01.08.2019
Ein neues Urteil des Europäischen Gerichtshofs bringt mehr Klarheit im Umgang mit Social Media Buttons. Der EuGH äußerte sich auf Vorlage des Oberlandesgerichts Düsseldorf zu Fragen des Datenschutzes bei der Einbindung des Like-Buttons von Facebook auf Webseiten.
Ein neues Urteil des Europäischen Gerichtshofs bringt mehr Klarheit im Umgang mit Social Media Buttons. Der EuGH äußerte sich auf Vorlage des Oberlandesgerichts Düsseldorf zu Fragen des Datenschutzes bei der Einbindung des Like-Buttons von Facebook auf Webseiten.
Wenn der Like-Button auf einer Webseite eingebunden wird, übermittelt der Browser bei Aufruf der Seite personenbezogene Daten des Nutzers an Facebook. Dies geschieht automatisch mit Aufrufen der Seite ohne Zutun des Nutzers und ohne dass der Webseitenbetreiber dies beeinflussen könnte. Insbesondere ist die Datenübermittlung unabhängig vom Anklicken des Buttons oder der Mitgliedschaft bei Facebook. Ebenso verhält es sich mit Social Plugins anderer Dienste wie etwa Twitter oder LinkedIn.
Durch das Einbinden der Plugins verfolgen Webseitenbetreiber wirtschaftliche Interessen, indem sie die Reichweite ihres Auftritts erweitern und eine virale Verbreitung ermöglichen (wollen). Im Gegenzug erhalten Facebook und Co. personenbezogene Daten der Webseitenbesucher, die sie für personalisierte Werbung nutzen können.
Der EuGH hat nun entschieden, dass Webseitenbetreiber, die den Like-Button auf ihrer Seite einbinden, gemeinsam mit Facebook für die Einhaltung des Datenschutzes verantwortlich sind. Die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO folgt aus der Tatsache, dass auch die Webseitenbetreiber - ebenso wie Facebook - eigene wirtschaftliche Interessen verfolgen und bewusst Social Plugins einsetzen. Hiermit entscheiden sie gemeinsam über Zweck und Mittel der Datenverarbeitung, was Voraussetzung für die Verantwortlichkeit ist. Damit unterliegen Webseitenbetreiber und die Anbieter der Plug-Ins wie Facebook gemeinsam den datenschutzrechtlichen Pflichten. Insbesondere folgt daraus, dass beide Verantwortliche im Sinne der DSGVO sind und jeweils eine eigene Rechtsgrundlage für die Verarbeitung brauchen. Zudem muss nach Art. 26 DSGVO zwischen den gemeinsam Verantwortlichen in transparenter Form festgelegt werden, wer die Erfüllung welcher datenschutzrechtlichen Pflichten – z. B. die Wahrnehmung der Betroffenenrechte – übernimmt. Darüber hinaus muss der Webseitenbesucher über die Datenverarbeitung informieren werden.
Die gemeinsame Verantwortlichkeit besteht so weit, wie eine gemeinsame Entscheidung über Zweck und Mittel der Verarbeitung erfolgt; sie erfasst also nur die Datenerhebung und -übermittlung durch das Plug-In. Was danach mit den Daten beim sozialen Netzwerk passiert, liegt außerhalb der Verantwortlichkeit des Webseitenbetreibers; hier muss ausschließlich das soziale Netzwerk für die Einhaltung des Datenschutzes sorgen.
Auf welche Rechtsgrundlage sich die Datenverarbeitung im konkreten Fall stützen kann, führt der Gerichtshof nicht weiter aus und überlässt die weitere Prüfung dem OLG Düsseldorf, das die Fragen an das EuGH vorgelegt hatte. Der EuGH betont aber, dass eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO – sofern erforderlich – von dem Webseitenbetreiber und nicht von Facebook eingeholt werden muss. Die Datenverarbeitung erfolgt allein durch den Aufruf der Webseite, so dass auf dieser auch die Einwilligung eingeholt werden muss. Sollte die Verarbeitung auf Grundlage berechtigter Interessen nach Art. 6 Abs. 1 lit. f DSGVO in Betracht kommen, müsse sowohl beim Webseitenbetreiber als auch beim sozialen Netzwerk ein solches berechtigtes Interesse vorliegen, um die Datenverarbeitung jeweils zu rechtfertigen.
Erste Reaktionen ließen nicht lange auf sich warten: Der Landesbeauftragte für den Datenschutz in Hamburg spricht von einer großen Tragweite der Entscheidung, der Thüringer Landesbeauftragte für den Datenschutz äußerte sich positiv. In NRW ist man noch zögerlich und kündigt an, die Auswirkungen des Urteils zunächst eingehender zu prüfen.
Der Branchenverband der deutschen Informations- und Telekommunikationsbranche Bitkom äußerte sich kritisch zu den Auswirkungen des Urteils. Demnach steige der bürokratische Aufwand für Webseitenbetreiber, ohne dass sich das Datenschutzniveau wesentlich ändere. Damit ist die Einbindung datenschutzfreundlicherer Methoden zum Teilen von Inhalten in sozialen Netzwerken gemeint, wie z. B. die „Zwei-Klick-Lösung“, „Shariff“ oder „Embetty“, die mittlerweile weite Verbreitung finden. Dabei erfolgt die Datenverarbeitung nicht direkt beim Seitenaufruf, sondern erst nach Aktivierung des Social Plugins durch den User.
Nachdem der EuGH in einer früheren Entscheidung schon die gemeinsame Verantwortlichkeit von Fanpage-Betreibern und Facebook festgestellt hatte, stärkt er nun wieder den Schutz personenbezogener Daten im Internet und in Bezug auf soziale Medien. Dem unbemerkten Datensammeln mittels Social Plugins dürfte damit ein Ende gesetzt sein. Mit Spannung dürfte auch das Urteil des OLG Düsseldorf zu erwarten sein, das nun u. a. darüber zu entscheiden hat, ob der Einsatz von Plug-Ins auf berechtigte Interessen (insbesondere Werbung o. Ä.) gestützt werden kann oder aber eine Einwilligung erforderlich ist.
Für Webseitenbetreiber bedeutet das Urteil des EuGH vor allem, dass sie den Einsatz von Social Plugins prüfen und überdenken müssen. Jedenfalls müssen sie die Besucher ihrer Seite über die Datenverarbeitung ausreichend und in geeigneter Weise informieren, um sich nicht einem Haftungsrisiko auszusetzen. Hierfür kommen z. B. die Datenschutzerklärung oder entsprechende Cookie-Banner in Frage, deren Gestaltung und Platzierung jedoch ebenfalls diversen Vorgaben unterworfen sind. Schlussendlich sollte auch geprüft werden, ob Vereinbarungen nach Art. 26 DSGVO mit dem Anbieter der Plug-Ins vorhanden bzw. rechtswirksam sind. Hier bestanden bisher insbesondere bei den von Facebook versendeten Vereinbarungen und Informationsblättern erhebliche Zweifel.
 | Gerrit Feuerherdt |
Gerrit Feuerherdt
Facebook 
Linkedin 
XING 
Youtube