Facebook-Like Button: Großes Dislike vom Europäischen Gerichtshof

Der Datenschutz macht Facebook zu schaffen, aber auch für die Unternehmen wird es nicht einfacher, Facebook für ihre Unternehmensdarstellung zu nutzen. Zunächst gaben die deutschen Datenschutzbehörden bekannt, dass ihrer Ansicht nach Facebook-Fanpages derzeit nicht legal zu betreiben seien. Dann musste Facebook im Zusammenhang mit dem Skandal um Cambridge Analytica eine Strafe von 5 Mrd. $ akzeptieren, und nun hält der Europäische Gerichtshof (EuGH) in seinem Urteil vom 29. Juli 2019 die beliebten Like-Buttons von Facebook in der derzeitigen Form für datenschutzwidrig. Eine endgültige Entscheidung muss nun das Oberlandesgericht Düsseldorf treffen. Es gibt aber bereits technische Alternativen, die das datenschutzrechtliche Risiko deutlich minimieren.

Entscheidung des EuGH

Das Urteil der Luxemburger Richter vom 29. Juli 2019 kann wie folgt zusammengefasst werden:

• Der Webseiten-Betreiber und Facebook sind gemeinsam für die durch den Like-Button ausgelöste Datenverarbeitung verantwortlich. Die Verantwortlichkeit des Webseiten-Betreibers ist aber auf die Datenerhebung und -weitergabe beschränkt (Rz. 85).
• Der Webseiten-Betreiber unterliegt einer datenschutzrechtlichen Informationspflicht. Diese muss vor der Datenerhebung und -weitergabe erfüllt werden, also mit Aufrufen der Webseite (Rz. 106).
• Sollte Facebook auf Daten zugreifen, die auf dem Endgerät des Webseiten-Besuchers gespeichert sind, müsste von jedem eine Einwilligung in die Datenverarbeitung eingeholt werden (Rz. 89). Ob dies hier der Fall war, muss noch vom OLG Düsseldorf, das dieses Verfahren dem EuGH vorgelegt hatte, geklärt werden
• Selbst wenn keine Daten auf dem Endgerät gespeichert werden, ist die Datenverarbeitung nur zulässig, wenn der Webseiten-Betreiber sich auf berechtigte Interessen stützen kann (Rz. 97).

Worum geht es bei dieser Auseinandersetzung?

Die Verbraucherzentrale NRW wirft dem zum Peek&Cloppenburg-Konzern gehörenden Online-Mode-Händler Fashion-ID vor, Daten der Webseiten-Besucher ohne deren Einwilligung und unter Verstoß gegen die Informationspflichten an Facebook Ireland übermittelt zu haben. Durch das auf der Webseite eingebundene Social Plugin „Gefällt mir“ von Facebook werden – unbestritten von Facebook – bereits beim Aufrufen der Webseite personenbezogene Daten der Besucher sowie die besuchte Webseite, die IP-Adresse und technische Angaben zum Browser an Facebook übermittelt. Dies geschieht unabhängig davon, ob der Webseiten-Besucher selbst Mitglied von Facebook ist oder den „Gefällt mir“-Button selbstständig anklickt.

Ist der Webseiten-Besucher registriertes Facebook-Mitglied und während des Besuchs der Webseite bei Facebook eingeloggt, ist es für Facebook anhand dieser Daten theoretisch möglich, Informationen über die angesehenen Inhalte mit dem Nutzerkonto zu verknüpfen und für nutzerspezifische Werbung zu verwenden. Durch die Setzung von Cookies soll eine solche Nachverfolgung auch möglich sein, wenn der Nutzer sich vor Besuch der Webseite bei Facebook ausgeloggt hat oder selbst gar nicht bei Facebook registriert ist. Sobald eine Webseite einen Like-Button implementiert hat, kann Facebook mitlesen, für welche Inhalte sich der Webseiten-Besucher interessiert. Dieser ist sich dessen oftmals nicht bewusst, da die Übermittlung allein mit Besuch der Webseite stattfindet und unabhängig davon, ob er den Like-Button drückt oder überhaupt Facebook-Mitglied ist.

Möglicherweise wird das OLG Düsseldorf nun auf Basis der Hinweise des EuGH zu dem Ergebnis kommen, dass Like-Buttons nur noch mit ausdrücklicher Einwilligung der Webseiten-Besucher datenschutzrechtlich zulässig sind. Dies hört sich für die Webseiten-Besucher zunächst einmal gut an, denn sie würden mehr Kontrolle über ihre eigenen Daten bekommen. Gleichzeitig wird die Usability eingeschränkt. Bereits jetzt ist der Ärger über die große Anzahl an Cookie-Bannern groß.

