Rechtsfragen bei der Nutzung des Facebook Like-Buttons

Einführung

In einer dem LG Düsseldorf vorgelegten Sache (Az.: 12 O 151/15), bemängelte die Verbraucherzentrale NRW e.V. die Nutzung des Facebook Like-Buttons durch das Unternehmen Fashion-ID GmbH & Co. KG, ohne dass der Seitenbesucher über die Übertragung personenbezogener Daten zu Facebook aufgeklärt wird oder eine Möglichkeit hätte, dem zu widersprechen. Nach erfolgloser Abmahnung reichte die Verbraucherzentrale NRW e.V. Klage vor dem LG Düsseldorf ein. Das Landgericht gab der Klage statt und Fashion-ID ging vor dem OLG Düsseldorf in Berufung. Das OLG Düsseldorf hat diesbezüglich wiederum den EuGH angerufen, dessen Urteil noch aussteht.

Allerdings hat die Verbraucherzentrale NRW e.V. die Klage vor Anwendungsbeginn der DS-GVO eingereicht, so dass noch die Rechtslage auf Grundlage der Datenschutzrichtlinie 95/46/EU gilt. Da die Richtlinie diesbezüglich weitestgehend identische Regelungen – zumindest auf die Schlüsselbegriffe des für die Verarbeitung Verantwortlichen, der Verarbeitung und der personenbezogenen Daten bezogen –  trifft, lässt sich das kommende Urteil voraussichtlich auf die heutige Rechtslage gemäß der DS-GVO übertragen.

Noch Fragen?
Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
0228 - 74 89 80

Funktionsweise

Den meisten Facebook-Nutzern ist der Like-Button nur als Kennzeichnung persönlicher Präferenzen auf Facebook bekannt. Weniger bekannt ist die Tatsache, dass der Like-Button, wenn er von Dritten als Plug-In in eigene Webseiten integriert wird, das Nutzerverhalten analysiert. Dies geschieht über den Konfigurator der Facebook-eigenen Seite: http://developers.facebook.com/docs/reference/plugins/like

Beim Aufrufen einer Internetseite mit integriertem Facebook Like-Button werden mithilfe von Cookies personenbezogene Daten wie IP-Adresse und Browser-String des Nutzers automatisch an Facebook gesendet. Dabei werden auch Daten von Besuchern erfasst und gesendet, die gar kein Facebook-Profil besitzen. Unter der Zunahme von Facebook Analytics lassen sich so Rückschlüsse auf die demographische und geographische Verteilung der Seitenbesucher ziehen. Dem kann der Seitenbesucher nicht widersprechen. Facebook kann so die gerade genutzte Webseite erfassen sowie das davor gesetzte Cookie. Ist man dabei in einem anderen Fenster bei Facebook angemeldet, kann Facebook das Aufrufen der Seite über die Facebook-ID mit dem Facebook-Profil verknüpfen.

Einschätzung des Generalanwalts

Die im Fokus stehende Frage des OLG Düsseldorf lautet: 

Führt das Einpflegen von Programmcode in eine Webseite, der den Browser des Benutzers veranlasst, Inhalte von einem Dritten anzufordern und hierzu personenbezogene Daten an den Dritten zu übermitteln, zu einer Verantwortlichkeit i.S.v. Art. 2 lit. d der RL 95/46/EU, wenn der Benutzer diesen Datenverarbeitungsvorgang nicht beeinflussen kann?

Dazu führt der Generalanwalt auf Grundlage der Entscheidungen des EuGH – 10.7.2018 C-25/17 (Zeugen Jehovas) und 5.6.2018 C-210/16 (Facebook Fanpage) – aus, dass die Fashion-ID GmbH & Co. KG und Facebook für die Datenerhebung mittels Like-Button-Plug-Ins gemeinsam verantwortlich sind im Sinne des Art. 26 DS-GVO. Zwar war dem deutschen Datenschutzrecht bislang kein dem Art. 26 DS-GVO vergleichbarer Begriff der gemeinsamen Verantwortlichkeit bekannt. Jedoch geht der Begriff der Verantwortlichkeit auf Art. 2 lit. d der RL 95/46/EU zurück. Diese ist zwar nun von der DS-GVO ersetzt worden, jedoch hat sich die Bedeutung des Begriffs nicht grundlegend geändert.

