EuGH-Urteil: Was Du jetzt tun musst, wenn Du Gefällt-mir-Buttons auf Deiner Website benutzt

von Michael Feike
| Lesedauer 3 Minuten |

Der Europäische Gerichtshof (EuGH) berichtet in einer kürzlich veröffentlichten Pressemeldung von seinem Urteil, dass Websitebetreiber bei Einbindung eines Gefällt-mir-Buttons von Facebook für die Erhebung und Übermittlung von personenbezogenen Besucherdaten zusammen mit Facebook verantwortlich gemacht werden können. Wenn Du ebenfalls den Like-Button von Facebook oder andere Social-Media-Plugins auf Deiner Website nutzt, dann solltest Du das Folgende jetzt wissen, wobei die Informationen in diesem Artikel keine Rechtsberatung darstellen.

Warum ist der Like-Button bedenklich für den Datenschutz?

Den Button mit dem ausgestreckten Daumen kennt wahrscheinlich jeder von Facebook. Dieser Like-Button dient dazu, bei Facebook zu zeigen, dass dem User etwas gefällt. Aber auch außerhalb der Facebook-Seite begegnet uns der Like-Button immer wieder. Denn jeder Websitebetreiber kann diesen Button mittels Plugin auf der eigenen Website einbinden, damit die Websitebesucher möglichst unkompliziert Inhalte teilen können. Sobald der User den Button klickt, werden jedoch in der Regel personenbezogene Daten erhoben und an Facebook weitergeleitet, etwa die IP-Adresse und Cookies, die personenbezogene Daten der User enthalten. Das geschieht auch dann, wenn der User bei Facebook nicht eingeloggt oder sogar wenn er gar kein Facebook-Mitglied ist. Davon erfährt der User im Allgemeinen aber nichts – und das wird mit dem neuen Urteil als unzulässig erachtet.

Auf welchen konkreten Fall bezieht sich das EuGH-Urteil?

2015 hatte die Verbraucherzentrale NRW insgesamt sechs Unternehmen abgemahnt, die den Like-Button von Facebook auf der Website eingebunden hatten. Eines der Unternehmen – Fashion ID, eine Tochtergesellschaft der Peek & Cloppenburg KG – verweigerte die Unterlassungserklärung, woraufhin die Verbraucherzentrale Klage einreichte und 2016 Recht bekam. Das Urteil vom Landgericht Düsseldorf  besagte, dass ein Unternehmen die User über die Datenübermittlung vorher informieren müsse, woraufhin Fashion ID Berufung gegen das Urteil einlegte. So erreichte das Verfahren das Oberlandesgericht (OLG) Düsseldorf, das sich mit einem Entschluss  und sechs konkreten Fragen zur Auslegung der europäischen Datenschutzrichtlinien an den EuGH wandte. Hier wurde letztendlich das Urteil gefällt.

Wer trägt laut EuGH die Verantwortung beim Like-Button?

Laut dem Urteil des EuGH wurde entschieden, dass ein Websitebetreiber zwar keine Verantwortung dafür trägt, wie Facebook die Daten nutzt, aber er trägt durchaus einen Teil der Verantwortung dafür, dass diese Daten erhoben und übermittelt werden. Als Websitebetreiber musst Du Deine User also darüber aufklären, dass diese Daten erhoben werden und warum!

Das Urteil verwundert nicht. Bereits im Juni 2018 beschäftigte sich der EuGH mit der Frage nach der Verantwortung bei Facebook-Fanseiten, wobei das damalige Urteil ähnlich ausfiel.

Was musst Du als Websitebetreiber jetzt tun?

Das Urteil bezieht sich noch auf die Richtlinie 95/46/EG, weil das Verfahren schon seit 2015 lief und die DSVGO erst 2018 in Kraft trat. Da die DSGVO aber ähnliche Datenschutzregeln wie die Vorgängerrichtlinie 95/46/EG hat, lässt sich das Urteil auch weitgehend auf heute übertragen.

Wenn Du den Like-Button auf Deiner Website verwendest, musst Du also eine technische Lösung finden, dass die Datenübermittlung erst nach der Einwilligung des Users stattfindet. Dazu bietet sich zum Beispiel die Zwei-Klick-Lösung an, bei der zunächst ein Bild des Gefällt-mir-Buttons eingeblendet wird und erst nach dem Klicken einer Bestätigung die Datenübermittlung beginnt. Oder Du arbeitest mit einem Pop-up, das auf die Datenerhebung und die Datenschutzbestimmungen hinweist.

Wichtig zu wissen: Viele Buttons andere Social-Media-Plattformen, wie Twitter oder Pinterest, funktionieren übrigens ähnlich wie der Button von Facebook. Du solltest also davon ausgehen, dass Du auch diese Buttons ebenso rechtssicher machen solltest.

Schon an Cookie-Bestätigung gedacht?

Seit Inkrafttreten der DSVGO im Mai 2018 sind Websitebetreiber bereits verpflichtet, sich die Einwilligung ihrer User vorab einzuholen, wenn sie auf ihrer Seite Tracking- und Onlinemarketing-Tools usw. nutzen. Das gilt für alle Fälle, bei denen Daten auf den Geräten der User gespeichert oder ausgelesen werden. Daher sind Cookie-Opt-In-Banner schon lange Pflicht, was sich aber immer noch nicht bei allen Websitebetreibern rumgesprochen hat. Auch müssen die Websitebesucher in der Datenschutzerklärung der Website einen Hinweis auf alle verwendeten Dienste, wie Tracking-Tools oder Social-Media-Plugins, finden. Hast Du das nicht erledigt, solltest Du Dich schnell darum kümmern.

Fazit: Mit Pop-up- oder Zwei-Klick-Lösung auf Nummer sicher

Laut dem neuen Urteil des EuGH sind Websitebetreiber, die einen Gefällt-mir-Button von Facebook eingebunden haben, gemeinsam mit Facebook dafür verantwortlich, die User der Website zu informieren, dass mit dem Klick auf den Button personenbezogene Daten gesammelt und an Facebook weitergeleitet werden. Was Facebook mit den Daten macht, liegt wiederum nicht in der Verantwortung des Websitebetreibers.

Um Deine Website rechtssicher zu machen, solltest Du bei Deinen Like-Buttons und am besten auch alle anderen Social-Media-Buttons umgehend eine Zwei-Klick-Lösung oder eine Pop-up-Warnung mit Hinweis auf die Datenschutzbestimmungen installieren. So kannst Du teuren Abmahnungen entgehen, die infolge des Urteil sicher jetzt öfter in die Briefkästen unwissender Websitebetreiber flattern werden.

Weitere Artikel zum Thema