Was müssen Unternehmen jetzt beachten?

Für Unternehmen, die den Like-Button einbinden, stellt sich im Anschluss die Frage, welche Verpflichtungen sich aus der gemeinsamen Verantwortlichkeit ergeben. Dies hat der EuGH bedauerlicherweise nur zum Teil klargestellt.

• Auf jeden Fall muss der Verantwortliche die Besucher seiner Webseite über die Erhebung der Daten und ihre Übermittlung an Facebook informieren. Allein dies würde so manchen Webseiten-Betreiber vor hohe Hürden stellen, denn er muss sich nun selbst informieren, wie die Datenerhebung und -übermittlung an Facebook technisch abläuft.
• Nach den Ausführungen des EuGH in seinem Urteil zu den Facebook-Fanpages vom 5. Juni 2018 müssten Facebook-Fanpage-Betreiber und Facebook darüber hinaus auch einen Vertrag zur datenschutzrechtlichen gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO schließen. Diese Forderung hat der EuGH jetzt nicht wiederholt. An sich würde dies aber aus der Feststellung der gemeinsamen Verantwortlichkeit durch den EuGH zwingend folgen.

Schnelle Hilfe versprechen zwei Verfahren: Durch die Zwei-Klick-Lösung oder die Shariff-Lösung können Social Plugins datenschutzfreundlicher eingebunden werden.

• Bei der Zwei-Klick-Lösung werden auf der Webseite zunächst deaktivierte Social Plugins eingebunden. Diese können keine Daten an den Anbieter des Social Plugins wie Facebook übermitteln. Erst durch den ersten Klick des Webseiten-Besuchers auf den Button des Plugins wird es aktiviert und überträgt Daten an seinen Anbieter. Durch den zweiten Klick kann der Webseiten-Besucher sodann die gewünschte Funktion – zum Beispiel liken oder teilen – auswählen.
• Bei Shariff-Lösung werden zunächst keine personenbezogene Daten an die Anbieter eingebundener Social Plugins übermittelt. Der Kontakt zu den Diensten bzw. die Abfrage geschieht vom Server des Webseiten-Betreibers aus, sodass statt der IP-Adresse des Webseiten-Besuchers lediglich die Server-Adresse der Webseite übertragen wird. Erst mit Anklicken des Buttons werden Daten des Webseiten-Besuchers mit dem Social Plugin-Anbieter geteilt.

Die Reaktionen

Der Bundesverband Digitale Wirtschaft (BVDW) äußerte sich kritisch zum EuGH-Entscheid. Problem sei die eventuell kommende Einwilligung. „Hier aber wieder das Einwilligungsprinzip für alle Nutzer zugrunde zu legen, geht an jeder Realität vorbei – das macht jede Webseitennutzung aus Sicht der Nutzer maximal kompliziert und umständlich“, kritisiert BVDW-Vizepräsident Thomas Duhr.

Der Digitalverband Bitkom sieht mit dem Urteil vor allem größeren bürokratischen Aufwand auf Webseiten-Betreiber zukommen. „Webseiten-Betreiber müssen nun mit Facebook und den anderen Social-Media-Anbietern Vereinbarungen schließen, ansonsten können sie in Haftungsfallen laufen. Und ob die geforderten ausführlichen Informationen über Like-Buttons auf künftig jeder entsprechenden Webseite wirklich etwas bewirken, darf zumindest bezweifelt werden", sagte Bitkom-Geschäftsführer Bernhard Rohleder. Am Datenschutzniveau werde sich faktisch nichts ändern, praktikable Zwei-Klicklösungen gebe es bereits.

„Dicker Dislike"

Die klagende Verbraucherzentrale NRW sprach hingegen von einem „dicken Dislike" für den Facebook-Like-Button und begrüßte eine Stärkung des Datenschutzes für Verbraucher. „Unternehmen, die von den Daten der Verbraucher profitieren, müssen jetzt ihrer Verantwortung gerecht werden“, so Vorstand Wolfgang Schuldzinski. „Diese Entscheidung des EuGH hat auch über den Einzelfall hinaus Signalwirkung für andere Anbieter, die solche Plugins auf ihren Websites verwenden.“