Der EuGH hat heute entschieden, dass Seitenbetreiber mitverantwortlich für die personenbezogenen Daten sind, die durch einen eingebundenen Facebook Like Button an Facebook übermittelt werden. Die Verantwortlichkeit endet jedoch, sobald die Daten den Konzern erreicht haben. Nicht entschieden hat der EuGH, ob Seitenbetreiber zukünftig immer eine Einwilligung ihrer Nutzer einholen müssen – das muss erst das OLG Düsseldorf klären. Bereits jetzt ist klar, dass Seitenbetreiber ihre Besucher intensiver über die Datenübermittlung informieren müssen.

Facebook Like Button

Der Gerichtshof der Europäischen Union (EuGH) hatte die Frage zu klären, ob und wie Webseiten-Betreiber den Facebook Like Button in datenschutzrechtlich zulässiger Weise einbinden können. obwohl dadurch automatisch Nutzerdaten an Facebook übertragen werden.

Das Problem ist, dass durch den Facebook Like Button, wenn er auf einer Webseite eingebunden wird, automatisch personenbezogene Daten des Besuchers (wie z.B. die IP-Adresse) an Facebook übermittelt werden. Dies geschieht auch dann, wenn der Nutzer überhaupt nicht bei Facebook eingeloggt ist bzw. dort überhaupt kein Konto hat.

Das Oberlandesgericht (OLG) Düsseldorf hatte dem EuGH sechs Fragen zur datenschutzrechtlichen Zulässigkeit des Facebook Like Buttons vorgelegt.

Zuvor hatten die Richter am Landgericht (LG) Düsseldorf den Facebook Like Button für rechtswidrig erklärt, da die Installation des Facebook Buttons ihrer Ansicht nach Datenschutzvorschriften verletze.

Immer auf dem neusten Stand bleiben!

Aktuelle Urteile und Neuigkeiten aus der Welt des Rechts, verständlich und kompetent erläutert. Dazu hilfreiche Verbrauchertipps und die neuesten Videos von unserem YouTube-Channel. Das alles gibt es jede Woche in unseren Rechts-News.

Jetzt abonnieren!

[Update 29.7.2019]

IT-Rechtsanwalt Christian Solmecke zum Urteil des EuGH:

„Der Gerichtshof der Europäischen Union (EuGH) hat heute über mehrere wichtige Fragen im Verfahren „Fashion ID“ entschieden (Urt. v. 29. Juli 2019, C-40/17). Zunächst hat der EuGH klargestellt, dass auch Verbraucherschutzverbände Datenschutzverstöße ahnden können. Darüber hinaus war zu klären, wer für die Einbindung des Facebook Like Buttons verantwortlich ist. Hier hat der Europäische Gerichtshof eine meines Erachtens salomonische Lösung gefunden:

Gemeinsame Verantwortlichkeit – zum Teil

Im konkreten Fall hielt er Peek & Cloppenburg als Betreiber der Webseite Fashion ID für die Erhebung der Nutzerdaten und die Weitergabe dieser Daten an Facebook verantwortlich. Keine Verantwortung trifft ihn jedoch für die Verarbeitung der Daten bei Facebook selbst. Hier muss sich Facebook um die teilweise erforderlichen Einwilligungen selbst kümmern.

Wie Facebook das bei anonymen IP Adressen künftig machen will, bleibt offen und wird in Zukunft die Gerichte noch beschäftigen.

Benötigt man für ein Social Plugin nun immer eine Einwilligung?

Ob Webseitenbetreiber eine Einwilligung von ihren Besuchern für die Einbindung des Facebook Like Buttons einholen müssen oder ob ein berechtigtes Interesse als Rechtfertigungsgrund ausreicht, lässt der Europäische Gerichtshof meiner Ansicht nach bewusst offen.

Viele Medien berichten allerdings, dass der EuGH ab sofort eine Einwilligung für Social Plugins fordere. Dies ist meiner Ansicht nach nicht korrekt. Offenbar beziehen sich hier viele auf die Randnummern 88 bis 91 des Urteilstextes. Diese beziehen sich zunächst auf die Cookie-Richtlinie und nicht auf die Datenschutz-Richtlinie.

Allerdings hat der EuGH – allein das ist schon eine Überraschung! – tatsächlich gesagt, dass beim Setzen von Cookies eine Einwilligung erforderlich ist. Das war zuvor umstritten und zumindest in Deutschland wurde der Fall bislang über das „berechtigte Interesse“ gelöst. Eigentlich sollte erst die ePrivacy-Verordnung hier Klarheit bringen, nun ist der EuGH dem EU-Gesetzgeber zuvorgekommen.

