Was der EuGH (Rs.: C-40/17) am 29. Juli zu Like-Buttons entschieden hat, gefällt weder Facebook, noch deutschen Webseitenbetreibern, noch den Nutzern oder Digitalverbänden. Welche Konsequenzen hat das Urteil?

Was wird Fasion ID vorgeworfen?

Im vorliegenden Fall geht es um Fashion ID, die den Like-Button von Facebook auf ihrer Webseite eingebunden haben und denen von der Verbraucherzentrale NRW ein Verstoß gegen das Wettbewerbs- und Telemedienrecht vorgeworfen wurde. Bei der Einbindung des Like-Buttons werden nach Ansicht der Verbraucherzentrale personenbezogene Daten erhoben und verarbeitet, weshalb eine Einwilligung eingeholt werden müsse, was hier aber nicht der Fall war.

Was ist so schlimm an den Like-Buttons?

Wir berichteten bereits Ende Mai über die datenschutzrechtlichen Probleme der Einbindung von Social-Media-Kanälen. Moniert wird dabei, dass die Like-Buttons schon beim Aufruf der Seite Daten von Nutzern sammeln und verarbeiten, ohne, dass die Nutzer dem zugestimmt hätten oder das verhindern könnten.

Was hat der EuGH zu Like-Buttons entschieden?Verantwortlichkeit der Webseitenbetreiber

Verantwortlichkeit der Webseitenbetreiber

Der EuGH sieht die Webseitenbetreiber zusammen mit Facebook als verantwortlich für die Verarbeitung im Sinne von Art. 2 d) der EU-Richtlinie 95/46.

Der EuGH erklärt, dass Fashion ID der Like Button „als Werkzeug zum Erheben und zur Verarbeitung und Übermittlung von personenbezogenen Daten der Besucher dieser Seite dient“ und ohne diese Einbindung auch keine Daten gesammelt worden wären. Die Verantwortlichkeit beschränkt sich jedoch auf diejenigen Vorgänge, über die der Betreiber der Webseite durch Zweck und Mittel entscheidet.

Berechtigtes Interesse oder Einwilligung?

Der EuGH entschied ebenfalls, dass der Webseitenbetreiber und Facebook jeweils ein berechtigtes Interesse im Sinne von Art. 7 f) der Richtlinie bräuchten, damit die Verarbeitung der personenbezogenen Daten rechtmäßig ist. Ob dies vorliegend der Fall ist, hat das OLG Düsseldorf (Az.: I-20 U 40/16) zu entscheiden.

Wenn kein berechtigtes Interesse vorliegt, muss eine Einwilligung gem. Art. 2 h) und Art. 7 a) der Richtlinie eingeholt worden. Diese Einwilligung muss der Webseitenbetreiber in Bezug auf die Vorgänge einholen, für die er über die Zwecke und Mittel entscheidet. Im gleichen Maße trifft ihn die Informationspflicht des Art. 10 der Richtlinie.

Wie ist die Entscheidung zu bewerten?

Das Problem für die Webseitenbetreiber ist, dass diese gar nicht genau wissen, welche Daten Facebook in welchem Maß sammelt und verarbeitet. Eine Aufklärung der Nutzer und den Umfang der Einwilligung festzustellen, gestaltet sich daher schwierig. Sie können damit für etwas haftbar gemacht werden, was sie zwar verwenden, aber sie nicht im Detail verstehen können.

Der Branchenverband Bitkom kritisiert die große Verantwortung, die den Webseitenbetreibern aufgebürdet wird. Außerdem würden die ohnehin schon umfangreichen AGB und Datenschutzerklärungen noch umfangreicher, die schon jetzt von den Nutzern nur noch hingenommen aber nicht gelesen werden.

Für die Internetnutzer bedeutet die Entscheidung einen weiteren Schritt Richtung Datenschutz, der aber mit mehr Klickerei verbunden ist, da sich die Webseitenbetreiber in Zukunft eine Einwilligung der User einholen werden.

Genau dies kritisiert der Bundesverband Digitale Wirtschaft (BVDW). Er findet die Einwilligung der Nutzer als zu umständlich und daher realitätsfern. Es gäbe bereits die Zwei-Klick-Lösung und Shariff, die dafür sorgen, dass sich die Nutzer bewusst für die Aktivierung der Plugins entscheiden.

Was müssen Webseitenbetreiber tun?

Wer weiterhin Social-Media-Kanäle einbinden möchte, sollte seine Datenschutzerklärung eingehend prüfen. Diese muss auf die Entscheidung des EuGH ausgerichtet werden und die Nutzer darüber informieren, dass personenbezogene Date verwendet werden.

Außerdem sollte eine Einwilligung eingeholt werden. Das kann über die sogenannte Zwei-Klick-Lösung und über Shariff erreicht werden.

Der der Zwei-Klick-Lösung muss der Like-Button durch einen ersten Klick des Nutzers aktiviert werden. Erst dann werden Daten gesammelt und erst dann kann auf „Like“ gedrückt werden.

Bei Shariff wird über ein Skript abgefragt, wie viele Likes es gibt und dies in einem HTML-Button angezeigt. Diese Abfrage läuft nicht über die Server von Facebook und daher ohne Übertragung der IP-Adresse des Nutzers. Solange der Nutzer nicht auf den Button drückt, bleibt er vor Facebook verborgen. Sie haben Fragen zu Social-Media-Einbindungen, der Datenschutzerklärung oder dem Datenschutzrecht allgemein? Dann wenden Sie sich gerne an unsere Kanzlei, wir helfen Ihnen gerne!