Was müssen Betreiber von Webseiten beachten, wenn Plugins oder Tools von Drittanbietern eingebunden werden? Der Europäische Gerichtshof hat seine Rechtsprechung mit einer Entscheidung über den Like-Button fortgeschrieben.
Das deutsche Unternehmen Fashion ID hatte auf seiner Internetseite den Like-Button von Facebook eingebunden. Besucher der Seite sollten schnell und einfach die Seite oder einzelne Inhalte liken können.
Durch den aktiven Like-Button wurden Daten aller Besucher einer Internetseite an Facebook übermittelt – auch Daten von Besuchern, die nicht Mitglied bei Facebook sind. Ob der Like-Button angeklickt wurde, spielt keine Rolle.
Die Verbraucherzentrale NRW sah darin einen Verstoß gegen das Datenschutzrecht: Fashion ID übermittele personenbezogene Daten der Besucher ihrer Website ohne deren Einwilligung und unter Verstoß gegen die Informationspflichten nach den Vorschriften über den Schutz personenbezogener Daten an Facebook. Dagegen klagte die Verbraucherzentrale und hat vor dem Landgericht Düsseldorf Recht bekommen. Fashion ID legte Berufung ein. Das zuständige Oberlandesgericht Düsseldorf legte die Grundfragen des Rechtsstreits dem EuGH vor.
Like-Button nur mit Einwilligung
Nach dem Urteil des EuGH müssen Betreiber einer Website über die Nutzung eines aktiven Like-Buttons informieren. Die Besucher einer Website müssen einwilligen, um die Vorgaben der sogenannten Cookie-Richtlinie zu erfüllen. Datenschutzrechtlich muss eine ausreichende Rechtsgrundlage für die Verarbeitung der erhobenen personenbezogenen Daten vorhanden sein.
Sollte der Betreiber sich dabei auf sein berechtigtes Interesse berufen, muss die Datenverarbeitung erforderlich sein. Die Grundrechte und Grundfreiheiten der betroffenen Person – also der Besucher – dürfen nicht überwiegen.
Diese Informationspflicht und Einwilligung betrifft nur die Vorgänge der Verarbeitung personenbezogener Daten, für die der Betreiber tatsächlich über die Zwecke und Mittel entscheidet. Betreiber von Websites müssten also eine Einwilligung einholen, um den Like-Buttons zu aktivieren und die Daten an Facebook übermitteln zu dürfen. Für die weitere Verarbeitung der Daten wäre Facebook alleine verantwortlich.
Der EuGH hat damit die Verantwortung zwischen dem Betreiber einer Website und einem Drittanbieter wie Facebook klarer abgegrenzt. Der Einsatz von Zwei-Klick-Lösungen dürfte rechtssicherer geworden sein, da jetzt klarer ist, in welchem Umfang eine Einwilligung eingeholt werden muss.
Die Entscheidung erging zum „alten“ Recht vor Inkrafttreten der DSGVO. Die Grundsätze der Entscheidung lassen sich aber auf die heutige Rechtslage übertragen. Der EuGH folgt weiter der Linie, die er mit der Entscheidung zu Facebook-Fanpages vorgegeben hat: Auch für die Nutzung des Like-Buttons sind der Betreiber der Website und Facebook gemeinsam verantwortlich. Analog zu den Facebook-Fanpages dürfte es auch für die Nutzung des Like-Buttons notwendig sein, eine Vereinbarung über die gemeinsame Verantwortung für die Datenverarbeitung abzuschließen.
Fazit
Der EuGH sorgt mit diesem Urteil für erheblichen rechtlichen Handlungsbedarf bei Betreibern von Internetangeboten. Der Begriff der gemeinsamen Verantwortung unter der DSGVO ist weit definiert worden. Nicht nur mit Facebook sondern auch mit anderen Anbietern von Internettools müssen möglicherweise Vereinbarungen über die gemeinsame Verantwortung der beiden Stellen, die für die Verarbeitung der Nutzerdaten verantwortlich sind, abgeschlossen werden.
Auf der Habenseite hat der EuGH sehr deutlich die Möglichkeit bestätigt, durch eine Einwilligung der Nutzer und unter Erfüllung der Informationspflichten über entsprechende Vereinbarungen mit Drittanbietern die Verantwortlichkeiten wirksam abzugrenzen. Die Rechtssicherheit für Betreiber von Internetangeboten kann so deutlich verbessert werden.
Artikel als PDF speichern
