Der EuGH hat über die Rechtmässigkeit des "Gefällt mir"-Button von Facebook entscheiden

Vorgeschichte

Die Fashion ID betreibt die Internetseite des Düsseldorfer Modehauses Peek & Cloppenburg und hatte auf der Webseite entsprechend «Gefällt mir»-Button von Facebook eingebunden. Die Verbraucherzentrale NRW sah darin einen Verstoss gegen den Datenschutz, da mit der Einbindung eine automatische Weitergabe von Daten an Facebook erfolgte. Nach Auffassung der Verbraucherzentrale fehlte es somit an der notwendigen Einwilligung zur Datenübermittlung an Facebook. Der Fall wird noch unter dem alten Datenschutzrecht entschieden, da der Begriff «des Verantwortlichen» jedoch in beiden Gesetzen sehr ähnlich ist, wird das Urteil auch unter der DSGVO relevant sein.

In vielen Webseiten finden sich heute Plugins von Drittanbietern, darunterfallen nicht nur der "Gefällt mir"-Button, sondern alle Buttons von Sozialen Netzwerken. Es können aber auch weitere Plugins – wie bspw. Google Maps – darunterfallen, sofern dabei ein Datenaustausch erfolgt. Es hat sich zudem gezeigt, dass auch personenbezogene Daten von Besuchern der Webseite erfasst und an Facebook weitergeleitet werden, welche gar keine Nutzer von Facebook waren. Ausserdem war es für die Datenübermittlung auch irrelevant, ob ein Besucher der Webseite den «Gefällt mir»-Button geklickt hat oder nicht.  

Das Urteil betrifft somit potenziell sehr viele Webseiten, da das Einbinden von solchen Plugins mittlerweile sehr verbreitet ist. Falls ein Schweizer Unternehmen unter die DSGVO fällt, ist es ebenfalls von dem Urteil betroffen und sollte seine Webseiten überprüfen (Abgrenzungskriterien zur DSGVO Anwendbarkeit findet man hier).

Urteil

Aus der Pressemitteilung zum EuGH Urteil lässt  sich entnehmen, dass Fashion ID zwar nicht «für die Datenverarbeitungsvorgänge, die Facebook Irland nach der Übermittlung der Daten an sie vorgenommen hat,» verantwortlich ist, jedoch ist Fashion ID für die Vorgänge die im Rahmen des Erhebens und deren Weiterleitung durch Übermittlung an Facebook Irland als gemeinsam mit Facebook verantwortlich anzusehen. Fashion ID hat somit gemeinsam mit Facebook Irland über die Zwecke und Mittel der Datenverarbeitung entschieden. Bei Unternehmen dürfte zumindest die erste Feststellung für Erleichterung sorgen, da immerhin keine gemeinsame Verantwortung für die weitere Datenverarbeitung durch Facebook besteht.

Des Weiteren wird ausgeführt, dass Fashion ID durch den «Gefällt mir»-Button die Sichtbarkeit der Produkte auf Facebook erhöhen konnte und somit beide Parteien einen wirtschaftlichen Vorteil aus der Datenverarbeitung ziehen bzw. Fashion ID in Kauf nahm, dass Facebook Personendaten von den Besuchern erhalten hat.

«Der Gerichtshof betont, dass der Betreiber einer Website wie Fashion ID für bestimmte Vorgänge der Verarbeitung der Daten der Besucher seiner Website wie das Erheben der Daten und deren Übermittlung an Facebook Irland als (Mit-)Verantwortlicher diesen Besuchern zum Zeitpunkt des Erhebens bestimmte Informationen zu geben hat, wie beispielsweise seine Identität und die Zwecke der Verarbeitung.»

Der Webseitenbetreiber muss jedoch nur über die Mittel und Zwecke informieren, für die er auch verantwortlich ist und über die er entscheiden kann. Dasselbe gilt für die Einholung einer Einwilligung.

Im Ergebnis ist somit klar, dass die hier beurteilte Lösung keinen ausreichenden Datenschutz gewährleistet und somit solche Plugins entsprechend angepasst werden müssen.

 Handlungsmassnahmen

Um Inhalte auf diversen Sozialen Netzwerken zu verbreiten, stellen Social Plugins für ein Unternehmen ein wichtiges Marketingtool dar und es wird daher kaum ein Unternehmen auf solche Hilfsmittel verzichten wollen.

Als Unternehmen und Webseitenbetreiber gilt es nun zu prüfen, ob auf der eigenen Webseite vergleichbare Plugins verwendet werden. Wie bereits oben ausgeführt, ist das Urteil wohl nicht nur auf den «Gefällt mir»-Button von Facebook beschränkt, vergleichbare Plugins können ebenfalls darunterfallen. Für alle Unternehmen, welche bis heute noch keine datenschutzfreundliche Lösung im Einsatz haben, gilt es nun Anpassungen vorzunehmen. In Zukunft muss der Webseitenbetreiber darauf hinweisen, dass Daten erhoben und übermittelt werden. Eine Möglichkeit wäre eine Pop-Up-Warnung, wie man es bereits von Cookies kennt, einzuführen, in welcher auf die entsprechenden Informationen in der Datenschutzbestimmungen hingewiesen würde. Natürlich darf das Plugin nicht bereits vorher aktiviert sein bzw. es dürfen keine Daten an ein Soziales Netzwerk geliefert werden. Eine solche Variante scheint jedoch etwas umständlich zu sein und würde wohl zu den gleichen Ermüdungserscheinungen wie bei den leidigen Cookie-Banners führen.

Eine weitere Variante und bis anhin als rechtssichere Lösung anerkannt, gilt die die „Zwei-Klick-Lösung“. Bei dieser Lösung werden erst Daten ausgetauscht, wenn der Besucher den Button durch einen Klick aktiviert und erst danach können Inhalte geteilt werden. Diese Lösung scheint auch das Bitkom zu bevorzugen und zu empfehlen.

Eine Alternative Lösung stellt die Shariff – Lösung dar, bei dieser Lösung bleibt der Nutzer unsichtbar solange er nicht auf den Button/Link klickt. Für diese Lösung findet sich auf Github ein Script zur Umsetzung.

Daneben gilt es die Datenschutzerklärung entsprechend der gewählten Lösung zu formulieren und es ist auf die entsprechenden Informationen und Datenschutzbestimmung der Sozialen Netzwerke zu verlinken. Verschiedene Musterklauseln finden sich hier.

 Bei Fragen zum Datenschutzrecht stehen Ihnen Yves Gogniat und Sergio Leemann gerne als Ansprechpartner zur Verfügung.