Like-Buttons

EuGH-Urteil zu Like-Buttons: Das müssen Websitebetreiber jetzt wissen

02.08.2019 - Der Europäische Gerichtshof (EuGH) hat jüngst eine für Webseiten- und Shopbetreiber wichtige Grundsatzentscheidung zur Einbindung von Facebook Like-Buttons in die eigene Website getroffen. Sascha Kremer, Fachanwalt für IT-Recht und Datenschutzbeauftragter der Shopware AG, erklärt, was Sitebetreiber beachten müssen.

von Christina Rose

Wer für eine Website sogenannte Social Plugins von Facebook   nutzt, braucht hierfür eine vorherige, ausdrückliche Einwilligung seiner Nutzer und ist gemeinsam mit Facebook für die Datenverarbeitung verantwortlich. Das besagt das Urteil des EuGH vom 29.7.2019   . Vorausgegangen war ein Rechtsstreit zwischen Fashion ID   und der Verbraucherzentrale Nordrhein-Westfalen   (Aktenzeichen: C-40/17). Dabei handelt es sich um eine Grundsatzentscheidung, denn die gerichtlichen Vorgaben gelten für Websites und Apps sowie für fast alle Social Plugins und Trackingtools.

Die Vorgeschichte

Fashion ID, ein Online-Händler für Modeartikel, band in seine Website das Social Plugin "Gefällt mir" ein ("Like Button"). Mit jedem Aufruf der Website wurden personenbezogene Daten jedes Nutzers der Website an Facebook in Irland übermittelt, ohne dass die Nutzer einwilligten, hierüber den gesetzlichen Vorgaben entsprechend informiert wurden und unabhängig davon, ob die Nutzer einen Account bei Facebook hatten oder nicht. Die Verbraucherzentrale Nordrhein-Westfalen hatte Fashion ID deshalb vor dem Landgericht Düsseldorf auf Unterlassung in Anspruch genommen und teilweise gewonnen. Hiergegen war Fashion ID vor dem Oberlandesgericht Düsseldorf in Berufung gegangen, welches den EuGH daraufhin um Klärung verschiedener Rechtsfragen bat (Beschluss v. 19.1.2017 - I-20 U 40/16).

Die wichtigsten Entscheidungen im Einzelnen

Der EuGH hat mit seinem Urteil mehrere Entscheidungen gleichzeitig getroffen:
  • Verbraucherschutzverbände sind zur Geltendmachung von Datenschutzverletzungen jedenfalls nach der alten Datenschutzrichtlinie klagebefugt.
  • Wer das Plugin eines Dritten (hier: Facebook als Plugin-Anbieter) mit wirtschaftlichen Vorteilen in seine Website einbindet, mit dem Tool personenbezogene Daten erhebt und diese an den Plugin-Anbieter übermittelt, geht eine gemeinsame Verantwortlichkeit mit dem Plugin-Anbieter gemäß Art. 26 DS-GVO ein (englisch "Joint Controllership").
  • Wird von einem Plugin ein Cookie auf dem Endgerät des Nutzers abgelegt oder werden vom Plugin (ggf. auch fremde) Cookies oder andere Informationen auf dem Endgerät ausgelesen, bedarf es hierfür einer vorherigen, ausdrücklichen Einwilligung des Nutzers (sog. Opt-in). Ein späterer Widerspruch (sog. Opt-out) ist nicht ausreichend. Der noch geltende § 15 Abs. 3 Telemediengesetz (TMG) kann ab sofort nicht mehr als Rechtsgrundlage herangezogen werden.
  • Bei Aufruf der Website muss die Einwilligung eingeholt und eine gesetzeskonforme Datenschutzinformation gemäß Art. 13, 14, 21 DS-GVO erteilt werden - und zwar zwingend durch den Website-Betreiber. Zugleich müssen auch die besonderen Informationen gemäß Art. 26 Abs. 2 S. 2 DS-GVO über das in gemeinsamer Verantwortlichkeit erfolgende Erheben und Übermitteln der Daten durch den Website-Betreiber an den Plugin-Anbieter zur Verfügung gestellt werden.

Das Urteil bezieht sich konkret auf den Like-Button von Facebook und dessen Einbindung in Websites. Die gerichtlichen Vorgaben gelten aber für alle Plugins und Tools, bei denen die Voraussetzungen aus dem Urteil vorliegen. Sie sind auch nicht auf Websites beschränkt, sondern auf alle Telemedien anwendbar, insbesondere auf Apps. Erfasst sind damit neben dem Like-Button von Facebook grundsätzlich nahezu alle Plugins der sozialen Netzwerke, aber auch das Facebook-Pixel, das LinkedIn Insight-Tag, Analyse-Tools wie Google Analytics oder Heatmap Tools wie Hotjar. Ebenso fallen Tools darunter, die etwa zur Ermöglichung von Push-Funktionalitäten Geräte-Kennziffern (Device-IDs) oder andere Informationen von Endgeräten auslesen.

Folgende Punkte sollte jeder Betreiber einer Website oder eines Shops jetzt prüfen:
  • Welche Plugins/Tools werden für die eigene Website/App genutzt? Häufig ist dies nicht bekannt, weil ein IT-Dienstleister oder eine Agentur nach eigenem Ermessen Tools in die Website/App "eingebaut" haben.
  • Speichern die genutzten Plugins/Tools Informationen auf den Endgeräten der Seiten-Nutzer, insbesondere in Cookies, und übermitteln diese Informationen an den Anbieter? Alternativ: Greifen die genutzten Plugins/Tools auf bereits auf dem Endgerät der Nutzer gespeicherte Informationen zu, die dann an den Anbieter des Plugins/Tools übermittelt werden?
  • Verfolgen Website-/Shop-Betreiber mit der Nutzung der Plugins/Tools gleichartige Zwecke wie dessen Anbieter, insbesondere profitieren sie von der Verarbeitung der mit dem Plugin/Tool erhobenen oder sonst verarbeiteten Informationen durch den Anbieter des Plugins/Tools?

