EuGH-Urteil: Webseitenbetreibende haften für Facebooks Like-Button
EuGH: Verantwortlich bis zur Übermittlung an Facebook
Der EuGH musste sich nun mit der Frage auseinandersetzen, ob der Webseitenbetreiber für die Datenverarbeitungsvorgänge bei der Einbindung des "Gefällt mir"-Buttons gemeinsam mit Facebook verantwortlich ist. Er konnte dabei auf ein Urteil aus dem vergangenen Sommer zurückgreifen, als die Luxemburger Richter geurteilt hatten, dass der Betreiber einer Facebook-Fanpage, also einer bei Facebook betriebenen Fanseite eines Unternehmens, gemeinsam mit Facebook datenschutzrechtlich verantwortlich ist (Urt. v. 05.06.2018, Az. C-210/16).
Dieser Linie bleibt der EuGH auch in dem aktuellen Verfahren treu und folgt damit der Urteilsempfehlung des Generalanwalts. Michael Bobek votierte bereits im Dezember des vergangenen Jahres für eine datenschutzrechtliche Mitverantwortlichkeit der Webseitenbetreiber und forderte, dass den Nutzern Informationen über die Datenverarbeitungsvorgänge zur Verfügung gestellt werden; zudem müssten sie in die Erhebung und Übermittlung personenbezogener Daten einwilligen.
Der EuGH stellte nun fest, dass der Webseitenbetreiber für das Erheben der personenbezogenen Daten beim Besuch des Internetauftritts und für die Weiterleitung der Daten an Facebook Irland gemeinsam mit dem Anbieter des Social Media Plugins verantwortlich ist. Dabei sei es auch unerheblich, dass der Seitenbetreiber nach der Übermittlung an Facebook gar keinen Zugriff mehr auf die personenbezogenen Daten habe. Es reiche bereits aus, dass er durch Einbindung des „Gefällt mir“-Buttons die Datenübermittlung an Facebook ermögliche und selbst von der durch den Klick auf den "Gefällt mir"-Button generierten Werbung profitiere. Auf diese Weise entschieden Fashion ID und Facebook Irland gemeinsam über die Zwecke und Mittel der Datenverarbeitung und erreichen einen wirtschaftlichen Vorteil.
Was Webseitenbetreiber jetzt tun sollten
Das Urteil hat zur Folge, dass der Webseitenbetreiber seine Nutzer vor Erhebung und Übermittlung der Daten an Facebook über diese Datenverarbeitung informieren und eine Einwilligung von diesem einholen muss.
Die heutige Entscheidung des EuGH sollte Webseitenbetreiber indes nicht davon abhalten, weiterhin Social Media Plugins zu verwenden. Sie müssen allerdings den Nutzer über die gemeinschaftliche Datenverarbeitung mit Facebook informieren und sich für ihren Teil der Verarbeitung eine Einwilligung einzuholen.
Es ist zu erwarten, dass Facebook ähnlich wie im Fall der Facebook-Fanpages eine Standardvereinbarung über die gemeinsame Verantwortlichkeit zur Verfügung stellen wird, auf die der Webseitenbetreiber den Nutzer verweisen kann. Zusätzlich sollte der Webseitenbetreiber in seiner Datenschutzerklärung auf die Funktionsweise des Plugins und die Widerspruchsmöglichkeit hinweisen.
Durch die Einbindung besonderer Plugins wie dem Shariff-Button, einem Open-Source-Programm, oder der Zwei-Klick-Lösung können Webseitenbetreiber eine automatische Übermittlung von personenbezogenen Daten an Facebook & Co. bei Besuch des Internetauftritts zunächst unterbinden. Erst mit einem bzw. zwei vorgeschalteten Klicks wird dem Nutzer das Teilen von Inhalten ermöglicht und somit der Kontakt zwischen Nutzer und sozialem Netzwerk hergestellt.
Eine weitere Möglichkeit könnte darin bestehen, im Cookie-Banner auf die Social-Plugins, ihre Funktionsweise und das Widerspruchsrecht hinzuweisen. Ob die deutschen Datenschutzaufsichtsbehörden bei all den Diskussionen um den Cookie-Banner hiermit zufrieden sein werden, dürfte allerdings fraglich sein.