Menü

EuGH-Urteil: Like-Button von Facebook nur mit Info an Nutzer

Stand:

Verstoßen deutsche Internetseiten mit dem Einsatz von Facebook-Plugins gegen Datenschutzrecht? Aus Sicht des Europäischen Gerichtshofs (EuGH) sind Betreiber von Internetseiten, die solche Social Plugins einsetzen, für Facebooks Datensammlung mit verantwortlich.

Das Wichtigste in Kürze:

  • Aus Sicht der Verbraucherzentrale NRW verstoßen deutsche Internetseiten mit dem Einsatz von Facebook-Plugins gegen Datenschutzrecht, wenn sie bereits beim Aufruf einer Seite ohne Info persönliche Daten des Nutzers an Facebook übertragen.
  • Der Europäische Gerichtshof (EuGH) hat am 29. Juli 2019 diese Ansicht bestätigt.
  • Betreiber einer Internetseite mit Like-Button von Facebook sind für die Einhaltung der Datenschutzbestimmungen mitverantwortlich.
Auf einer Computertastatur liegt eine Brille, in der sich das Facebook-Logo spiegelt.
Off

Wer eine Internetseite betreibt und auf dieser den "Gefällt mir"-Button von Facebook so implementiert, dass bereits durch den Aufruf der Seite personenbezogene Daten wie die IP-Adresse des Nutzers an Facebook übertragen werden, ist neben Facebook für die Einhaltung von datenschutzrechtlichen Regelungen mitverantwortlich. So sieht es der Europäische Gerichtshof (EuGH). Schon dessen Generalanwalt Michal Bobek hatte die gleiche Einschätzung am 19. Dezember 2018 im Rahmen eines Verfahrens der Verbraucherzentrale NRW gegen das Unternehmen Fashion ID verkündet (C-40/17). Fashion ID betreibt die Internetseite des Düsseldorfer Modehauses Peek & Cloppenburg.

Laut EuGH gilt diese Verantwortlichkeit für die Verarbeitungsvorgänge, auf die der Seitenbetreiber tatsächlich Einfluss hat. Im Falle des "Gefällt mir"-Buttons ist dies die Phase der Erhebung der Daten durch das Einbetten des Buttons sowie die Übermittlung der erhobenen Nutzerdaten an Facebook, die durch Aufruf der eigenen Seite initiiert wird. Dies hat zur Folge, dass der Seitenbetreiber – soweit erforderlich – eine Einwilligung des Nutzers einholen und diesen über die Datenverarbeitung informieren muss, bevor eine Erhebung und Übermittlung der Daten erfolgt.

Der EuGH hat außerdem die Frage bejaht, ob die Verbraucherzentrale NRW überhaupt Klage in Datenschutzfragen erheben durfte.

Auch gegen Payback hat die Verbraucherzentrale NRW ein Verfahren wegen der Verwendung von Social Plugins geführt. Payback hat ein Urteil des Landgerichts München anerkannt.

Like-Button sendet Nutzerdaten an Facebook

Facebook stellt so genannte Social Plugins wie den Like-Button für Website-Betreiber als Programmcode zur Verfügung. Wird der ohne Veränderung in Internetseiten eingebaut, sendet er schon beim Aufbau dieser Internetseiten Nutzerdaten an Facebook. Das sind zum Beispiel die IP-Adresse und Browser-Informationen des Nutzers. Dies geschieht, ohne dass der Seitenbesucher darüber aufgeklärt wird oder eine Möglichkeit hätte, dem zu widersprechen. Dabei werden auch Daten von Besuchern erfasst und gesendet, die gar kein Facebook-Profil besitzen.

