EuGH: Auch Websites beim "Like"-Button mit in der Verantwortung

Inhaltsverzeichnis

Auf Internet-Nutzer dürfte ein weiterer Einwilligungs-Klick beim Aufruf diverser Websites zukommen. Der Europäische Gerichtshof (EuGH) entschied, dass die Seiten-Betreiber für Erhebung und Übermittlung von Daten durch Facebooks "Like"-Button mit verantwortlich sind. Deshalb müssen sie die die Nutzer darüber informieren und eventuell deren Zustimmung dazu einholen – und zwar bevor die Website benutzt wird.

Datenerfassung ohne Aktion

Der Like-Button überträgt beim Laden der Seite die IP-Adresse, die Webbrowser-Kennung sowie Datum und Zeit des Aufrufs, auch ohne dass der Knopf angeklickt wurde oder der Nutzer einen Facebook-Account hat. Die Richter in Luxemburg befassen sich mit dem "Like"-Button wegen eines Streits zwischen der Verbraucherzentrale Nordrhein-Westfalen und dem Online-Modehändler "Fashion ID" der Peek & Cloppenburg KG mit Sitz in Düsseldorf. Die Verbraucherzentrale hatte argumentiert, die Verwendung des Like-Buttons verstoße gegen Datenschutzrecht – und reichte 2015 eine Unterlassungsklage gegen Fashion ID ein.

Der EuGH argumentiert nun, die Einbindung des Buttons erlaube es Fashion ID, die Werbung für ihre Produkte zu optimieren, indem diese bei Facebook sichtbarer gemacht werde. Das sei ein wirtschaftlicher Vorteil, für den Fashion ID "zumindest stillschweigend" der Erhebung personenbezogener Daten der Website-Besucher zugestimmt habe. Für die Datenverarbeitung, die Facebook nach der Übermittlung der Daten vornimmt, sei die Website aber nicht verantwortlich. Denn Fashion ID entscheide nicht über Zwecke und Mittel dieser Vorgänge.

Außerdem bestätigte der EuGH das Klagerecht deutscher Verbraucherverbände in Datenschutz-Fragen auf europäischer Ebene auch nach der damals geltenden alten europäischen Richtlinie. Die seit Mai 2018 greifende Datenschutzgrundverordnung (DSGVO) sieht das Klagerecht für Verbände bereits ausdrücklich vor.

Bürokratischer Aufwand?

Der Bundesverband Digitale Wirtschaft (BVDW) äußerte sich kritisch zum EuGH-Entscheid. Problem sei die eventuell kommende Einwilligung. "Hier aber wieder das Einwilligungsprinzip für alle Nutzer zugrunde zu legen, geht an jeder Realität vorbei – das macht jede Webseitennutzung aus Sicht der Nutzer maximal kompliziert und umständlich“, kritisiert BVDW-Vizepräsident Thomas Duhr.

Der Digitalverband Bitkom sieht mit dem Urteil vor allem größeren bürokratischen Aufwand auf Webseitenbetreiber zukommen. "Webseitenbetreiber müssen nun mit Facebook und den anderen Social-Media-Anbietern Vereinbarungen schließen, ansonsten können sie in Haftungsfallen laufen. Und ob die geforderten ausführlichen Informationen über Like-Buttons auf künftig jeder entsprechenden Webseite wirklich etwas bewirken, darf zumindest bezweifelt werden", sagte Bitkom-Geschäftsführer Bernhard Rohleder. Am Datenschutzniveau werde sich faktisch nichts ändern, praktikable Zwei-Klicklösungen gebe es bereits.

"Dicker Dislike"

Die klagende Verbraucherzentrale NRW sprach hingegen von einem "dicken Dislike" für den Facebook-Button und begrüßte eine Stärkung des Datenschutzes für Verbraucher. "Unternehmen, die von den Daten der Verbraucher profitieren, müssen jetzt ihrer Verantwortung gerecht werden“, so Vorstand Wolfgang Schuldzinski. "Diese Entscheidung des EuGH hat auch über den Einzelfall hinaus Signalwirkung für andere Anbieter, die solche Plugins auf ihren Websites verwenden.“

Nach der Klarstellung durch den EuGH muss sich nun das Oberlandesgericht Düsseldorf dazu äußern, ob im Fall Fashion ID eine ausdrückliche Einwilligung der betroffenen Nutzer erforderlich war. Auf dieser Basis will die Verbraucherzentrale NRW dann prüfen, "wie Webseitenbetreiber der geforderten Mitverantwortung beim Datenschutz nachkommen". Prinzipiell vorgesehen ist als alternative Grundlage auch die Möglichkeit, Daten mit "berechtigtem Interesse" als Grundlage zu erheben – informiert werden müssen die Nutzer aber in jedem Fall.

Embetty und c't Shariff von heise

heise hat das Open-Source-Projekt "Embetty" sowie den "c't Shariff" entwickelt, um Webseiten-Besucher vor dem Datenhunger sozialer Medien zu schützen. Der "c't Shariff" arbeitet dabei als Vermittler, damit die Informationen über den User wirklich erst dann übertragen werden, wenn die eingebetteten Socia-Media-Elemente angeklickt werden. Das ist zwar datenschutzfreundlicher, ob es allerdings im strikten Sinne konform mit dem aktuellen EuGH-Urteil ist, muss noch geprüft werden. Wir klären derzeit die Details dazu.

[UPDATE, 30.07.2019, 11:50]

Die Meldung wurde überarbeitet und eine bezüglich eventueller Einwillligungspflicht unzutreffende Darstellung des EuGH-Entscheids korrigiert. (Mit Material der dpa) / (axk)