EuGH-Urteil zur Einbindung von Like-Buttons: Welche Pflichten haben Seitenbetreiber?

Der Europäische Gerichtshof (EuGH) hat am 29.07.2019 in der Rechtssache FashionID (C-40/17) ein wichtiges Urteil zu dem Anwendungsbereich und den Grenzen der gemeinsamen Verantwortlichkeit im Datenschutz gefällt. Konkret hat er entschieden, dass für die Einbindung eines Facebook Like-Buttons auf einer Webseite  der Webseiten-Betreiber und Facebook gemeinsam verantwortlich sind. Zugleich differenzierte der Gerichtshof auch klar, an welchen Phasen der Verarbeitung personenbezogener Daten der Betreiber tatsächlich beteiligt ist. Dabei reicht die gemeinsame Verantwortlichkeit nur so weit, wie die Datenverarbeitung noch innerhalb der Einflusssphäre der jeweils beteiligten Partei liegt. Aus dieser gemeinsamen Verantwortlichkeit ergeben sich spezielle Verpflichtungen sowohl für den Website-Betreiber als auch für den Anbieter des (Facebook-) Plugins.

Worum ging es?

Der EuGH beschäftigte sich in seinem Urteil damit, inwiefern die Verwendung des Facebook-Plugins für den „Gefällt mir“-Button (Like-Button) auf Websites datenschutzrechtlich zu bewerten ist, und beantwortete hierzu verbindlich mehrere Vorlagefragen des Oberlandesgerichts (OLG) Düsseldorf zur Auslegung des damals gültigen Datenschutzrechts. Auch wenn sich das Gericht dabei mit der vorherigen Datenschutz-Richtlinie befasste, hat das Urteil auch für die aktuelle Rechtslage unter der Datenschutz-Grundverordnung (DSGVO) große Bedeutung, da auch bei dieser die gemeinsame Verantwortlichkeit der an der Datenverarbeitung beteiligten Akteure häufig umstritten ist.

Was macht der Like-Button?

Der Like-Button kann über ein von Facebook bereitgestelltes Plugin auf jeder beliebigen Website implementiert werden. Dadurch können Website-Nutzer Inhalte auf Facebook leichter „liken“ und teilen. Das auf der Website eingebundene Plugin von Facebook übermittelt zumindest die IP-Adresse und Informationen zum Browser und dem benutzten Endgerät des Website-Besuchers an Facebook automatisch bei jedem Website-Besuch, auch wenn der Button gar nicht angeklickt wird und auch, wenn der Website-Besucher kein Konto bei Facebook hat. 

Welche Fragen wurden dem EuGH vorgelegt?

Das OLG Düsseldorf, das sich zuletzt mit der Klage der Verbraucherschutzzentrale NRW gegen den Website-Betreiber Fashion ID beschäftigt hat, legte dem EuGH insbesondere die Frage vor, ob ein Betreiber, der ein solches Plugin in seine Website einbindet, für die Datenverarbeitung (gemeinsam) verantwortlich ist, selbst wenn er den nachfolgenden Verarbeitungsvorgang selbst nicht beeinflussen kann. Verantwortlicher ist nach neuem und auch altem Datenschutzrecht eine Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Da viele Websites auf diese Weise Inhalte Dritter einbinden, hat diese Frage auch weitreichende Auswirkungen für andere eingebundene Inhalte.

Auch sollte geklärt werden, wie weit eine eventuell vorliegende Verantwortlichkeit gehen soll und wofür genau sie besteht. Darüber hinaus ging es auch um die Frage, auf welche berechtigten Interessen bei der Einbindung des Like-Buttons abzustellen ist, wer eine mögliche Einwilligung einzuholen hätte und inwieweit den Website-Betreiber Informationspflichten treffen. 

Was entschied der EuGH in seinem Urteil?

Der EuGH traf seine Entscheidung ausgehend von zwei früheren Urteilen mit ähnlicher Problematik und der auf diesen aufbauenden Schlussanträgen des Generalanwalts Bobek.

