Gefällt mir? Die Facebook-Like-Button-Problematik

Wieder Facebook, wieder EuGH. Zum zweiten Mal innerhalb weniger Monate beschäftigt sich der Europäische Gerichtshof („EuGH“) mit datenschutzrechtlichen Fragen rund um das soziale Netzwerk. Nachdem im Juni ein Urteil zur datenschutzrechtlichen Verantwortlichkeit beim Betrieb von Fanpages gefällt wurde, geht es nun um den allseits bekannten Facebook-Like-Button. Speziell um seine Integrierung auf der Website per Plug-in. Die rechtliche Fragestellung ist hier die gleiche: Wer ist für die Verarbeitung der User-Daten verantwortlich? Facebook? Seitenbetreiber? Oder beide gemeinsam?

Der Hintergrund

Wie auch bei den Fanpages wird der EuGH im Rahmen eines Vorabentscheidungsverfahrens entscheiden. Den EuGH angerufen hat das OLG Düsseldorf mit der Fragestellung, wer denn für die Verarbeitung der durch den Like-Button generierten Daten verantwortlich sei (OLG Düsseldorf, Beschl. v. 19.01.2017 – I-20 U 40/16).
Ursprünglich wurde der Fall vor dem Landgericht Düsseldorf verhandelt (Urt. v. 9.3.2016 – 12 O 151/15). Die Verbraucherzentrale NRW hielt die Einbindung des Like-Buttons auf der Website der Fashion ID GmbH & Co. KG (ein Online-Shop für Bekleidung) für wettbewerbswidrig. Durch den Like-Button werden mittels Plug-Ins Daten zum Surfverhalten der Website-Besucher an Facebook übermittelt (z.B. die IP-Adresse), unabhängig davon, ob der Like-Button angeklickt wurde oder nicht. Da diesbezüglich von Fashion ID keine Einwilligung von den Seitenbesuchern eingeholt wurde, klagte die Verbraucherzentrale NRW auf Unterlassung.
Der Auffassung der Verbraucherzentrale hat sich das Gericht angeschlossen und der Klage weitestgehend stattgegeben. Aufgrund der fehlenden Einwilligung in die Weitergabe der Daten von Seitenbesuchern und dem Fehlen einer Information über die Datenverarbeitung sahen die Richter in der Einbindung des Plug-Ins einen Wettbewerbsverstoß im Sinne des § 3a UWG i.V.m. §§ 12, 13 TMG. Dabei stellten sie sich auf den – nicht unumstrittenen – Standpunkt, dass es sich bei jedem Datenschutzverstoß nach TMG auch um einen Wettbewerbsverstoß handele. Durch die Einbindung des Social-Plug-Ins in den Online-Shop habe die Fashion-ID die Erhebung und Verwendung der Daten ermöglicht und sei dementsprechend nach § 3 Abs. 7 BDSG (a.F.) für die Verarbeitung datenschutzrechtlich verantwortlich, so die Begründung. Die Fashion-ID legte Berufung beim OLG Düsseldorf ein, das wiederum die Sache zur Vorabentscheidung dem EuGH vorlegte.

Das „Fanpage“-Urteil könnte die Entscheidung des EuGH beeinflussen

In wenigen Monaten wird das Urteil des EuGH erwartet. Die Frage, die sich jetzt schon stellt: Kann die Rechtsprechung zu den Facebook-Fanpages auf die Like-Buttons übertragen werden?
Zur Erinnerung: Beim Aufrufen einer Facebook-Fanpage, wird beim Seitenbesucher (unabhängig davon ob er bei Facebook registriert ist) ein Cookie platziert, welches Daten der Benutzer erhebt. Die Fanpage-Betreiber selbst erhalten keinen Zugriff auf die personenbezogenen Daten der Besucher, sondern lediglich statistische Informationen. Dies reiche laut EuGH jedoch aus, um eine (Mit)verantwortung des Fanpage-Betreibers zu begründen. Grund dafür sei, dass Facebook den Betreibern die besagten statistischen Daten der Nutzer zur Verfügung stelle “die [sie] darüber informieren wo spezielle Werbeaktionen durchzuführen oder Veranstaltungen zu organisieren sind und ihm ganz allgemein ermöglichen, sein Informationsangebot so zielgerichtet wie möglich zu gestalten“ (Pressemitteilung des EuGH). Diese Entscheidungsmöglichkeit der Betreiber über die Daten der Nutzer macht sie laut EuGH zu Verantwortlichen im Sinne des Datenschutzrechts.
Die Tatsache, dass der Seitenbetreiber selbst keinen Zugriff auf personenbezogene Daten habe sei irrelevant, denn bei gemeinsamer Verantwortlichkeit müssten weder alle Betreiber Zugriff auf die Daten haben noch zu gleichen Teilen an der Verarbeitung beteiligt sein.

Gemeinsame Verantwortlichkeit auch beim Like-Button?