Die Verbraucherzentrale NRW hält dies für rechtswidrig und hat bereits 2015 unter anderem die Fashion ID GmbH & Co. KG abgemahnt und aufgefordert, die Einbettung des Like-Buttons zu unterlassen, ohne eine entsprechende Einwilligung der Nutzer einzuholen bzw. diese zuvor über die Datenverarbeitung zu informieren. Das Landgericht (LG) Düsseldorf hat am 9. März 2016 entschieden, dass der Onlineshop-Betreiber gegen geltendes Datenschutzrecht verstoße (Az.: 12 O 151/15), weil er das Plugin von Facebook nutzte und Seitenbesucher nicht ausreichend darüber informierte.

Berufungsverfahren am OLG Düsseldorf ausgesetzt

Fashion ID ging in Berufung vor das Oberlandesgericht (OLG) Düsseldorf (Az.: I-20 U 40/16). Diesem Verfahren ist Facebook auf Seiten von Fashion ID beigetreten. Im Januar 2017 hat das OLG beschlossen, sich in sechs datenschutzrechtlich relevanten Fragen an den EuGH in einem sogenannten Vorabentscheidungsverfahren zu wenden. Bis zur Beantwortung der Fragen durch den EuGH wurde das Verfahren vor dem OLG Düsseldorf ausgesetzt.

Buttons zu sozialen Netzwerken sind bei Webseitenbetreibern beliebt: Das Liken und Teilen bringt mehr Besucher, mehr Traffic, mehr Feedback und zieht Kreise als kostenloses Empfehlungsmarketing. Doch wenn mit der Implementierung dieser Social-Plugins alle Nutzungsdaten automatisch, unbemerkt und ohne vorherige Einwilligung bei Betreibern wie Facebook landet, kommt dies einem Ausverkauf der informationellen Selbstbestimmung gleich. Aus Sicht der Verbraucherzentrale NRW ist dies ein unlauteres Geschäftsgebaren und verstößt gegen das Telemediengesetz. Außerdem enttäuschen diese Unternehmen das Vertrauen ihrer Kunden, die nicht damit rechnen, dass sie allein schon durch den Like-Button zur Daten-Melk-Kuh für Facebook werden.

Mit dem "Gefällt mir"-Button setzt Facebook sogenannte Cookies auf die Rechner der Seitenbesucher. So werden ihre Daten automatisch an Facebook weitergegeben, weil der Browser eine Verbindung mit den Servern dieses Netzwerks aufbaut. Das widerspricht deutschen und europäischen Datenschutzstandards, die eine Weitergabe stets nur mit ausdrücklicher Einwilligung der Betroffenen erlauben. Wer im Netz nach Reisezielen sucht, eine Konzertkarte kauft oder nach dem passenden Outfit stöbert, muss nicht davon ausgehen, dass diese Aktivitäten dann sofort auch von Facebook mitgelesen werden. Allein der Besuch einer Seite mit einem "Gefällt mir"-Button bedeutet noch nicht, dass der Surfer mit der anschließenden automatischen Übertragung, Speicherung und Auswertung seines Surfverhaltens einverstanden ist.

Betroffen sind auch Seitenbesucher ohne Facebook-Account: Die IP-Adressen können mit Hilfe der Cookies wiedererkannt und daraus anonyme Surferprofile angelegt werden. Auf die kann Facebook dann zurückgreifen, wenn sich Nutzer dort irgendwann anmelden sollten.

Am 9. November 2015 entschied ein belgisches Gericht bereits, dass Facebook das Surfverhalten von Nicht-Mitgliedern nicht mehr verfolgen dürfe.

Ein bloßer Hinweis der Anbieter in ihren Datenschutzbestimmungen, dass eine solche Weiterleitung der Daten an Facebook erfolgt, genügt nicht. Ein Passus im Kleingedruckten, dass das Unternehmen keinen Einfluss auf den Umfang der Daten hat, die das soziale Netzwerk mit Hilfe der Plugins erhebt, liefert kein stichhaltiges Alibi. Ebenso wenig wie der Verweis auf die Datenschutzbestimmungen von Facebook. Notwendig ist eine echte Aufklärung über die Datensammlung und -verwertung. Alles mit dem Ziel, Verbraucher in ihrer Entscheidungs- und Verhaltensfreiheit zu schützen.