In seinem Urteil vom 05.06.2018 (Rs. C-210/16, Wirtschaftsakademie Schleswig-Holstein) entschied das Gericht, dass der Betreiber einer Facebook-Fanpage an der Entscheidung über die Zwecke und Mittel der Datenverarbeitung beteiligt und somit mitverantwortlich ist. Begründet wurde dies insbesondere damit, dass durch den Besuch der Fanpage – auch bei Besuchern ohne Facebook-Konto – Cookies auf dem Endgerät des Nutzers abgelegt werden und dadurch der Betreiber Statistiken über personenbezogene Daten erhält, mit denen er sein Angebot zielgerichtet gestalten und dessen Vermarktung steuern kann.

Zugleich wurde jedoch ausgeführt, dass Facebook und der Fanpage-Betreiber nicht zwangsläufig gleichwertig verantwortlich sind, sondern der Grad der Verantwortlichkeit nach den Umständen des Einzelfalls zu bestimmen ist, insbesondere anhand der unterschiedlichen Phasen und des Ausmaßes der Verarbeitung.

In einem anderen Urteil vom 10.07.2018 (Rs. C-25/17, Jehovan todistajathob) kam der EuGH zu dem Schluss, dass eine Religionsgemeinschaft, indem sie die Verkündungstätigkeit ihrer Mitglieder organisiert und zu dieser ermuntert, als gemeinsam mit den Verkündigern verantwortlich anzusehen ist, wenn diese sich selbst Notizen über aufgesuchte Personen machen und dabei entscheiden, welche Daten sie erheben und weiterverarbeiten. Im Übrigen würde eine gemeinsame Verantwortlichkeit nicht voraussetzen, dass alle Beteiligten Zugang zu den personenbezogenen Daten haben.

Im aktuellen Urteil vom 29.07.2019 entschied der EuGH, dass ein Website-Betreiber, der das Facebook-Plugin mit dem Like-Button einbindet, die Übermittlung personenbezogener Daten an Facebook ermöglicht. Mit der Einbindung des Plugins optimiert der Website-Betreiber jedenfalls seine Werbung durch die Verbreitung und Sichtbarkeit auf Facebook. Zudem ist es nicht relevant, ob der Website-Betreiber Zugang zu den übermittelten Daten hat. Insgesamt ist er für diese konkrete Datenverarbeitung mitverantwortlich. 

Für welche Verarbeitungsvorgänge ist der Website-Betreiber verantwortlich?

Für die gemeinsame Verantwortlichkeit knüpft das Gericht auf die frühere Entscheidung an, dass der Grad der Verantwortung nach den Umständen des Einzelfalls zu bestimmen ist. Danach richtet sich auch, welche Verpflichtungen Facebook einerseits und den Website-Betreiber andererseits treffen.

So ist der Website-Betreiber dem EuGH zufolge nur für den Verarbeitungsvorgang verantwortlich, für den er einen tatsächlichen Beitrag zur Entscheidung über die Zwecke und Mittel der Verarbeitung leistet. Folglich ist er durch das Einbinden des Like-Buttons (Mittel der Verarbeitung) nur für die Erhebung und Übermittlung der personenbezogenen Daten an Facebook verantwortlich, wobei sowohl Facebook als auch der Website-Betreiber gemeinsame wirtschaftliche Interessen verfolgen (Zweckeinheit).

Für darüberhinausgehende vor- oder nachgelagerte Vorgänge in der Verarbeitungskette von Facebook, für die der Betreiber weder Mittel noch Zwecke festlegt, ist der Website-Betreiber hingegen nicht im Sinne der DSGVO verantwortlich. Eine weitergehende zivilrechtliche Haftung bleibt davon jedoch unberührt. Bei Besuchern, die nicht selbst Mitglied bei Facebook sind, ist die Verantwortlichkeit des Website-Betreibers entsprechend höher zu bewerten als bei Mitgliedern des sozialen Netzwerks. 

Welche Rechtsgrundlage gilt für die Datenverarbeitung?

Sollte als Rechtsgrundlage eine Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO) gewählt werden, so ist diese gegenüber dem Website-Betreiber für die Erhebung und Übermittlung der Daten abzugeben.

Entgegen anderslautender Medienberichte hat der EuGH nicht entschieden, dass eine Einwilligung für Like-Buttons zwingend erforderlich ist. Diese Frage könnte nun vom OLG Düsseldorf geklärt werden.

