© luchschen, 123RF
Der Europäische Gerichtshof hat den Datenschutz bei sozialen Netzwerken gestärkt. Deren Webseiten-Plugins dürfen nicht mehr beliebig Nutzerdaten übertragen.
Plugins sozialer Netzwerke auf Webseiten dürfen nur mit Zustimmung betroffener Nutzer personenbezogene Daten an Anbieter wie Facebook oder Twitter übertragen. Das entschied der Europäische Gerichtshof (EuGH) (Az. 40/17) und bestätigte damit ein Urteil des Landgerichts Düsseldorf vom März 2016.
Nach der EuGH-Entscheidung [1] sind Webseitenbetreiber, die etwa einen “Gefällt mir”-Button von Facebook einbinden, für die Datenverarbeitung mitverantwortlich. Daher seien sie verpflichtet die Einwilligung einzuholen, “da der Verarbeitungsprozess der personenbezogenen Daten dadurch ausgelöst wird, dass ein Besucher diese Website aufruft”.
In dem Verfahren ging es um die Frage, welche datenschutzrechtlichen Verantwortungen sich für Anbieter ergeben, die einen “Gefällt mir”-Button einbinden. Das Oberlandesgericht Düsseldorf hatte den Luxemburger Richtern im Berufungsverfahren im Januar 2017 einen entsprechenden Fragenkatalog [2] vorgelegt (Az: I-20 U 40/16). In dem Verfahren hatte der EuGH-Generalanwalt Michal Bobek im vergangenen Dezember seinen Schlussantrag [3] veröffentlicht, dem die Richter im Wesentlichen gefolgt sind.
Fashion ID profitiert
Geklagt hatte die Verbraucherzentrale NRW [4] gegen den Anbieter Fashion ID, der die Internetseite des Düsseldorfer Modehauses Peek & Cloppenburg betreibt. Mittlerweile muss der Nutzer dort Social-Media-Dienste explizit aktivieren und stimmt damit zu, “dass Daten an die Betreiber der sozialen Netzwerke übertragen werden”. Die Verbraucherzentrale NRW hatte sechs Unternehmen wegen des Like-Buttons abgemahnt.
Die Richter gehen davon aus, “dass Fashion ID und Facebook Ireland gemeinsam über die Zwecke der Vorgänge des Erhebens der im Ausgangsverfahren in Rede stehenden personenbezogenen Daten und der Weitergabe durch Übermittlung entscheiden”. Zur Begründung heißt es: “Um in den Genuss dieses wirtschaftlichen Vorteils kommen zu können, der in einer solchen verbesserten Werbung für ihre Produkte besteht, scheint Fashion ID mit der Einbindung eines solchen Buttons in ihre Website zumindest stillschweigend in das Erheben personenbezogener Daten der Besucher ihrer Website und deren Weitergabe durch Übermittlung eingewilligt zu haben.”
Beschränkte Verantwortung
Die daraus resultierende Verantwortlichkeit erscheine sogar noch höher, wenn die Nutzer über kein eigenes Facebook-Konto verfügten, “da das bloße Aufrufen einer solchen Website, die den ,Gefällt mir’-Button von Facebook enthält, offenbar automatisch die Verarbeitung ihrer personenbezogenen Daten durch Facebook Ireland auslöst”. Dabei verweisen die Richter auf das Urteil zu Facebook-Fanpages, das dem Betreiber ebenfalls eine Mitverantwortung beim Datenschutz zugesprochen hatte.
Dem Urteil zufolge sind die Webseitenbetreiber jedoch nicht für alle Datenverarbeitungsvorgänge verantwortlich, die sich aus der Einbindung der Social-Plugins ergeben. Die Verantwortung beschränke sich auf Vorgänge, “für den beziehungsweise für die er tatsächlich über die Zwecke und Mittel entscheidet”. Die entsprechenden Verpflichtungen für Einwilligung und Informationen erstreckten sich daher “nicht auf Vorgänge der Verarbeitung personenbezogener Daten, die andere, diesen Vorgängen vor- oder nachgelagerte Phasen betreffen, die die Verarbeitung der in Rede stehenden personenbezogenen Daten gegebenenfalls mit sich bringt”.
Aus dem Urteil geht nicht hervor, an welcher Stelle die Nutzer ihre Einwilligung für vor- oder nachgelagerte Verarbeitungsvorgänge geben können. Für Nutzer, die kein eigenes Konto bei dem sozialen Netzwerk haben, besteht daher weiterhin eine Schutzlücke.
Klagerecht bestätigt
Außerdem bestätigte der EuGH das Klagerecht deutscher Verbraucherverbände in Datenschutz-Fragen auf europäischer Ebene. Der Entscheidung zufolge steht die frühere EU-Datenschutzrichtlinie keiner nationalen Regelung entgegen, “die es Verbänden zur Wahrung von Verbraucherinteressen erlaubt, gegen den mutmaßlichen Verletzer von Vorschriften zum Schutz personenbezogener Daten Klage zu erheben”.
