richter am Landgericht (LG) Düsseldorf zunächst erstinstanzlich den Facebook Like Button für rechtswidrig erklärt, da die Installation des Facebook Gefällt mir-Buttons ihrer Ansicht nach Datenschutzvorschriften verletze.

Der EuGH muss im Wesentlichen klären, ob Webseiten-Betreiber den Facebook Like Button in datenschutzrechtlich zulässiger Weise einbinden können, obwohl dadurch automatisch Nutzerdaten an Facebook übertragen werden. Somit könnte der EuGH hier endlich Rechtsklarheit über die generelle Zulässigkeit des Facebook Like Buttons geben. Die Entscheidung wird Auswirkungen auf alle Social Plugins haben. Denn die Knöpfe von Google, Twitter und Pinterest funktionieren nach einem ähnlichen Prinzip.

Die Fragen beziehen sich zwar noch auf die alte Datenschutz-Richtlinie 95/46/EG und noch nicht auf die neue Datenschutzgrundverordnung (DSGVO), die seit dem 25. Mai 2018 anwendbar ist. Allerdings dürfte die Entscheidung weitestgehend übertragbar auf die heutige Rechtslage sein, weil auch die DSGVO entsprechende Regelungen zum Verhältnis zu nationalen Normen, zur datenschutzrechtlichen Verantwortlichkeit, den Erlaubnistatbeständen und den Informationspflichten enthält.

Im September verhandelte der EuGH hierüber bereits – heute nun hat der EuGH-Generalanwalt seine Schlussanträge vorgelegt (EuGH, Rechtssache C-39/17). Nach Auffassung des EuGH-Generalanwalts sind Webseiten-Betreiber gemeinsam mit Facebook für die Verarbeitung von Nutzerdaten verantwortlich.

Worum geht es in dem Fall?

Die Verbraucherzentrale NRW hatte gegen die Fashion ID GmbH & Co. KG (ein Unternehmen der Unternehmensgruppe Peek & Cloppenburg KG) Klage eingereicht. Der Modekonzern solle es unterlassen, das „Gefällt mir“ Plugin von Facebook in den Internetauftritt zu integrieren. Denn über das Plugin werden bereits beim einfachen Aufrufen der konzerneigenen Webseite Fashion-ID Daten über das Surfverhalten eines jeden Nutzers an Facebook weitergegeben. Dies verstoße gegen (altes) Datenschutzrecht und sei damit wettbewerbswidrig.

Der Facebook Gefällt mir-Button hat die Besonderheit, dass er nicht auf Facebook selbst, sondern auf tausenden Webseiten von Privatpersonen und Unternehmen zu finden ist. Schon beim Besuch dieser Seiten werden automatisch Daten der Besucher (zum Beispiel die IP-Adresse) an Facebook zu Werbezwecken übertragen, indem Facebook Cookies auf die Computer der Seitenbesucher setzt. Der Nutzer bekommt von diesem Übertragungsvorgang in der Regel nichts mit. Und: Nutzer müssen für die Datenweitergabe nicht einmal selbst beim Social-Media Giganten Facebook registriert sein. In der Praxis können mit Hilfe der gesetzten Cookies einmal registrierte IP-Adressen wiedererkannt und so anonyme Surfprofile der Nutzer erstellt werden. Sind die Nutzer bei diesen Netzwerken sogar schon eingeloggt, so kann immer ganz genau nachvollzogen werden, welche Internetseiten von diesen Nutzern besucht worden sind. Es entsteht de facto eine Überwachung der Nutzer im Netz.

Wie haben die Gerichte den Button in der Vergangenheit beurteilt?

Die Richter am Landgericht (LG) Düsseldorf haben den Facebook Like Button für rechtswidrig erklärt. Die Installation des Facebook Gefällt mir-Buttons verletze Datenschutzvorschriften, da dadurch unter anderem die IP-Adresse des Nutzers ohne dessen ausdrückliche Zustimmung an Facebook weitergeleitet werde. Sollten Unternehmen ein Gefällt mir-Plugin auf der eigenen Internetseite installiert haben, so dürfen die dadurch gesammelten Kundendaten nicht ohne die ausdrückliche Einwilligung des Nutzers an Facebook weitergegeben werden. Unternehmen müssen die Nutzer außerdem über die Weitergabe von Daten aufklären (LG Düsseldorf, Urt. v. 09.03.2016, Az. 12 O 151/15 – nicht rechtskräftig).

Anschließend legte P & C gegen das Urteil Berufung ein und der Fall ging weiter zum OLG Düsseldorf. Und dieses hat den Prozess ausgesetzt, um dem EuGH die genannten Fragen zur Vorabentscheidung vorzulegen.

Die Fragen, die der EuGH beantworten muss

Zunächst muss der EuGH die Frage beantworten, ob die Verbraucherzentrale NRW überhaupt klagebefugt war.

Bejaht der EuGH diese Frage, wird er als nächstes klären müssen, ob ein Unternehmen, das den Facebook Like Button auf seiner Webseite einbindet, überhaupt „Verantwortlicher“ im Sinne des europäischen Datenschutzes ist, obwohl er den die Übermittlung der Daten selbst nicht beeinflussen kann. Dies ist vor allem deshalb relevant, weil an die Verantwortlichkeit eine Reihe datenschutzrechtlicher Verpflichtungen und Haftungsrisiken geknüpft sind.

Sollte der EuGH diese Frage verneinen, erwägt das OLG, dass der Webseiten-Betreiber alternativ nach den zivilrechtlichen Grundsätzen der Störerhaftung auf Unterlassung haften könnte. Hierzu möchte es vom EuGH wissen, ob dies überhaupt möglich ist oder ob die europäischen Datenschutzregeln hier abschließend sind.

