EuGH Urteil zum „Gefällt mir“-Button

Webseiten-Betreiber, die einen Facebook „Gefällt mir“-Button in Ihre Webseite eingebunden haben, sind gemeinsam mit Facebook für die Verarbeitung personenbezogener Daten im Rahmen dieses Buttons verantwortlich.

„Gefällt mir“-Button

Beim „Gefällt mir“-Button handelt es sich um ein Social Plugin, welches von Webseiten-Betreibern in ihre Webseite eingebunden wird und es Nutzern, ermöglicht, ihre Zustimmung zu auf der Webseite dargestellten Inhalten auszudrücken und diese zu teilen. Dabei werden personenbezogene Daten an Facebook übermittelt, unabhängig davon, ob sie Mitglied bei Facebook sind, geschweige denn, den „Gefällt mir“-Button angeklickt haben. Dies ermöglicht Facebook, das Verhalten des Nutzers – auch über die Webseite hinaus – nachzuverfolgen und diesem individuelle auf ihn zugeschnittene Inhalte anzuzeigen.

Gemeinsame Verantwortlichkeit

Mit seinem Urteil vom 29. Juli 2019 (Az. C-40/17) nach Vorlage durch das OLG Düsseldorf, stufte der EuGH Facebook und den Webseiten-Betreiber Fashion ID als gemeinsam für die Datenverarbeitung verantwortlich ein.

Damit führt der EuGH sein weites Verständnis des „für die Verarbeitung verantwortlichen“ aus den Urteilen „Zeugen Jehovas“ und „Facebook Fanpages“ fort. Dies sei mit Blick auf das Ziel der Datenschutzrichtlinie, ein hohes Datenschutzniveau zu gewährleisten, geboten.

Für eine gemeinsame Verantwortlichkeit sei nicht notwendig, dass jeder der Akteur auch tatsächlich einen Zugang zu den betreffenden personenbezogenen Daten hat und die personenbezogenen Daten aus diesem Grund auch nicht selbst verarbeitet. Ausreichend sei es, dass beide Akteure über Zwecke und Mittel der Verarbeitung entscheiden. Hinsichtlich des Zwecks knüpft der EuGH an das wirtschaftliche Interesse der Fashion ID an. Um in den Genuss eines wirtschaftlichen Vorteils in Form verbesserter Werbung für ihre Produkte zu kommen, habe die Fashion ID mit der Einbindung eines solchen Buttons in ihre Webseite offenbar zumindest stillschweigend in die Erhebung personenbezogener Daten der Nutzer ihrer Webseite und deren Übermittlung einwilligt.

Erfreulicherweise schränkt der EuGH sein weites Verständnis der gemeinsamen Verantwortlichkeit so weit ein, als dass er diese auf diejenigen Phase der Datenverarbeitung beschränkt, auf die der Webseiten-Betreiber auch tatsächlichen Einfluss hat, also ausschließlich das Ermöglichen der Erhebung sowie die Übermittlung personenbezogener Daten.

Rechtsgrundlage

Zu der für die Praxis besonders relevanten Frage nach der Rechtsgrundlage in Zusammenhang mit der Datenverarbeitung des „Gefällt-mir“-Buttons hat sich der EuGH nicht abschließend geäußert und dem OLG Düsseldorf die Entscheidung gelassen, ob die Datenverarbeitung auf das berechtigte Interesse (Art. 6 Abs. 1 S. 1 lit. f. DS-GVO) gestützt werden kann oder eine Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DS-GVO) notwendig ist.

Fazit

Die Entscheidung des EuGH dürfte nicht nur den „Gefällt-mir“-Button von Facebook betreffen, sondern sämtliche Social-Media-Plugins (Instagram, YouTube, Twitter, etc.). Dies hat weitreichende Folgen für Webseiten-Betreiber. Fortan dürfte ein Vertrag über die gemeinsame Verantwortlichkeit zwischen Webseiten-Betreibern und Facebook zu schließen sein. Zudem dürfte die gesamtschuldnerische Haftung der gemeinsam Verantwortlichen im Außenverhältnis zu einem nicht unerheblichen Risiko für den Webseiten-Betreiber führen.

Mit Spannung bleibt das Urteil des OLG Düsseldorf bezüglich der Rechtsgrundlage zu erwarten. Bis dahin sind Webseiten-Betreiber gut beraten, datenschutzfreundliche Lösungen zum Einbinden von Social-Media-Plugins (z. B. Shariff) vorzusehen.

Sie interessiert das Thema und wünschen nähere Informationen?

Sie hätten gern ein persönliches Beratungsgespräch zu diesem Thema?
Wir stehen Ihnen gerne zur Verfügung und freuen uns über Ihre Kontaktaufnahme.
E-Mail: Rechtsanwalt Tröber

Andere Leser interessierten sich auch für

Neues von den Aufsichtsbehörden zur Facebook-Fanpage
Nach Ansicht der Konferenz der unabhängigen Aufsichtsbehörden des Bundes und der Länder (DSK) ist der Betrieb einer Facebook-Fanpage nicht datenschutzkonform möglich, sofern Facebook nicht nachbessert und Fanpage-Betreiber ihren datenschutzrechtlichen Pflichten nachkommen können. Was Sie als Fanpage-Betreiber tun können, um das Risiko zu verringern, erfahren Sie in diesem Beitrag.
Berliner Datenschutzbehörde verschickt Anhörungsschreiben an Betreiber von Facebook-Fanpages
Die Berliner Aufsichtsbehörde schickt Anhörungsschreiben an Facebook-Fanpage-Betreiber, um mutmaßliche Datenschutzverstöße beim Betrieb von Facebook-Fanpages aufzudecken.
Facebook Fanpage - Best Practice nach der DSGVO
Nach dem aktuellen EuGH-Urteil sind sowohl Facebook als auch der Fanpage-Betreiber gemeinsam für die Verarbeitung von sogenannten Insights-Daten verantwortlich. Facebook hat mit eine Ergänzungsvereinbarung zur Regelung der gemeinsamen Verantwortlichkeit reagiert. Aber was bedeutet das für Fanpage-Betreiber?
Facebook-Like-Button
Der Facebook-Like-Button auf Firmenwebsites stellt nach einer aktuellen Entscheidung des LG Düsseldorf einen Verstoß gegen den Datenschutz dar.