Der EuGH hat nach seiner umstrittenen Rechtssprechung zur gemeinsamen Verantwortlichkeit bei Facebook-Fanpages mit einem neuen Urteil für neuen Zündstoff gesorgt. Diesmal betrifft es den weltberühmten weiß-blauen Daumen des Social-Media-Betreibers. Die Problematik hierbei ist, dass der Button auf Websites direkt Daten an Facebook sendet, selbst wenn der Besucher kein Mitglied des Netzwerks ist. Laut EuGH ein klarer Datenschutzverstoß
WER IST DER VERANTWORTLICHE?
Zehn Jahre ist der Like-Button nun alt. Eines der bekanntesten Symbole der Digitalisierung fand immer mehr Beliebtheit auch außerhalb seines eigentlichen „natürlichen Habitats“. Immer mehr Webseiten nutzen die Like- und Share-Funktion für eigene Zwecke. Die Problematik hierbei ist jedoch, dass beim Besuch einer Seite mit integriertem Button automatisch Daten an Facebook überträgt, selbst von nicht Mitgliedern der Social-Media-Plattform. Jetzt, zehn Jahre nach der Einführung, beschäftigte sich der Europäische Gerichtshof (EuGH) mit genau dieser Einbindung. Es ging vor allem um die Frage, wer für die nach der Einbindung anfallende Datenübertragung verantwortlich ist. Die Richter in Luxemburg entschieden: Websites, die den Like-Button einbinden, müssen die Nutzerinnen darüber informieren. Dabei geht es jedoch nur um die Erhebung und Übermittlung der Daten – für die anschließende Verarbeitung der Informationen ist Facebook allein zuständig.
WARUM ERST JETZT?
Seit mehreren Jahren argumentieren Datenschützer, dass eine solche Einbindung gegen europäisches Datenschutzrecht verstoßen würde. Mit der Einführung der Datenschutzgrundverordnung (DSGVO) 2018 erhielt die Diskussion neuen Nährboden bzw. neue Rechtsgrundlagen zur genauen Analyse dieser Problematik.
Die Verbraucherzentrale Nordrhein-Westfalen mahnte 2015 sechs Unternehmen ab, die den Facebook-Like-Button auf ihrer Website eingebunden hatten. Eines der Unternehmen war Fashion ID, eine Tochtergesellschaft der Peek & Cloppenburg KG. Die Firma gab keine Unterlassungserklärung ab, die Verbraucherzentrale klagte darauf – und bekam 2016 Recht: Das Landgericht Düsseldorf urteilte, dass Unternehmen über die Weitergabe von Daten durch Like-Buttons aufklären müssen (Az. 12 O 151/15). Fashion ID legte Berufung ein und das Verfahren ging ans Oberlandesgericht (OLG) Düsseldorf (Az. I-20 U 40/16). Das wiederum wandte sich an den EuGH und legte sechs Fragen bezüglich der Auslegung der europäischen Datenschutzrichtlinien vor (Az. C-40/17).
WAS WAR DIE KERNFRAGE, WELCHE DURCH DEN EUGH BEANTWORTET WERDEN SOLLTE?
Kernfrage während der Verhandlungen, blieb immer wer für den Like-Button und somit für die Datenverarbeitung verantwortlich ist. Ist es Facebook selbst oder das Unternehmen, welches den Button auf der Homepage implementiert. Muss also der Webseitenbetreiber eigentlich darauf hinweise und eine Einverständniserklärung einholen? Schon im Juni 2018 beschäftigte sich der EuGH mit einer ähnlichen Frage, damals ging es um die Verantwortung bei Facebook-Fanseiten. Damals entschied der Gerichtshof, dass Websitebetreiber gemeinsam mit Facebook für den Datenschutz verantwortlich sind (Az. C-210/16).
Die Richter urteilten, dass Fashion ID für die Erhebung der Daten und die Weiterleitung an das Netzwerk „als gemeinsam mit Facebook verantwortlich angesehen werden“ kann. Denn Fashion ID und Facebook entschieden auch „gemeinsam über die Zwecke und Mittel“ des Datentransfers. Letztlich gehe es darum, Werbung zu optimieren und damit einen „wirtschaftlichen Vorteil“ zu erreichen.
WIE IST MIT DEM URTEIL UMZUGEHEN?
Die Auslegung des EuGH dürfte eine Vorbildwirkung für künftige Urteile haben, die Social Plugins betreffen, also auch auf anderen Seiten und auch von anderen Anbietern als Facebook. Auch Google, Twitter oder Pinterest bieten ähnliche Schaltflächen an.
Bereits vor diesem Urteil, wurde fleißig diskutiert, wie in Zukunft mit dieser Problematik umgegangen werden kann und ob es eventuell alternative Möglichkeiten gibt. Hinweise in der Datenschutzerklärung über den Einsatz von Social Media Buttons bzw. Sharing-Buttons sind nicht ausreichend, um sich vor einer Abmahnung zu schützen.Wichtig ist vor allem, dass bei einem Besuch der Website nicht direkt Daten an die Kanäle übertragen werden.
Aus diesem Grund empfiehlt Projekt29 generell mindestens mit der 2-Klick-Button zu arbeiten. Dabei werden deaktivierte Buttons bereitgestellt. Diese werden erst aktiv, wenn der Benutzer sie anklickt. Damit wird zwar verhindert, dass bereits beim Aufruf der Website über die Social Media Buttons Daten gesammelt werden. Es erfolgt jedoch keine Aufklärung des Benutzers. Denn dieser erfährt nicht, was passiert, wenn er die Sharing-Buttons aktiviert. Hier könnte als mit einem PopUP-Button gearbeitet werden.
Die beste Alternative zum 2-Klick-Empfehlungsbutton stellt aktuell das Tool Shariff. Mit Shariff können Sie Social Media nutzen, ohne Ihre Privatsphäre unnötig aufs Spiel zu setzen. Das c’t-Projekt Shariff ersetzt die üblichen Share-Buttons der Social Networks und schützt Ihr Surf-Verhalten vor neugierigen Blicken. Dennoch reicht ein einziger Klick auf den Button, um Informationen mit anderen zu teilen. Weiter Informationen finden Sie unter: https://www.heise.de/newsticker/meldung/Datenschutz-und-Social-Media-Der-c-t-Shariff-ist-im-Einsatz-2470103.html
Bis zu einer konkreten Stellungnahme der Aufsichtsbehörde gegenüber dieser Thematik, sollten keine voreiligen Entscheidungen getroffen werden. Bei konkreten Fragen hierzu wenden Sie sich bitte an Ihren Datenschutzbeauftragten.