Daraus folgt: Sollten beim Facebook Like Button tatsächlich Cookies gesetzt werden, wäre eine Einwilligung notwendig. Diese Frage ließ der EuGH allerdings bewusst offen, weil die Tatsachen hierzu vom OLG zu klären sind.

Hierzu die Passage im Urteil:

88: Vorab ist darauf hinzuweisen, dass diese Frage nach Ansicht der Kommission für die Entscheidung des Ausgangsrechtsstreits unerheblich ist, da die von Art. 5 Abs. 3 der Richtlinie 2002/58 (Cookie-Richtlinie, Anm. d. Red.) verlangte Einwilligung der betroffenen Personen nicht eingeholt wurde. 89: Hierzu ist festzustellen, dass nach Art. 5 Abs. 3 der Richtlinie 2002/58 die Mitgliedstaaten sicherstellen müssen, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46 (Datenschutzrichtlinie, Anm. d. Red.) u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. 90: Es ist Sache des vorlegenden Gerichts, nachzuprüfen, ob in einer Situation wie der im Ausgangsverfahren in Rede stehenden der Anbieter eines Social Plugins, wie im vorliegenden Fall Facebook Ireland, Zugriff auf Informationen hat, die im Endgerät des Besuchers der Website des Betreibers gespeichert sind, wie die Kommission geltend macht. Rn. 91: Unter diesen Umständen und da das vorlegende Gericht offenbar davon ausgeht, dass im vorliegenden Fall die Facebook Ireland übermittelten Daten personenbezogene Daten im Sinne der Richtlinie 95/46 sind, die sich im Übrigen nicht notwendigerweise auf Informationen beschränken, die im Endgerät gespeichert sind, was vom vorlegenden Gericht zu verifizieren sein wird, können die Erwägungen der Kommission die Erheblichkeit der vierten Vorlagefrage, die sich auf die etwaige Zulässigkeit der Verarbeitung der Daten im vorliegenden Fall bezieht, für die Entscheidung des Ausgangsrechtsstreits nicht in Frage stellen, wie dies auch der Generalanwalt in Nr. 115 seiner Schlussanträge festgestellt hat.

Anbieter müssen zukünftig Informationspflichten erfüllen

Der EuGH stellt jedoch klar, dass sowohl im Falle einer Einwilligung als auch im Falle des berechtigten Interesses Informationspflichten zu erfüllen sind. Diese Informationspflichten beziehen sich allerdings nur auf den Teil, für den der Webseitenbetreiber auch konkret verantwortlich ist. Peek & Cloppenburg muss konkret also nur darauf hinweisen, dass hier IP Adressen erhoben und an Facebook weitergeleitet werden. Das Unternehmen muss keine Information darüber geben, wie Facebook diese Daten verarbeitet. Die Informationen muss Facebook selbst geben.

Wie das künftig technisch geschehen soll, bleibt allerdings schleierhaft. Möglicherweise muss Facebook die komplette Architektur des Like Buttons umbauen, um nicht selbst in die Haftung zu kommen.

Wie geht es jetzt weiter?

Jetzt muss erst einmal das Oberlandesgericht Düsseldorf entscheiden, auf welcher Rechtsgrundlage die Erhebung und Verarbeitung der Daten erfolgen kann. Webseitenbetreiber, die auf Nummer sicher gehen wollen, sollten bis dahin bereits folgendes beachten:

  • Sie sollten schon jetzt die Einwilligung ihrer Nutzer für die Verwendung des Facebook Like Buttons einholen.
  • Stimmen Nutzer dieser Datenerhebung nicht zu, darf der Like Button nicht auf der Webseite eingebunden werden.
  • Eine technische Lösung, die diesen Anforderungen gerecht wird, ist die 2-Klick-Lösung. Dabei wird der Like Button zunächst nur als Bild ohne Funktion eingebunden. Klickt der Nutzer dann auf das Bild, wird die Einwilligung eingeholt, mit der dann der echte Like Button nachgeladen wird. Weiter unten im Text finden Sie eine detailliertere Anleitung zur 2-Klick-Lösung.
  • Sie müssen außerdem in ihrer Datenschutzerklärung ausdrücklich darauf hinweisen, dass Daten erhoben und an Facebook weitergeleitet werden. Das hat der EuGH bereits ausdrücklich entschieden.

Die Fragen beziehen sich zwar noch auf die alte Datenschutz-Richtlinie 95/46/EG und noch nicht auf die neue Datenschutzgrundverordnung (DSGVO), die seit dem 25. Mai 2018 anwendbar ist. Allerdings dürfte die Entscheidung weitestgehend übertragbar auf die heutige Rechtslage sein, weil auch die DSGVO entsprechende Regelungen zum Verhältnis zu nationalen Normen, zur datenschutzrechtlichen Verantwortlichkeit, den Erlaubnistatbeständen und den Informationspflichten enthält.