Die Ausgangslage beim Like-Button-Problem ist mit dem der Fanpages vergleichbar: Personenbezogene Daten von Seitenbesuchern werden an Facebook übertragen und Seitenbetreiber haben keinen Zugriff auf diese Daten.
Im Unterschied zu den Fanpages werden bei den Like-Buttons dem Seitenbetreiber keine statistischen Daten über die Besucher zur Verfügung gestellt, welche sie für weitere Zwecke verwenden könnten. Dies war jedoch der zentrale Grund für die Entscheidung des EuGH eine Mitverantwortlichkeit der Seitenbetreiber zu bejahen. Müsste eine Mitverantwortlichkeit in diesem Fall also verneint werden?
An dieser Stelle muss auf den wesentlichen Unterschied zwischen den beiden Problematiken hingewiesen werden. Facebook-Fanpagebetreiber können die Verarbeitung der User-Daten durch Facebook nicht verhindern, das soziale Netzwerk erhebt sie in jedem Fall. Beim Like-Button liegt die Entscheidung, ob dieser auf der eigenen Website integriert werden soll, beim Seitenbetreiber selbst. Erst durch die bewusste Verwendung des Social-Plug-Ins wird die Verarbeitung der Besucher-Daten durch Facebook ermöglicht. Dies könnte in dem kommenden Urteil des EuGH entscheidender Faktor sein, um ebenfalls eine Mitverantwortlichkeit zu bejahen. Insbesondere die Tatsache, dass auch Daten von Personen erhoben werden, die nicht bei Facebook registriert sind, wird wohl ins Gewicht fallen.

Die Folgen einer (möglichen) Mitverantwortlichkeit

Sollte der EuGH in seinem Urteil tatsächlich von einer gemeinsamen Verantwortlichkeit von Seitenbetreibern und Facebook ausgehen, zöge dies Rechtsfolgen nach sich, die nunmehr in der DSGVO geregelt sind. Gemäß Art. 26 DSGVO sind gemeinsam Verantwortliche dazu verpflichtet, in transparenter Form eine Vereinbarung darüber zu treffen, wer von ihnen welche Verpflichtung gemäß der DSGVO erfüllt (sog. Joint-Controllership-Agreement). Zu den von der DSGVO geregelten Pflichten gehören insbesondere die Wahrung der Rechte der von der Verarbeitung betroffenen Personen, wie z.B. das Recht auf Information und Auskunft im Sinne der Art. 13 bis 15 DSGVO.
Für die Fanpage-Betreiber hat Facebook bereits eine solche Vereinbarung durch eine Ergänzung der Nutzungsbedingungen zur Verfügung gestellt. Darin wurde festgelegt, dass Facebook die primäre Verantwortung für die Verarbeitung der User-Daten übernimmt. Dies gilt insbesondere für die in den Art. 12 bis 22 DSGVO geregelten Betroffenenrechte sowie die in Art. 32-34 DSGVO normierte Datensicherheit und Meldung von Datenschutzverletzungen.
Eine ähnliche Vereinbarung wäre auch für Website-Betreiber denkbar, die Like-Buttons in ihren Internetauftritt integrieren. Allerdings hat die Fanpage-Vereinbarung die Betreiber nicht von jeglichen datenschutzrechtlichen Pflichten ausgenommen.

Welche Pflichten treffen die Website-Betreiber?

Wird eine gemeinsame Verantwortlichkeit durch den EuGH bejaht, müssen Website-Betreiber die Anforderungen der DSGVO erfüllen. Theoretisch müssten sie die Betroffenen über Art, Zweck und Umfang der Datenverarbeitung informieren und Maßnahmen ergreifen, um alle Betroffenenrechte (wie z.B. Löschung der Daten) garantieren zu können. Allerdings wird dies für Betreiber praktisch kaum umzusetzen sein, denn Zweck und Umfang der Datenverarbeitung entzieht sich ihnen jeder Kenntnis.
Bei den Fanpages kommt Facebook den Betreibern entgegen, indem es nun die Haupt-Verantwortung für die Verarbeitung der Daten übernimmt. Im Fall der Fälle ist ein ähnliches Vorgehen auch bei den Like-Buttons wahrscheinlich. Facebook hat ein nicht unerhebliches Interesse an der Verwendung dieses Plug-Ins, auf die die Betreiber zukünftig bei so viel Verantwortung verzichten könnten.
Wie genau eine solche Vereinbarung aussehen könnte und ob es sie überhaupt geben wird bleibt abzuwarten. Allerdings kann davon ausgegangen werden, dass Seitenbetreiber nicht vollständig von allen Pflichten nach der DSGVO entbunden werden. Aufschluss darüber könnte die Vereinbarung mit den Facebook-Fanpage-Betreibern geben. Diese müssen User über die Verarbeitung informieren und eine Rechtsgrundlage für die Verarbeitung benennen können (wohl Art. 6 Abs. 1 S. 1 lit. b bzw. f DSGVO).
Es ist Website-Betreibern zu empfehlen, insbesondere ihre Datenschutzerklärungen zu überprüfen und gegebenenfalls mit einem entsprechenden Textbaustein zu ergänzen. Zusätzlich kann das Risiko einer rechtlichen Inanspruchnahme reduziert werden, indem lediglich Links zu den sozialen Netzwerken, die sog. „2-Klick“-Lösung oder das Tool „Shariff“ eingesetzt werden.

Fazit

Wie sich der EuGH in dieser Sache entscheiden wird, kann nicht mit Sicherheit vorhergesagt werden. Es bleibt jedoch zu hoffen, dass das „Like-Button“-Urteil im Gegensatz zum „Fanpage“-Urteil aufschlussreicher sein wird. Letzteres ließ alle Beteiligten zunächst etwas ratlos zurück, was die Schließung einiger Fanpages zur Folge hatte. Die Aussichten sind allerdings nicht allzu schlecht, denn das OLG hat für den Fall der Bejahung der Mitverantwortlichkeit weitere Vorlagefragen formuliert, die dem EuGH die Möglichkeit bieten, deutlichere Ausführungen zur gemeinsamen Verantwortlichkeit zu machen als er es bisher getan hat.

Erfolg im digitalen Zeitalter: Der Data Act 2024 und seine Chancen für Ihr Unternehmen

Jetzt lesen

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.