Der Europäische Gerichtshof (EuGH) hat entschieden, dass Websitebetreiber für eine eingebundene “Gefällt mir”-Schaltfläche (auch bekannt als “Like-Button”) neben Facebook nach der DSGVO mitverantwortlich sind (EuGH, 29.07.2019 – C-40/17 “Fashion ID”, Pressemitteilung).
Sachverhalt
Die Verbraucherzentrale erhob vor dem LG Düsseldorf Klage auf Unterlassung gegen einen Online-Händler (Fashion-ID), der einen Facebook-Like-Button (Social-Plugin) in seine Website eingebunden hatte.
Der Hintergrund war, dass durch Einbindung des Facebook-Like-Buttons in der Regel bei Aufruf der Website die dynamische IP-Adresse des Routers des Websitebesuchers, die aufgerufenen Inhalte der Website des Beklagten sowie browserspezifische Informationen direkt von Facebook gesammelt wurden. Der Beklagte übermittelte hingegen keine bei ihm gespeicherten Daten an Facebook. Der Vorwurf bestand darin, dass der Online-Händler die Datenübertragung vom Nutzergerät an Facebook durch die Einbindung des Facebook-Plugin-Codes in den HTML-Code seiner Website überhaupt erst ermöglichte. In der Folge konnte Facebook Cookies auf dem Nutzerendgerät setzen und hierüber zumindest bei registrierten und eingeloggten Mitgliedern personenbezogene Nutzerprofile bilden.
Im Rahmen des Verfahrens hatte das LG Düsseldorf erstinstanzlich über die datenschutzrechtliche Verantwortlichkeit des Beklagten zu entscheiden.
Dem EuGH wurde nicht nur die Grundsatzfrage des „ob“ einer gemeinsamen Verantwortlichkeit des Betreibers und Facebook vorlegt, sondern zudem Fragen zu den Konsequenzen einer gemeinsamen Verantwortlichkeit. Zu beachten ist, dass sich die Vorlagefragen noch auf die alte Rechtslage nach der DS-RL vor der DSGVO beziehen. Trotzdem sind die Antworten des Gerichts weitgehend auf die neue Rechtslage übertragbar, weil die Definition der gemeinsamen Verantwortlichkeit unverändert geblieben ist.
Entscheidung des Gerichts
Der EuGH hat entschieden, dass bei Einbindung des Facebook „Gefällt mir“-Buttons sowohl der Webseitenbetreiber Fashion ID als auch Facebook als Anbieter des Social Plugins gemeinsam verantwortlich sind.
Grund für diese Entscheidung sind die technischen Abläufe auf der betroffenen Webseite. Sobald eine Person die Webseite besucht, die Facebooks „Gefällt mir“-Button enthält, werden Daten erhoben und an Facebook übermittelt. Diese Daten bestehen maßgeblich aus der IP-Adresse des Rechners des Besuchers sowie aus technischen Informationen des genutzten Browsers. Den genauen technischen Sachverhalt hat das vorlegende Gericht im Nachgang zu verifizieren, da dies eine maßgebliche Stellschraube für die Beurteilung der rechtlichen Zulässigkeit darstellt.
Nach Aktenlage ergibt sich für den EuGH, dass Fashion ID das Social Plugin zumindest in dem Wissen in die Webseite eingebunden habe, dass dieses als „Werkzeug zum Erheben und zur Übermittlung von personenbezogenen Daten der Besucher“ dient und damit das Mittel der Datenverarbeitung gemeinsam mit Facebook festgelegt hat.
Die gemeinsam festgelegten Zwecke werden als Optimierung der Produktwerbung auf Seiten von Fashion ID und Verwendung der übermittelten Daten für eigene wirtschaftliche Zwecke auf Seiten von Facebook beschrieben. Der gemeinsamen Zweckbestimmung steht auch nicht entgegen, dass Fashion ID zu den erhobenen und übermittelten Daten nicht selbst Zugang hat.
Als besonders hohe Verantwortlichkeit beurteilt der EuGH nicht zuletzt die Verarbeitung personenbezogener Daten von Webseitenbesuchern, die kein Konto bei Facebook und damit keinen Bezug zu dem sozialen Netzwerk haben.
Fazit
Nicht nur der „Gefällt Mir“-Button, sondern generell alle eingebundenen Dienste von Drittanbietern müssen auf eine gemeinsame Verantwortlichkeit hin geprüft werden. Dabei stößt man auf die erste Schwierigkeit, dass die meisten Anbieter ihren Kunden noch keine Vereinbarungen zur gemeinsamen Verantwortlichkeit gem. Art. 26 DSGVO anbieten werden.
Jedenfalls sollten Webseitenbetreiber sich nun Gedanken über die Nützlichkeit der verwendeten Cookies, Tools, Plugins etc. machen und eine „Nutzen-Risiko-Entscheidung“ treffen. Um Abmahnungen zu vermeiden, müssen aktuell verwendete Cookie-Banner, die lediglich über die Cookies informieren und „Klicken Sie auf OK“ beinhalten, auf den Prüfstand.