Klar ist daher: Die Entscheidung des EuGH wird Auswirkungen auf alle Social Plugins haben. Denn die Knöpfe von Google, Twitter und Pinterest funktionieren nach einem ähnlichen Prinzip.

Christian SolmeckeRechtsanwalt und Partner der Kanzlei WILDE BEUGER SOLMECKE

[Update Ende]

Sie haben eine Pressefrage an uns?

Kontaktieren Sie unsere Presseabteilung. Wir sind für Journalistinnen und Journalisten aller Medien jederzeit schnell erreichbar und äußern uns zeitnah, fundiert und verständlich.

Wie können Unternehmen derzeit den Like Button rechtssicher einbinden?

Facebook Like-Button

Derzeit ist es aufgrund der unsicheren Rechtslage nicht empfehlenswert, den Facebook Like Button unmittelbar bei sich einzubinden.

Unternehmen, die den Like Button nutzen, können zunächst die sogenannte Zwei-Klick-Lösung anwenden. Bei diesem Verfahren wird zunächst nur ein Bild des Facebook-Like Buttons eingebunden. Klickt der Nutzer auf das Bild, wird zunächst eine Datenschutzerklärung angezeigt. Erst nachdem der Nutzer diese Daten zur Kenntnis genommen und bestätigt hat, wird der echte Button nachgeladen.

Alternativ können Unternehmen die Shariff-Button-Lösung verwendet. Im Gegensatz zur Zwei-Klick-Lösung reicht hier ein einziger Button-Klick, um die gewünschten Informationen mit anderen zu teilen. Beim Shariff-Button wird erst ein Kontakt zwischen Facebook und dem Nutzer hergestellt, wenn der Nutzer bewusst und aktiv auf den Button klickt und nicht bereits beim alleinigen Seitenaufruf.

Möchten Unternehmen eine dieser Lösungen anwenden, so ist derzeit eine Anpassung der Datenschutzerklärung empfehlenswert. Dort müssen sie dann zumindest auch auf den Einsatz von Facebook und Co. hinweisen. Auch, wenn sie nicht wissen können, was Facebook mit den Daten macht.

Unternehmen, die auf der ganz sicheren Seite sein wollen, sollten den Facebook Like Button gar nicht erst auf der Unternehmenswebseite einbauen, sondern von dort lediglich auf ihre Facebook Fan Page verlinken. Auf diese Weise findet überhaupt keine Übertragung von Daten der Nutzer statt.“


Worum ging es in dem Fall?

Die Verbraucherzentrale NRW hatte gegen die Fashion ID GmbH & Co. KG (ein Unternehmen der Unternehmensgruppe Peek & Cloppenburg KG) Klage eingereicht. Der Modekonzern solle es unterlassen, das „Gefällt mir“ Plugin von Facebook in den Internetauftritt zu integrieren. Denn über das Plugin werden bereits beim einfachen Aufrufen der konzerneigenen Webseite Fashion-ID Daten über das Surfverhalten eines jeden Nutzers an Facebook weitergegeben. Dies verstoße gegen (altes) Datenschutzrecht und sei damit wettbewerbswidrig.

Der Facebook Gefällt mir-Button hat die Besonderheit, dass er nicht auf Facebook selbst, sondern auf tausenden Webseiten von Privatpersonen und Unternehmen zu finden ist. Schon beim Besuch dieser Seiten werden automatisch Daten der Besucher (zum Beispiel die IP-Adresse) an Facebook zu Werbezwecken übertragen, indem Facebook Cookies auf die Computer der Seitenbesucher setzt. Der Nutzer bekommt von diesem Übertragungsvorgang in der Regel nichts mit. Und: Nutzer müssen für die Datenweitergabe nicht einmal selbst beim Social-Media Giganten Facebook registriert sein. In der Praxis können mit Hilfe der gesetzten Cookies einmal registrierte IP-Adressen wiedererkannt und so anonyme Surfprofile der Nutzer erstellt werden. Sind die Nutzer bei diesen Netzwerken sogar schon eingeloggt, so kann immer ganz genau nachvollzogen werden, welche Internetseiten von diesen Nutzern besucht worden sind. Es entsteht de facto eine Überwachung der Nutzer im Netz.

Wie haben die Gerichte den Button in der Vergangenheit beurteilt?

Die Richter am Landgericht (LG) Düsseldorf haben den Facebook Like Button für rechtswidrig erklärt. Die Installation des Facebook Gefällt mir-Buttons verletze Datenschutzvorschriften, da dadurch unter anderem die IP-Adresse des Nutzers ohne dessen ausdrückliche Zustimmung an Facebook weitergeleitet werde. Sollten Unternehmen ein Gefällt mir-Plugin auf der eigenen Internetseite installiert haben, so dürfen die dadurch gesammelten Kundendaten nicht ohne die ausdrückliche Einwilligung des Nutzers an Facebook weitergegeben werden. Unternehmen müssen die Nutzer außerdem über die Weitergabe von Daten aufklären (LG Düsseldorf, Urt. v. 09.03.2016, Az. 12 O 151/15 – nicht rechtskräftig).