Für jedes Plugin/Tool, für das alle der obenstehenden Fragen mit "ja" beantwortet werden, sind folgende Maßnahmen erforderlich:
  • Abschließen einer Vereinbarung mit dem Anbieter des Plugins/Tools über die gemeinsame Verantwortlichkeit gemäß Art. 26 Abs. 1 S. 2 DS-GVO. Stellt der Anbieter keine solche Vereinbarung zur Verfügung und ist auch nicht bereit, eine vom Seitenbetreiber vorgeschlagene Vereinbarung zu akzeptieren, ist die
    Nutzung des Plugins/Tools immer datenschutzrechtswidrig.
  • Informierung der Nutzer der Website/App über das Plugin/Tool und Zur-Verfügung-Stellen der Datenschutzinformationen gemäß Art. 13, 14, 21 DS-GVO sowie ergänzend die Informationen zur gemeinsamen Verantwortlichkeit gemäß Art. 26 Abs. 2 S. 2 DS-GVO. Das muss passieren, bevor es zur Speicherung von oder zum Zugriff auf Informationen auf dem Endgerät des Nutzers kommt. Das Fehlen der Informationen ist ein Datenschutzverstoß.
  • Einholung einer ausdrücklichen Einwilligung (Opt-in) der Nutzer, die den Vorgaben insbesondere aus Art. 4 Nr. 11, Art. 6 Abs. 1 lit. a) und Art. 7 DS-GVO entspricht, vor Aktivierung des Plugins/Tools sowie Dokumentierung deshierfür implementierten Prozess und der technischen Vorgänge im Zusammenhang mit der Einholung der Einwilligung. Es dürfen erst dann Informationen auf dem Endgerät gespeichert oder von dort abgerufen werden, wenn die Einwilligung des Nutzers vorliegt. Das ist nur möglich, wenn beim ersten Aufruf der Website mit einem Cookie-Overlay oder einer speziellen Landingpage zunächst die Einwilligung abgefragt wird, bevor die Datenverarbeitungen beginnen. Soweit Social-Media-Plugins genutzt werden, kann alternativ eine 2-Klick-Lösung wie der Shariff aus dem Heise Verlag eingesetzt werden. Dann muss die Einwilligung erst mit dem Aktivierungs-Klick des Nutzers auf ein Plugin/Tool eingeholt werden. Ohne die vorherige, ausdrückliche Einwilligung ist die Nutzung des Plugins/Tools datenschutzrechtswidrig. Eine Widerspruchslösung (Opt-out) reicht nicht mehr aus.

Wichtig: Setzen Benutzer ein Plugin/Tool ein, ohne diese Maßnahmen umgesetzt zu haben, laufen diese Gefahr, dass die Datenschutzaufsicht die weitere Nutzung untersagt und ggf. ergänzend eine Geldbuße gegen sie verhängt wird. Zudem können Besucher der Website und ggf. auch Mitbewerber rechtlich gegen Seitenbetreiber vorgehen.

Ihr Guide im New Marketing Management - ab 6,23 im Monat!

Hat Ihnen diese Beitrag weiter geholfen? Dann holen Sie sich die ONEtoONE-Premium-Mitgliedschaft. Sie unterstützen damit die Arbeit der ONEtoONE-Redaktion. Sie erhalten Zugang zu allen Premium-Leistungen von ONEtoONE, zum Archiv und sechs mal im Jahr schicken wir Ihnen die aktuelle Ausgabe.

Mehr zum Thema:
Diskussion:

Vorträge zum Thema:

  • Bild: Markus Bückle
    Markus Bückle
    (econda GmbH)

    Die Herausforderungen im Datenschutz 2023 bewältigen

    Datenschutzkonforme Personalisierungs- und Analyticslösungen werden für die Zukunft immer wichtiger. Wir zeigen Dir, welche Möglichkeiten Du 2023 einsetzen musst, willst Du nicht mit der Zukunft Deines Unternehmens spielen.

    Diese Herausforderungen gibt es 2023 durch den Datenschutz:

    • Wie Personalisierung und Analysesoftware Dein Fachpersonal entlasten können.
    • Wie Du das Kostenargument bewältigst
    • Wieso 2023 der Einsatz von Google Analytics rechtlich bedenklich ist und von vielen Kunden auch schlicht abgelehnt wird.
    • Wie Du Deinen Datenbestand datenschutzkonform selbst aufbaust statt ihn an US-Anbieter zu veschenken

    Vortrag im Rahmen der Zukunftskonferenz 2023. Trends für ECommerce, Marketing und digitales Business am 07.12.22, 10:05 Uhr

www.hightext.de

HighText Verlag

Mischenrieder Weg 18
82234 Weßling

Tel.: +49 (0) 89-57 83 87-0
Fax: +49 (0) 89-57 83 87-99
E-Mail: info@onetoone.de
Web: www.hightext.de

Kooperationspartner des

Folgen Sie uns:



Besuchen Sie auch:

www.press1.de

www.ibusiness.de

www.neuhandeln.de