EuGH zum Facebook Like-Button

Gemeinsame Verantwortlichkeit bei Social Media Plugins

05.08.2019
Von    und
Christian Kuss ist Rechtsanwalt der Luther Rechtsanwaltsgesellschaft mbH in Köln. Sein Tätigkeitsschwerpunkt liegt auf IT- und Datenschutzrecht.
Yvonne Wolski ist Rechtsreferendarin und wissenschaftliche Mitarbeiterin bei Luther Rechtsanwaltsgesellschaft mbH. Ihre Tätigkeitsschwerpunkte liegen im Datenschutz- und IT-Recht.

Gemeinsame Verantwortlichkeit - gemeinsame Pflichterfüllung

Folge der gemeinsamen Verantwortlichkeit ist zunächst, dass beide - sowohl Facebook als auch Webseitenbetreiber - in Bezug auf Erhebung und Übermittlung der personenbezogenen Daten durch den Like-Button den Vorgaben der DSGVO unterliegen. Demnach ist die Verarbeitung personenbezogener Daten nur rechtmäßig, wenn für jeden Verantwortlichen eine eigene entsprechende Rechtsgrundlage besteht. Darüber hinaus hat der Verantwortliche weitere Pflichten zu erfüllen, wobei insbesondere die Informationspflicht herauszuheben ist.

Nach Art. 26 DSGVO muss dabei zwischen den gemeinsam Verantwortlichen in transparenter Form festgelegt werden, wer die Erfüllung welcher datenschutzrechtlichen Pflichten - zum Beispiel die Wahrnehmung der Betroffenenrechte - übernimmt.

Rechtsgrundlage für die Verarbeitung

Nach den Ausführungen des EuGH kommen als Rechtsgrundlage für die Verarbeitung im Fall der Social Media Plugins

  • eine Einwilligung des Nutzers (Art. 6 Abs. 1 lit. a DSGVO) oder

  • ein berechtigtes Interesse der Verantwortlichen (Art. 6 Abs. 1 lit. f DSGVO)

in Betracht.
Ein berechtigtes Interesse kann die Datenverarbeitung nur insoweit rechtfertigen, wie Interessen des Betroffenen nicht überwiegen. Insofern ist eine Interessenabwägung anzustellen. Zugunsten des Webseitenbetreibers erkennt die DSGVO Werbung als berechtigtes Interesse an. Jedoch ist es stark von den Umständen des Einzelfalls abhängig, ob Werbeinteressen nicht hinter den Interessen der Betroffenen zurückzutreten haben.

Wer sich auf berechtigte Interessen stützen möchte, nimmt also starke Rechtsunsicherheiten in Kauf.

Auch eine Einwilligung ist nicht unproblematisch- Siie ist an bestimmte Voraussetzungen geknüpft, muss dokumentiert werden und ist überdies jederzeit frei widerruflich. Daneben behindert das Einholen der Einwilligung - nach Ansicht der Aufsichtsbehörden am besten mittels Banner und Opt-in für jeden einzelnen Punkt - in erheblichem Maße das Usererlebnis auf der Webseite.

Alternativen zum Social Media Button

Wegen der Schwierigkeiten der datenschutzkonformen Einbindung der Social Media Plugins haben sich mittlerweile Alternativen hierzu etabliert. Neben der "Zwei-Klick-Lösung" werden auch die Tools "Shariff" oder "Embetty" von den Datenschutzaufsichtsbehörden überwiegend positiv aufgenommen. Die Alternativen haben gemeinsam, dass beim Aufruf der Webseite zunächst keine Datenverarbeitung stattfindet und erst durch das Anklicken des Buttons aktiviert wird.

Gleichwohl sehen Datenschützer auch diese Lösungen kritisch und sehen die datenschutzrechtlichen Probleme in Bezug auf Rechtsgrundlage und Informationspflichten nicht als gelöst an. Die rechtssicherste - aber aus Sicht des viralen Marketings unvorteilhafte - Lösung stellt das Setzen eines einfachen Links dar. Dieser kann grafisch gestaltet werden, so dass er sich optisch nicht von den gewöhnlichen Buttons unterscheidet. Angesichts der im Datenschutzrecht bestehenden Haftungsrisiken ist diese Lösung eine Erwägung wert - zumindest bis zur endgültigen Klärung der Rechtslage.

Ausblick

In Bezug auf das Urteil des EuGH ist klarzustellen, dass der Gerichtshof sich nicht zur datenschutzrechtlichen Zulässigkeit von Social Plugins per se geäußert hat. Er hat lediglich ausgesprochen, dass den Webseitenbetreiber eine Verantwortlichkeit für die Datenverarbeitung trifft. Ob ein Webseitenbetreiber sich auf berechtigte Interessen stützen kann oder ob eine Einwilligung zwingend ist, muss das OLG nun nach den Vorgaben des EuGH entscheiden.
Insofern ist der weitere Gang des Verfahrens mit Spannung zu verfolgen. Die Informationspflichten gelten aber in jedem Fall, so dass Webseitenbetreiber in Zukunft nicht mehr dazu beitragen werden, dass Facebook und Co. heimlich Daten sammeln.

Lesetipp: Facebook rüstet bei Werbertechnologie auf

Für Webseitenbetreiber bedeutet das Urteil des EuGH jetzt vor allem, den Einsatz von Social Plugins zu prüfen und zu überdenken. Jedenfalls müssen sie die Besucher ihrer Seite über die Datenverarbeitung ausreichend und in geeigneter Weise informieren, um sich nicht einem Haftungsrisiko auszusetzen.
Hierfür kommen zum Beispiel die Datenschutzerklärung oder entsprechende Cookie-Banner in Frage, deren Gestaltung und Platzierung jedoch ebenfalls diversen Vorgaben unterworfen sind. Schlussendlich sollte auch geprüft werden, ob Vereinbarungen nach Art. 26 DSGVO mit dem Anbieter der Plug-Ins vorhanden beziehungsweise rechtswirksam sind. Hier bestanden bisher insbesondere bei den von Facebook versendeten Vereinbarungen und Informationsblättern erhebliche Zweifel.

Sie sind Rechtsanwalt im IT-Bereich und veröffentlichen gerne nutzbringende Artikel. Dann bewerben Sie sich im IDG-Expertennetzwerk