EuGH-Urteil zu Like-Buttons: Das m�ssen Websitebetreiber jetzt wissen

02.08.2019 - Der Europ�ische Gerichtshof (EuGH) hat j�ngst eine f�r Webseiten- und Shopbetreiber wichtige Grundsatzentscheidung zur Einbindung von Facebook Like-Buttons in die eigene Website getroffen. Sascha Kremer, Fachanwalt f�r IT-Recht und Datenschutzbeauftragter der Shopware AG, erkl�rt, was Sitebetreiber beachten m�ssen.

von Christina Rose

Wer f�r eine Website sogenannte Social Plugins von Facebook nutzt, braucht hierf�r eine vorherige, ausdr�ckliche Einwilligung seiner Nutzer und ist gemeinsam mit Facebook f�r die Datenverarbeitung verantwortlich. Das besagt das Urteil des EuGH vom 29.7.2019 . Vorausgegangen war ein Rechtsstreit zwischen Fashion ID und der Verbraucherzentrale Nordrhein-Westfalen (Aktenzeichen: C-40/17). Dabei handelt es sich um eine Grundsatzentscheidung, denn die gerichtlichen Vorgaben gelten f�r Websites und Apps sowie f�r fast alle Social Plugins und Trackingtools.

Die Vorgeschichte

Fashion ID, ein Online-H�ndler f�r Modeartikel, band in seine Website das Social Plugin "Gef�llt mir" ein ("Like Button"). Mit jedem Aufruf der Website wurden personenbezogene Daten jedes Nutzers der Website an Facebook in Irland �bermittelt, ohne dass die Nutzer einwilligten, hier�ber den gesetzlichen Vorgaben entsprechend informiert wurden und unabh�ngig davon, ob die Nutzer einen Account bei Facebook hatten oder nicht. Die Verbraucherzentrale Nordrhein-Westfalen hatte Fashion ID deshalb vor dem Landgericht D�sseldorf auf Unterlassung in Anspruch genommen und teilweise gewonnen. Hiergegen war Fashion ID vor dem Oberlandesgericht D�sseldorf in Berufung gegangen, welches den EuGH daraufhin um Kl�rung verschiedener Rechtsfragen bat (Beschluss v. 19.1.2017 - I-20 U 40/16).

Die wichtigsten Entscheidungen im Einzelnen

Der EuGH hat mit seinem Urteil mehrere Entscheidungen gleichzeitig getroffen:

Verbraucherschutzverb�nde sind zur Geltendmachung von Datenschutzverletzungen jedenfalls nach der alten Datenschutzrichtlinie klagebefugt.
Wer das Plugin eines Dritten (hier: Facebook als Plugin-Anbieter) mit wirtschaftlichen Vorteilen in seine Website einbindet, mit dem Tool personenbezogene Daten erhebt und diese an den Plugin-Anbieter �bermittelt, geht eine gemeinsame Verantwortlichkeit mit dem Plugin-Anbieter gem�� Art. 26 DS-GVO ein (englisch "Joint Controllership").
Wird von einem Plugin ein Cookie auf dem Endger�t des Nutzers abgelegt oder werden vom Plugin (ggf. auch fremde) Cookies oder andere Informationen auf dem Endger�t ausgelesen, bedarf es hierf�r einer vorherigen, ausdr�cklichen Einwilligung des Nutzers (sog. Opt-in). Ein sp�terer Widerspruch (sog. Opt-out) ist nicht ausreichend. Der noch geltende � 15 Abs. 3 Telemediengesetz (TMG) kann ab sofort nicht mehr als Rechtsgrundlage herangezogen werden.
Bei Aufruf der Website muss die Einwilligung eingeholt und eine gesetzeskonforme Datenschutzinformation gem�� Art. 13, 14, 21 DS-GVO erteilt werden - und zwar zwingend durch den Website-Betreiber. Zugleich m�ssen auch die besonderen Informationen gem�� Art. 26 Abs. 2 S. 2 DS-GVO �ber das in gemeinsamer Verantwortlichkeit erfolgende Erheben und �bermitteln der Daten durch den Website-Betreiber an den Plugin-Anbieter zur Verf�gung gestellt werden.

Das Urteil bezieht sich konkret auf den Like-Button von Facebook und dessen Einbindung in Websites. Die gerichtlichen Vorgaben gelten aber f�r alle Plugins und Tools, bei denen die Voraussetzungen aus dem Urteil vorliegen. Sie sind auch nicht auf Websites beschr�nkt, sondern auf alle Telemedien anwendbar, insbesondere auf Apps. Erfasst sind damit neben dem Like-Button von Facebook grunds�tzlich nahezu alle Plugins der sozialen Netzwerke, aber auch das Facebook-Pixel, das LinkedIn Insight-Tag, Analyse-Tools wie Google Analytics oder Heatmap Tools wie Hotjar. Ebenso fallen Tools darunter, die etwa zur Erm�glichung von Push-Funktionalit�ten Ger�te-Kennziffern (Device-IDs) oder andere Informationen von Endger�ten auslesen.