Diese Entscheidung hat Auswirkungen auf eine weitere Datenschutzklage im Zusammenhang mit Facebook. In diesem Fall ging es um die Datenweitergabe von Facebook an App-Anbieter. Im April 2019 hatte der Bundesgerichtshof (BGH) Zweifel an der Klagemöglichkeit von Verbänden beim Datenschutz geäußert. Da das Oberlandesgericht Düsseldorf den Luxemburger Richtern eine entsprechende Frage zum Verbandsklagerecht vorgelegt hatte, hatte der BGH sein eigenes Verfahren vorläufig ausgesetzt.
Die Verbraucherzentrale NRW [5] begrüßte das Urteil: “Der Praxis von Facebook, mittels des Like-Buttons Daten ohne Wissen der Nutzer abzugreifen, um sie für weitere Zwecke – etwa für passgenaue Werbung – zu verwenden, wird nun ein Riegel vorgeschoben. Unternehmen, die von den Daten der Verbraucher profitieren, müssen jetzt ihrer Verantwortung gerecht werden.” Das Oberlandesgericht werde sich im Berufungsverfahren dazu äußern müssen, ob eine ausdrückliche Einwilligung der betroffenen Nutzer erforderlich gewesen sei.
IT-Wirtschaft warnt
Die IT-Wirtschaft warnte vor den Folgen der Entscheidung. Damit bürde der EuGH Tausenden Webseitenbetreibern eine enorme Verantwortung auf – vom kleinen Reiseblog bis zum Online-Megastore und den Portalen großer Verlage, sagte Bitkom-Hauptgeschäftsführer Bernhard Rohleder [6] und fügte hinzu: “Nicht nur wer den Like-Button eingebunden hat, muss jetzt handeln. Das Urteil wird sich auf alle gängigen Social-Media-Plugins auswirken. Webseitenbetreiber müssen nun mit Facebook und anderen Social-Media-Anbietern Vereinbarungen schließen, ansonsten können sie in Haftungsfallen laufen.”
Der bürokratische Aufwand bei Webseitenbetreibern steigt nach Ansicht des Bitkom stark. Dennoch werde sich das Datenschutzniveau kaum ändern, da bereits heute praktikable Zwei-Klick-Lösungen für solche Plugins im Einsatz seien.
Abbildung 1: Das Urteil mache die Nutzung von Webseiten kompliziert, kritisiert BVDW-Vizepräsident Thomas Duhr. Quelle: BVDW
Ähnlich äußerte sich der Bundesverband Digitale Wirtschaft (BVDW). Die erforderliche Einwilligung für alle Nutzer “macht jede Webseitennutzung aus Sicht der Nutzer maximal kompliziert und umständlich”, kritisierte Vizepräsident Thomas Duhr [7]. Der BVDW verweist ebenfalls auf so genannte Zwei-Klick-Lösungen oder den von Heise entwickelten Shariff-Button [8]. “Beide Lösungen stellen sicher, dass sich Nutzer bewusst für die Interaktion durch soziale Netzwerke in diesem Kontext entscheiden. Somit müssen sich nicht alle Besucher einer Seite durch Einwilligungstiraden quälen. Vor allem, weil es viele Nutzer eben doch nicht direkt betrifft”, fügte Duhr (Abbildung 1) hinzu.
Infos
-
EuGH-Entscheidung: http://curia.europa.eu/juris/document/document.jsf?text=&docid=216555&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=4689341
-
Fragenkatalog Verbraucherzentrale: https://www.justiz.nrw.de/nrwe/olgs/duesseldorf/j2017/I_20_U_40_16_Beschluss_20170119.html
-
Antrag EuGH-Generalanwalt: https://curia.europa.eu/jcms/upload/docs/application/pdf/2018-12/cp180206de.pdf
-
Klage Verbraucherzentrale NRW:https://www.verbraucherzentrale.nrw/aktuelle-meldungen/digitale-welt/eughgeneralanwalt-aeussert-sich-zum-likebutton-von-facebook-12029
-
Statement Verbraucherzentrale NRW: https://www.verbraucherzentrale.nrw/pressemeldungen/presse-nrw/facebooklikebutton-auf-firmenwebsites-eugh-staerkt-datenschutz-38477
-
Bitkom-Statement: https://www.bitkom.org/Presse/Presseinformation/Bitkom-zur-heutigen-EuGH-Entscheidung-ueber-Facebook-Buttons
-
BVDW-Statement: https://www.bvdw.org/der-bvdw/news/detail/artikel/bvdw-zu-eugh-urteil-pauschale-einwilligung-kritisch/
-
Shariff-Button: https://www.heise.de/newsticker/meldung/Datenschutz-und-Social-Media-Der-c-t-Shariff-ist-im-Einsatz-2470103.html
