Klage der Verbraucherzentrale NRW
Geklagt hatte die Verbraucherzentrale NRW. Sie hatte der Firma Fashion ID, die E-Commerce-Marke des Düsseldorfer Teils des Bekleidungshändlers Peek & Cloppenburg, vorgeworfen, personenbezogene Daten der Besucher ihrer Website ohne deren Einwilligung und unter Verstoß gegen die Informationspflichten nach den Vorschriften über den Schutz personenbezogener Daten an Facebook Ireland übermittelt zu haben. Tatsächlich waren auf der Webseite von Fashion ID ein Facebook-Like-Button eingebunden. Hierüber wurden die Daten der Webseitenbesucher an Facebook weitergeleitet – und zwar unabhängig davon, ob die Webseitenbesuchger den Button geklickt hatten oder nicht. Erschwerend kam hinzu, dass auch die Daten derjenigen Webseitenbesucher, die keinen Account bei Facebook hatten, von der Datenübertragung betroffen waren.
Verbraucherzentrale NRW nach DSGVO klagebefugt
In seinem Urteil vom heutigen Tag stellt der EuGH zunächst klar, dass die neue Datenschutz-Grundverordnung (DSGVO) Verbänden zur Wahrung von Verbraucherinteressen das Recht einräumt, gegen mutmaßliche Verletzer von Vorschriften zum Schutz personenbezogener Daten Klage zu erheben.
Webseitenbetreiber bei Like-Button nur teilweise verantwortlich
Der EuGH sieht die Webseitenbetreiber bei der Datenverarbeitung über den Like-Button nur teilweise in der Verantwortung: Für die Erhebung der Nutzerdaten und deren Weitergabe an Facebook ist der Webseitenbetreiber gemeinsam mit Facebook verantwortlich. Das bedeutet beispielsweise, dass er den Nutzer seiner Webseite hierüber in der Datenschutzerklärung aufklären muss. Die Verantwortung des Webseitenbetreibers endet dagegen bei der weiteren Verarbeitung der Daten durch Facebook selbst. Hier ist Facebook alleine verantwortlich und muss darüber aufklären, was mit diesen Daten geschieht und wofür sie verwendet werden.
Die Entscheidung des EuGH steht in einer Linie mit dem Urteil des EuGH vom 05.06.2018 (C‑210/16). Hier hatte der EuGH entschieden, dass der Betreiber einer Facebook-Fanpage gemeinsam mit Facebook die datenschutzrechtliche Verantwortung für die Verarbeitung der personenbezogenen Daten der Besucher trägt.
Hinweis zum SOS-Datenschutzerklärungsgenerator
Unser SOS-Datenschutzerklärungsgenerator enthält die entsprechenden Textbausteine, die unseres Erachtens der vom EuGH geforderten Hinweis- und Aufklärungspflicht beim Einsatz von Social-Media-Buttons genügen.
Müssen künftig die Einwilligung der Webseitenbesucher eingeholt werden?
Sofern, so der EuGH, über den Facebook-Like-Button Cookies auf das Gerät des Webseitenbesuchers gesetzt werden, sei eine Einwilligung erforderlich. Da das vorlegende Gericht, das OLG Düsseldorf, hierzu jedoch noch keine Feststellungen getroffen hatte, ließ der EuGH die Frage offen. Das OLG Düsseldorf wird daher den Sachverhalt entsprechend aufklären und eine entsprechende Entscheidung treffen müssen.
Empfehlung: 2-Klick-Lösung
Schon jetzt raten wir dazu, die sogenannte 2-Klick-Lösung oder die "Shariff-Lösung" zu verwenden, da nach Auffassung der Datenschutzbehörden die Erhebung von Daten über sogenannte Share-Buttons ohne eine informierte Einwilligung des Nutzers nicht zulässig ist. Beide Modelle wurden durch das Magazin c't entwickelt. c't beschreibt die Lösungen wie folgt:
"Bei der Zwei-Klick-Lösung ruft der Nutzer erst durch einen Klick die eigentlichen Teilen-Knöpfe auf. Vorher findet keine Datenübertragung statt; ein Tracking durch Dritte ist deshalb nicht möglich – jedenfalls nicht über die Knöpfe. Durch den Klick erklärt sich der Anwender mit der Datenübertragung einverstanden und kann dann Inhalte empfehlen, teilen, twittern.
Die Shariff-Lösung ist der Nachfolger der Zwei-Klick-Lösung. Die neuen Buttons sind einfache HTML-Links, die mit CSS individuell gestaltet werden können und nicht mehr über Umwege eingebettet werden müssen. Damit wird der erste Klick, mit dem die Buttons bisher aktiviert werden mussten, überflüssig."
Wenn Sie weitere Informationen zu den beiden Lösungen suchen, empfehlen wir diesen Beitrag der c't. Weitere Hinweise zur Einbindung der Lösungen und entsprechende Textbausteine finden Sie in unserem SOS-Datenschutzerklärungsgenerator.
Wenn Sie sich nicht sicher sind, ob Sie alles richtig gemacht haben, bitten wir zu Pauschalpreisen ein sogenanntes Webseiten-Audit an, mit dem wir die DSGVO-Konformität Ihrer Webseite überprüfen.