Folgende Punkte sollte jeder Betreiber einer Website oder eines Shops jetzt pr�fen:

Welche Plugins/Tools werden f�r die eigene Website/App genutzt? H�ufig ist dies nicht bekannt, weil ein IT-Dienstleister oder eine Agentur nach eigenem Ermessen Tools in die Website/App "eingebaut" haben.
Speichern die genutzten Plugins/Tools Informationen auf den Endger�ten der Seiten-Nutzer, insbesondere in Cookies, und �bermitteln diese Informationen an den Anbieter? Alternativ: Greifen die genutzten Plugins/Tools auf bereits auf dem Endger�t der Nutzer gespeicherte Informationen zu, die dann an den Anbieter des Plugins/Tools �bermittelt werden?
Verfolgen Website-/Shop-Betreiber mit der Nutzung der Plugins/Tools gleichartige Zwecke wie dessen Anbieter, insbesondere profitieren sie von der Verarbeitung der mit dem Plugin/Tool erhobenen oder sonst verarbeiteten Informationen durch den Anbieter des Plugins/Tools?

F�r jedes Plugin/Tool, f�r das alle der obenstehenden Fragen mit "ja" beantwortet werden, sind folgende Ma�nahmen erforderlich:

Abschlie�en einer Vereinbarung mit dem Anbieter des Plugins/Tools �ber die gemeinsame Verantwortlichkeit gem�� Art. 26 Abs. 1 S. 2 DS-GVO. Stellt der Anbieter keine solche Vereinbarung zur Verf�gung und ist auch nicht bereit, eine vom Seitenbetreiber vorgeschlagene Vereinbarung zu akzeptieren, ist die
Nutzung des Plugins/Tools immer datenschutzrechtswidrig.
Informierung der Nutzer der Website/App �ber das Plugin/Tool und Zur-Verf�gung-Stellen der Datenschutzinformationen gem�� Art. 13, 14, 21 DS-GVO sowie erg�nzend die Informationen zur gemeinsamen Verantwortlichkeit gem�� Art. 26 Abs. 2 S. 2 DS-GVO. Das muss passieren, bevor es zur Speicherung von oder zum Zugriff auf Informationen auf dem Endger�t des Nutzers kommt. Das Fehlen der Informationen ist ein Datenschutzversto�.
Einholung einer ausdr�cklichen Einwilligung (Opt-in) der Nutzer, die den Vorgaben insbesondere aus Art. 4 Nr. 11, Art. 6 Abs. 1 lit. a) und Art. 7 DS-GVO entspricht, vor Aktivierung des Plugins/Tools sowie Dokumentierung deshierf�r implementierten Prozess und der technischen Vorg�nge im Zusammenhang mit der Einholung der Einwilligung. Es d�rfen erst dann Informationen auf dem Endger�t gespeichert oder von dort abgerufen werden, wenn die Einwilligung des Nutzers vorliegt. Das ist nur m�glich, wenn beim ersten Aufruf der Website mit einem Cookie-Overlay oder einer speziellen Landingpage zun�chst die Einwilligung abgefragt wird, bevor die Datenverarbeitungen beginnen. Soweit Social-Media-Plugins genutzt werden, kann alternativ eine 2-Klick-L�sung wie der Shariff aus dem Heise Verlag eingesetzt werden. Dann muss die Einwilligung erst mit dem Aktivierungs-Klick des Nutzers auf ein Plugin/Tool eingeholt werden. Ohne die vorherige, ausdr�ckliche Einwilligung ist die Nutzung des Plugins/Tools datenschutzrechtswidrig. Eine Widerspruchsl�sung (Opt-out) reicht nicht mehr aus.

Wichtig: Setzen Benutzer ein Plugin/Tool ein, ohne diese Ma�nahmen umgesetzt zu haben, laufen diese Gefahr, dass die Datenschutzaufsicht die weitere Nutzung untersagt und ggf. erg�nzend eine Geldbu�e gegen sie verh�ngt wird. Zudem k�nnen Besucher der Website und ggf. auch Mitbewerber rechtlich gegen Seitenbetreiber vorgehen.

Kommentar hinzuf�gen
Schreiben Sie Ihre Meinung, Erfahrung, Anregung mit oder zu diesem Thema. Ihr Beitrag erscheint dann an dieser Stelle.

Vortr�ge zum Thema:

Bild: Markus B�ckle

Markus B�ckle (econda GmbH)

Die Herausforderungen im Datenschutz 2023 bew�ltigen

Datenschutzkonforme Personalisierungs- und Analyticsl�sungen werden f�r die Zukunft immer wichtiger. Wir zeigen Dir, welche M�glichkeiten Du 2023 einsetzen musst, willst Du nicht mit der Zukunft Deines Unternehmens spielen.

Diese Herausforderungen gibt es 2023 durch den Datenschutz:
- Wie Personalisierung und Analysesoftware Dein Fachpersonal entlasten k�nnen.
- Wie Du das Kostenargument bew�ltigst
- Wieso 2023 der Einsatz von Google Analytics rechtlich bedenklich ist und von vielen Kunden auch schlicht abgelehnt wird.
- Wie Du Deinen Datenbestand datenschutzkonform selbst aufbaust statt ihn an US-Anbieter zu veschenken
Vortrag im Rahmen der Zukunftskonferenz 2023. Trends f�r ECommerce, Marketing und digitales Business am 07.12.22, 10:05 Uhr