Sollte die eine oder andere Art der Haftung in Betracht kommen, so stellt sich die Frage, ob die Daten rechtmäßig verarbeitet wurden. Hierfür benötigt der Verantwortliche (Facebook und/oder der Webseiten-Betreiber) eine datenschutzrechtliche Rechtfertigung. Hierzu möchte das OLG wissen, auf wen es bei der datenschutzrechtlichen Rechtfertigung einer Übermittlung überhaupt ankommt: Auf den Webseiten-Betreiber oder auf Facebook? Wessen „berechtigtes Interesse“ an der Datenübermittlung wäre relevant? Wer müsste eine Einwilligung vom Nutzer einholen?

Und schließlich könnte auch eine weitere umstrittene Frage geklärt werden: Muss der Webseiten-Betreiber seine Nutzer über die Datenübermittlung informieren, obwohl er nicht weiß, was Facebook mit den übermittelten Daten macht?

Schlussanträge des EuGH-Generalanwalts Bobek – Gemeinsame Verantwortlichkeit von Facebook und Webseiten-Betreiber

Am 19.12.2018 erschienen die Schlussanträge des EuGH Generalanwalts. Nach Ansicht von Generalanwalt Bobek ist der Betreiber einer Webseite (hier Fashion ID), auf der ein Plugin eines Dritten wie der Facebook-„Gefällt mir“-Button eingebunden wird, das zur Erhebung und Übermittlung der personenbezogenen Daten des Nutzers führt (hier an Facebook Ireland), für diese Phase der Datenverarbeitung mitverantwortlich. Diese (gemeinsame) Verantwortlichkeit des Webseiten-Betreibers sollte jedoch auf die Verarbeitungsvorgänge beschränkt sein, für die er tatsächlich verantwortlich ist und mit denen er seinen Beitrag zur Verarbeitung der personenbezogenen Daten leiste. Und hier dürfte bereits ein erhebliches Problem für alle Webseiten-Betreiber wegen der mangelnden Transparenz durch Facebook bestehen. bestehen.

Nach Auffassung des Generalanwalts seien daher im konkreten Fall Fashion ID und Facebook Ireland gemeinsam verantwortlich, da beide Unternehmen zumindest einheitlich kommerzielle und Werbezwecke verfolgt hätten. Daher handele Fashion ID als Webseiten-Betreiber bei der Einbindung des Facebook Like Buttons in Bezug auf die Erhebungs- und Übermittlungsphase der Datenverarbeitung auch als ein für die Verarbeitung Verantwortlicher. Insofern sei Fashion ID, wie Facebook Ireland, ebenfalls haftbar.

Webseiten-Betreiber müssen daher zumindest für diesen konkreten Fall des Facebook Like Buttons zuvor die Einwilligung der Nutzer einholen. Außer es bestehe ein berechtigtes Interesse der Verantwortlichen (hier Fashion ID und Facebook Ireland), dann könne eine Verarbeitung zulässig sein. Hier müsse stets eine Abwägung der entgegenstehenden Interessen des Nutzers und der Unternehmen vorgenommen werden.

Wie können Unternehmen derzeit den Like Button rechtssicher einbinden?

Derzeit ist es aufgrund der unsicheren Rechtslage nicht empfehlenswert, den Facebook Like Button unmittelbar bei sich einzubinden.

Unternehmen, die den Like Button nutzen, können zunächst die sogenannte Zwei-Klick-Lösung anwenden. Bei diesem Verfahren wird zunächst nur ein Bild des Facebook-Like Buttons eingebunden. Klickt der Nutzer auf das Bild, wird zunächst eine Datenschutzerklärung angezeigt. Erst nachdem der Nutzer diese Daten zur Kenntnis genommen und bestätigt hat, wird der echte Button nachgeladen.

Alternativ können Unternehmen die Shariff-Button-Lösung verwendet. Im Gegensatz zur Zwei-Klick-Lösung reicht hier ein einziger Button-Klick, um die gewünschten Informationen mit anderen zu teilen. Beim Shariff-Button wird erst ein Kontakt zwischen Facebook und dem Nutzer hergestellt, wenn der Nutzer bewusst und aktiv auf den Button klickt und nicht bereits beim alleinigen Seitenaufruf.

Möchten Unternehmen eine dieser Lösungen anwenden, so ist derzeit eine Anpassung der Datenschutzerklärung empfehlenswert. Dort müssen sie dann zumindest auch auf den Einsatz von Facebook und Co. hinweisen. Auch, wenn sie nicht wissen können, was Facebook mit den Daten macht.

Unternehmen, die auf der ganz sicheren Seite sein wollen, sollten den Facebook Like Button gar nicht erst auf der Unternehmenswebseite einbauen, sondern von dort lediglich auf ihre Facebook Fan Page verlinken. Auf diese Weise findet überhaupt keine Übertragung von Daten der Nutzer statt.“

Christian Solmecke ist Partner der Kanzlei WILDE BEUGER SOLMECKE und inbesondere in den Bereichen des IT-, des Medien- und des Internetrechts tätig. Darüber hinaus ist er Autor zahlreicher juristischer Fachveröffentlichungen in diesen Bereichen.

Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (9 Bewertungen, Durchschnitt: 4,78 von 5)

RSSKommentare (0)

Kommentar schreiben

Kommentar schreiben

Mit dem Absenden des Kommentars erklären Sie sich mit den Datenschutzbestimmungen einverstanden.