Der EuGH stellt in seinem Urteil fest, dass im Falle des Like-Buttons nach Art. 5 Abs. 3 der ePrivacy-Richtlinie eine Einwilligung erforderlich wäre, sofern dabei Informationen auf den Endgeräten des Nutzer gespeichert würden (Cookies). Diese Vorgabe der Richtlinie, die grundsätzlich nicht unmittelbar anwendbar ist, wurde in Deutschland jedoch nicht in das Telemediengesetz (TMG) übernommen. Zudem sollte man auch nicht vergessen, dass die Richtlinie selbst auch Ausnahmen von der Einwilligung für zwingend erforderliche Cookies kennt. Das Erfordernis und die notwendige Ausgestaltung der Einwilligung für das Setzen von bestimmten Cookies sind in Deutschland umstritten. Klarheit bringt insoweit auch nicht das Urteil des EuGH, dass die Frage des Einwilligungserfordernisses bei der Einbindung des Like-Buttons bewusst offen lässt.

Rechtfertigt man die Einbindung des Like-Buttons mit dem berechtigten Interesse (Art. 6 Abs. 1 S. 1 lit. f DSGVO), so ist nach dem EuGH sowohl auf die Interessen von Facebook als auch auf die des Website-Betreibers abzustellen, je nachdem, welcher Verarbeitungsvorgang gerade betroffen ist. Dabei können Marketing und Werbung grundsätzlich berechtigte Interessen darstellen. Die konkrete Datenverarbeitung muss jedoch für die Verwirklichung der berechtigten Interessen erforderlich sein und die Interessen des Website-Besuchers dürfen nicht überwiegen. Fraglich bleibt dabei, inwiefern die Verarbeitung nach Übermittlung der Daten mit in die Abwägung einbezogen werden muss, insbesondere, wenn nicht genau bekannt ist, was mit den Daten passiert.

Welche Pflichten treffen die an der Verarbeitung beteiligten Akteure?

Der Website-Betreiber muss nach dem Urteil über die Datenverarbeitungen informieren, die im Rahmen seiner Verantwortlichkeit liegen, und zwar unabhängig davon, ob die betroffene Person ein Facebook-Konto hat oder nicht. Er muss in seiner Datenschutzerklärung darüber aufklären, dass und wie durch das Facebook-Plugin die Daten erhoben und übermittelt werden. Die konkrete Ausgestaltung dieser Hinweise hat der EuGH jedoch offengelassen. Für die weitere Verarbeitung sollte auf die Datenschutzerklärung von Facebook verwiesen werden.

Im Rahmen der gemeinsamen Verantwortlichkeit müssen die Verantwortlichen gemäß Art. 26 DSGVO in einer Vereinbarung festlegen, wer welche datenschutzrechtlichen Pflichten gemäß der DSGVO erfüllt. Man kann davon ausgehen, dass hier die großen Anbieter bald Vereinbarungen zur Verfügung stellen werden. Entgegen der zum Zeitpunkt der Einleitung des Rechtsstreits geltenden Rechtslage, bei der eine vergleichbare Vorschrift wie Art. 26 DSGVO in der Datenschutz-Richtlinie noch nicht existierte, könnte in einer solchen Vereinbarung der gemeinsam Verantwortlichen festgelegt werden, dass eine Seite vorrangig die Informationspflichten erfüllt und die andere lediglich auf die Informationen verweisen muss. Hier bleibt abzuwarten, wie sich insbesondere Facebook verhält und welche Vereinbarung es den Plugin-Nutzern anbietet.

Fazit

Die Einbindung des Facebook-Plugins mit Like-Button ist von datenschutzrechtlicher Relevanz. Dieses Urteil hat jedoch auch Folgen für andere Plugins, die in Online-Dienste (Websites, Apps) eingebunden werden und personenbezogene Daten an weitere Akteure erheben und übermitteln.

Jedem Anbieter von Online-Diensten ist daher anzuraten, seine dort eingebundenen Plugins und Tools zu überprüfen und ggf. Maßnahmen einzuleiten, um die Datenschutz-Konformität sicherzustellen.

Erfolg im digitalen Zeitalter: Der Data Act 2024 und seine Chancen für Ihr Unternehmen

Jetzt lesen

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.