Kein „Like“ vom Europäischen Gerichtshof: Unternehmen in der Pflicht bei Social-Media-Plugins

Download PDF

(c) BBH

Eine Social-Media-Strategie gehört mittlerweile zum Standard einer modernen Unternehmenskommunikation. Auch Energieversorger schätzen den direkten Kontakt zu ihren (potentiellen) Kunden über Facebook, Twitter oder Instagram. Einige präsentieren sich zudem als Top-Arbeitgeber bei Xing, andere zeigen sich bei LinkedIn einem internationalen Publikum. Im Sinne eines cross-medialen Auftritts geht es in der digitalen Welt aber nicht nur um die Präsenz auf der einen oder anderen Plattform, sondern um die Nutzung von Schnittstellen. Durch die Einbettung von sog. Social-Media-Plugins auf der Unternehmens-Website lassen sich bestimmte Inhalte einer Homepage komfortabel per Maus-Klick in sozialen Netzwerken teilen. Ein regelmäßiger Bestandteil dieser Plugins ist der „Gefällt-mir“-Button von Facebook. Und gerade hiermit hat der Europäische Gerichtshof (EuGH) ein Problem.

Denn allein durch die Einbindung des „Like“-Buttons werden persönliche Daten an Facebook übermittelt, ohne dass der Besucher der Homepage den Button tatsächlich anklicken oder überhaupt einen Account bei Facebook haben muss. Zwar kann der Homepage-Betreiber nicht dafür verantwortlich gemacht werden, zu welchem Zweck Facebook die dadurch gewonnenen Daten letztlich verarbeitet. Für die Erhebung und Übermittlung der Daten allerdings leistet der Betreiber sehr wohl einen entscheidenden Beitrag, denn ohne Einbindung des Buttons gäbe es schließlich überhaupt keine Datenübermittlung. Deshalb sei er insoweit auch für die Verarbeitung dieser Daten (mit-)verantwortlich, so der EuGH (Urt. v. 29.07.2019, Az. C-40/17).

Damit sind Betreiber von Webseiten mit integriertem „Like“-Button i.S.d. Datenschutzrechts gemeinsam mit Facebook als Verantwortlicher für die Verarbeitung anzusehen. Der EuGH betont, dass durch eine weite Definition des Begriffs „Verantwortlicher“ ein wirksamer und umfassender Schutz der betroffenen Personen ermöglicht wird; gleichzeitig macht er darauf aufmerksam, dass „gemeinsame“ Verantwortlichkeit eben nicht unbedingt „gleichwertige“ Verantwortlichkeit bedeutet. Verantwortliche für die Datenverarbeitung können in unterschiedlichen Phasen oder Ausmaß bei der Verarbeitung involviert sein. Der Grad der Verantwortlichkeit sei deshalb eine Frage der Einzelfall-Beurteilung. Damit legt der EuGH dieselben Maßstäbe zugrunde, die er bereits im vergangenen Jahr an Facebook-Fanpages angelegt hat (wir berichteten).

Im aktuellen Fall hatte die Verbraucherzentrale NRW geklagt, die auf der Webseite eines deutschen Modeunternehmens einen entsprechenden Hinweis an die Besucher über die Datenübermittlung vermisste, die außerdem ohne deren Einwilligung erfolgte.

Der EuGH gab der Verbraucherzentrale insofern Recht, als er die Informationspflicht über die Datenübermittlung bestätigte. Allerdings nur in Bezug auf die Verarbeitungsvorgänge, für die der Betreiber tatsächlich über die Zwecke und Mittel entscheidet und damit verantwortlich ist. Eine explizite Einwilligung von Seiten der Besucher ist nach Ansicht des EuGH dann nicht notwendig, wenn ein berechtigtes Interesse vorliegt. Dies erinnert an die parallele Diskussion zum „Tracking“ des Nutzerverhaltens und aktuelle Aussagen der deutschen Datenschutzaufsichtsbehörden. Dem Verwender von Tracking-Tools oder „Like“-Buttons obliegt damit die mitunter schwierige Prüfung im Einzelfall, ob ein datenschutzrechtliches Einwilligungsbedürfnis besteht oder nicht.

Das Urteil ist zwar auf Grundlage der „alten Rechtslage“ ergangen (= vor der DS-GVO). Die Regeln zur Verantwortlichkeit nach der DS-GVO sind jedoch mit den früheren Normen vergleichbar, so dass die Aussagen zur gemeinsamen Verantwortlichkeit grundsätzlich auf das neue Recht übertragen werden können. Abschließend muss allerdings nun das OLG Düsseldorf, das den EuGH angerufen hatte, über den Fall entscheiden.

In der Zwischenzeit ist es für Unternehmen ratsam, ihre Webseiten hinsichtlich des Gebrauchs von Social-Media-Plugins abzuklopfen. Mittlerweile gibt es eine Reihe von Alternativen zum klassischen „Like“-Button, die der Datenübermittlung gewisse Schranken setzen. Wer auf die volle Funktionalität der Plugins nicht verzichten möchte, ist verpflichtet, seinen damit verbundenen datenschutzrechtlichen Obliegenheiten nachzukommen. Dazu dürfte neben einer Prüfung der Datenschutzerklärung sowie gegebenenfalls eines Updates derselben auch der Abschluss einer Vereinbarung über die gemeinsame Verantwortlichkeit mit dem Anbieter des Social-Media-Plugins und gegebenenfalls die Einholung einer entsprechenden Einwilligung der Nutzer erforderlich sein.

Ansprechpartner: Dr. Jost Eder/Alexander Bartsch/Thomas Schmeding/Dr. Maximilian Festl-Wietek