Der Zweck der gemeinsamen Verarbeitung ist nicht identisch, besteht aber als Zweckeinheit in Form einer wechselseitigen Förderungswirkung. Facebook verfolgt seine kommerziellen Interessen, während  der Webseitenbetreiber seine werblichen Interessen befriedigen kann. Dies ist unabhängig von der Tatsache, dass der Webseitenbetreiber das eingebundene Facebook-Plug-In nicht in seiner Funktionsweise beeinflussen und damit keinen Einfluss nehmen kann. Konkretes gemeinsames Mittel der Verarbeitung ist die Bereitstellung des Like-Buttons seitens Facebooks und auf Seiten des Webseitenbetreibers die aktive Einbindung des Like-Buttons in seine Webseite.

Als unmittelbare Folge aus der gemeinsamen Verantwortlichkeit wächst gem. Art. 26 DS-GVO die Notwendigkeit einer Vereinbarung heraus, die regelt, wen welche datenschutzrechtlichen Pflichten treffen (s.g. Joint-Controllership-Agreement).

Die Empfehlungen des Generalanwalts sind für den EuGH nicht bindend. Erfahrungsgemäß leistet der EuGH ihnen jedoch oft Folge. Ein Urteil wird im Laufe des Jahres erwartet.

Auswirkungen auf Unternehmen

In der Praxis stellt sich die Frage der tatsächlichen Erfüllbarkeit dieser datenschutzrechtlichen Verpflichtungen durch jeden Mitverantwortlichen. Wie soll ein Mitverantwortlicher gegen ihn gerichtete Auskunfts-, Berichtigungs- und Löschungsansprüche der Betroffenen erfüllen, wenn er keinen Datenzugriff hat?

Deshalb soll für eine anschließende Speicherung der Daten auf einem Facebook-Server allein Facebook die Verantwortung tragen, da der Browser des Nutzerendgerätes nur mit dem Facebook-Server direkt kommuniziert. Die Erfüllungszuständigkeiten können die gemeinsam Verantwortlichen gem. Art. 26 Abs. 1 S.2 DS-GVO untereinander aufteilen.

Website-Betreiber sollten schon jetzt Möglichkeiten datenschutzfreundlicher Einbindungen von Inhalten Dritter in Betracht zu ziehen. Außerdem sollten Unternehmen in ihren Datenschutzerklärungen über sämtliche, in ihren Websites eingebundenen Drittinhalte und damit im Zusammenhang stehende, Erhebungen und Übermittlungen informieren.

Soll der Like-Button verwendet werden, ist sicherzustellen, dass eine Möglichkeit zur Einwilligung seitens des Nutzers vorhanden ist.

Früher wurde dafür gerne die 2-Klick-Lösung genutzt. Das heißt, dass der Nutzer zuerst mit einem Klick die Funktionen des Buttons aktiviert und mit dem zweiten Klick den Datentransfer startet. Vor Aktivierung über die 2-Klick-Lösung darf keine Aktivität des Plug-Ins erfolgen.

Mittlerweile gilt diese Lösung als veraltet, da sie optisch wenig ansprechend und umständlich ist. Besser ist eine Implementierung der s.g. Shariff-Lösung. Mithilfe des Shariff-Buttons wird ein direkter Kontakt zwischen Social Network und Besucher erst dann hergestellt, wenn der Nutzer aktiv auf den Share-Button klickt. Damit verhindert Shariff, dass auf jeder besuchten Seite eine digitale Spur hinterlassen wird. Diese Lösung lässt sich einfach individuell an die Zielgruppe anpassen ist bedienungsfreundlicher und auch optisch ansprechender.

Bei weiteren Fragen, zögern Sie nicht, uns um Rat zu fragen. Wir helfen Ihnen gerne weiter!