Anschließend legte P & C gegen das Urteil Berufung ein und der Fall ging weiter zum OLG Düsseldorf. Und dieses hat den Prozess ausgesetzt, um dem EuGH die genannten Fragen zur Vorabentscheidung vorzulegen.

Die Fragen, die der EuGH beantworten musste

Zunächst musste der EuGH die Frage beantworten, ob die Verbraucherzentrale NRW überhaupt klagebefugt war.

Bejaht der EuGH diese Frage, wird er als nächstes klären müssen, ob ein Unternehmen, das den Facebook Like Button auf seiner Webseite einbindet, überhaupt „Verantwortlicher“ im Sinne des europäischen Datenschutzes ist, obwohl er den die Übermittlung der Daten selbst nicht beeinflussen kann. Dies ist vor allem deshalb relevant, weil an die Verantwortlichkeit eine Reihe datenschutzrechtlicher Verpflichtungen und Haftungsrisiken geknüpft sind.

Sollte der EuGH diese Frage verneinen, erwägt das OLG, dass der Webseiten-Betreiber alternativ nach den zivilrechtlichen Grundsätzen der Störerhaftung auf Unterlassung haften könnte. Hierzu möchte es vom EuGH wissen, ob dies überhaupt möglich ist oder ob die europäischen Datenschutzregeln hier abschließend sind.

Sollte die eine oder andere Art der Haftung in Betracht kommen, so stellt sich die Frage, ob die Daten rechtmäßig verarbeitet wurden. Hierfür benötigt der Verantwortliche (Facebook und/oder der Webseiten-Betreiber) eine datenschutzrechtliche Rechtfertigung. Hierzu möchte das OLG wissen, auf wen es bei der datenschutzrechtlichen Rechtfertigung einer Übermittlung überhaupt ankommt: Auf den Webseiten-Betreiber oder auf Facebook? Wessen „berechtigtes Interesse“ an der Datenübermittlung wäre relevant? Wer müsste eine Einwilligung vom Nutzer einholen?

Und schließlich könnte auch eine weitere umstrittene Frage geklärt werden: Muss der Webseiten-Betreiber seine Nutzer über die Datenübermittlung informieren, obwohl er nicht weiß, was Facebook mit den übermittelten Daten macht?

Wir sind bekannt aus

Schlussanträge des EuGH-Generalanwalts Bobek – Gemeinsame Verantwortlichkeit von Facebook und Webseiten-Betreiber

Am 19.12.2018 erschienen die Schlussanträge des EuGH Generalanwalts. Nach Ansicht von Generalanwalt Bobek ist der Betreiber einer Webseite (hier Fashion ID), auf der ein Plugin eines Dritten wie der Facebook-„Gefällt mir“-Button eingebunden wird, das zur Erhebung und Übermittlung der personenbezogenen Daten des Nutzers führt (hier an Facebook Ireland), für diese Phase der Datenverarbeitung mitverantwortlich. Diese (gemeinsame) Verantwortlichkeit des Webseiten-Betreibers sollte jedoch auf die Verarbeitungsvorgänge beschränkt sein, für die er tatsächlich verantwortlich ist und mit denen er seinen Beitrag zur Verarbeitung der personenbezogenen Daten leiste. Und hier dürfte bereits ein erhebliches Problem für alle Webseiten-Betreiber wegen der mangelnden Transparenz durch Facebook bestehen. bestehen.

Nach Auffassung des Generalanwalts seien daher im konkreten Fall Fashion ID und Facebook Ireland gemeinsam verantwortlich, da beide Unternehmen zumindest einheitlich kommerzielle und Werbezwecke verfolgt hätten. Daher handele Fashion ID als Webseiten-Betreiber bei der Einbindung des Facebook Like Buttons in Bezug auf die Erhebungs- und Übermittlungsphase der Datenverarbeitung auch als ein für die Verarbeitung Verantwortlicher. Insofern sei Fashion ID, wie Facebook Ireland, ebenfalls haftbar.

Webseiten-Betreiber müssen daher zumindest für diesen konkreten Fall des Facebook Like Buttons zuvor die Einwilligung der Nutzer einholen. Außer es bestehe ein berechtigtes Interesse der Verantwortlichen (hier Fashion ID und Facebook Ireland), dann könne eine Verarbeitung zulässig sein. Hier müsse stets eine Abwägung der entgegenstehenden Interessen des Nutzers und der Unternehmen vorgenommen werden.