01 Aug
2019

EuGH-Urteil zu Facebook „Gefällt mir“-Button": Webseitenbetreiber auch verantwortlich

Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 29.07.2019, Aktenzeichen C-40/17, zur Rechtmäßigkeit der Implementierung des Facebook „Gefällt mir“-Buttons auf Webseiten geurteilt.

Worum ging es in dem Rechtsstreit

Dem Urteil ging ein Rechtstreit der Verbraucherzentrale Nordrheinwestfalen gegen einen Online-Händler voraus. Abgemahnt war, dass das Unternehmen einen Social Plugin von Facebook, den sogenannten „Gefällt mir“-Button, auf seiner Webseite implementiert hatte. Dabei werden in der Regel bei Aufruf der Webseite die IP-Adresse des Webseitenbesuchers, die aufgerufenen Inhalte sowie bestimmte Browserinformationen an Facebook übermittelt und dort gespeichert.

In dem Rechtsstreit ging es grundsätzlich um die Frage, ob und wie der Webseitenbetreiber den „Gefällt mir“-Button auf seiner Webseite datenschutzkonform einbinden kann, obwohl durch die Einbindung automatisch personenbezogene Datendes Webseitenbesuchers an Facebook übertragen werden. Konkret hatte der EuGH darüber zu entscheiden, ob der Webseitenbetreiber als datenschutzrechtlicher Verantwortlicher anzusehen ist. Daneben stand aber auch die Frage der Rechtsgrundlage im Raum, wenn auf Grund des „Gefällt mir“-Buttons personenbezogene Daten verarbeitet werden.

Das Urteil: Webseitenbetreiber und Facebook sind datenschutzrechtlich gemeinsam verantwortlich

Der EuGH kommt, wie schon in seinem Urteil vom 05.06.2018 (Aktenzeichen C-210/16) zu den Facebook-Fanpages, zu dem Schluss, dass auch bei der Einbindung des Facebook „Gefällt mir“-Buttons das Unternehmen als Webseitenbetreiber zusammen mit Facebook datenschutzrechtlich gemeinsam verantwortlich sind. Deshalb müssen beide eine Vereinbarung zur gemeinsamen Verantwortlichkeit schließen. Eine solche wird bisher von Facebook noch nicht angeboten. 

Der EuGH argumentierte, dass es die Einbindung des „Gefällt mir“-Buttons dem Webseitenbetreiber erlaube, die Werbung für seine Produkte zu optimieren, indem diese bei Facebook sichtbarer gemacht werden. Das – so der EuGH – ist ein wirtschaftlicher Vorteil, für den das beklagte Unternehmen zumindest stillschweigend der Erhebung personenbezogener Daten der Webseitenbesucher zugestimmt hat.

Für die Datenverarbeitung, die Facebook im Anschluss an die Datenübermittlung vornimmt, sei der Webseitenbetreiber aber nicht verantwortlich. Denn dieser entscheidet dann nicht (mehr) über Zwecke und Mittel dieser weiteren Verarbeitungsvorgänge. Es reicht aber für eine gemeinsame Verantwortlichkeit aus, dass nur ein Teil der Verarbeitungsvorgänge – hier das Erheben und Übermitteln der personenbezogenen Daten – gemeinsam erfolgt, auch wenn der Webseitenbetreiber im Anschluss keinen Einfluss mehr auf die weitere Verarbeitung hat.

Einwilligungserfordernis beim Setzen von Cookies

Streitig war auch die Rechtsgrundlage für das Erheben und Übermitteln der personenbezogenen Daten auf der Unternehmenswebseite. Hierzu führte der EuGH aus, dass er zusammen mit der europäischen Kommission grundsätzlich von einem Einwilligungserfordernis gemäß Art. 5 Abs. 3 der Richtlinie 2002/58/EG ausgehe, sofern auf Grund des Facebook „Gefällt mir“-Buttons Cookies auf dem Endgerät des Webseitenbesuchers gespeichert werden. Eine Einwilligung liege aber dem Sachverhalt nicht zugrunde, da sich der Webseitenbetreiber unstreitig auf ein berechtigtes Interesse beruft. 

Ob in dem konkreten Fall ebenfalls eine Einwilligung notwendig sei, ließ der EuGH offen. Es wird demnach darauf ankommen, ob beim Facebook „Gefällt mir“-Button ein Cookie gesetzt wird oder nicht. Diese technische Frage hat der EuGH dem Oberlandesgericht Düsseldorf als vorlegendem Gericht zur Klärung überlassen. 

Informationspflicht des Webseitenbetreibers

Der EuGH hat darüber hinaus auch nochmals klargemacht, dass den Webseitenbetreiber eine Informationspflicht trifft. Er hat zumindest über den Teil der Datenverarbeitung zu informieren, für den er verantwortlich ist. Die Information muss bei Erhebung der Daten erfolgen, kann also nicht nachträglich durch Facebook erfolgen. Das bedeutet, dass im Falle des Facebook „Gefällt mir“-Buttons der Webseitenbesucher bereits vor Aktivierung datenschutzkonform zu informieren ist.

Fazit 

Das Urteil erging zwar zur Vorgängerrichtlinie der DS-GVO, da die relevanten Normen aber ebenfalls in der DS-GVO übernommen wurden, gelten die Grundsätze des EuGH auch in dieser Hinsicht.

Der EuGH hat entschieden, dass der Betreiber einer Webseite auch für Tools Dritter datenschutzrechtlich verantwortlich sein kann und für das Setzen von technisch nicht notwendigen Cookies möglicherweise eine Einwilligung notwendig ist. Das Urteil hat somit eine Strahlweite, die über den Facebook „Gefällt mir“-Button hinausgeht.

Der Umstand der gemeinsamen Verantwortlichkeit wird so wohl auch für alle anderen Social-Plugin-Dienste wie Instagram, Twitter, GooglePlus oder YouTube gelten. Aber auch die bisherige Cookie-Praxis in Deutschland, die in der Regel ein bloßes Widerspruchsrecht vorsieht, steht auf der Kippe, auch wenn der EuGH diese Frage ausdrücklich dem vorlegenden Gericht zur Klärung überlassen hat. 

Was ist zu tun?

So lange Facebook keine Vereinbarung für gemeinsam Verantwortliche zur Verfügung stellt, besteht das erhöhte Risiko einer Abmahnung, wenn ein Unternehmen einen „Gefällt mir“-Button oder ein vergleichbares Tool auf seiner Webseite einbindet. Denn ohne entsprechende Vereinbarung liegt ohne Zweifel ein Verstoß gegen Art. 26 DS-GVO vor.

 Zudem ist es ratsam, alle Arten von Social-Plugin-Diensten von einer Cookie-Consent Plattform erfassen zu lassen, um eine Einwilligung des Webseitenbesuchers einzuholen.

Rechtsanwalt Nils Steffen

dmp@derra-ul.de

Stand: 08/2019