Seite wählen

EuGH-Urteil zum „Gefällt mir“ Button von Facebook

In einem Streit zwischen einem deutschen Online-Shop und einem Verbraucherverband ging es um die Rechtmäßigkeit des Einsatzes des Facebook “Gefällt mir”-bzw. Like-Button.

Der Gerichtshof der Europäischen Union hat am 29.07.2019 geurteilt:

„Der Betreiber einer Website, in der der „Gefällt mir“-Button von Facebook enthalten ist, kann für das Erheben und die Übermittlung der personenbezogenen Daten der Besucher seiner Website gemeinsam mit Facebook verantwortlich sein“

Was bedeutet das für Sie als Betreiber einer Website?

Vorsicht beim Einsatz des Facebook “Gefällt mir” Buttons

Falls Sie Betreiber einer Website, Blog oder Online-Shop sind und einen Gefällt-Mir-Button von Facebook auf Ihrer Online-Präsenz eingebunden haben, sollten Sie spätestens jetzt darüber nachdenken, ob Sie dies nicht lieber ändern.

Wir sprechen hier vom Gefällt-Mir-Button und von Facebook exemplarisch für alle anderen Buttons und sozialen Netzwerken, welche den gleichen technischen Effekt haben. Ebenso kann man davon ausgehen, dass dies auch für andere Dienste anwendbar ist wie z.B. Tracking- und Online-Marketing-Einbindungen.

Das technische „Problem“ dieser Buttons ist, dass Facebook und Co. durch die Einbindung des Buttons, die Besucher Ihrer Website analysieren können und deren personenbezogene Daten erlangen. Dies gilt nicht nur für Personen die aktiv bei Facebook „mitmachen“, sondern für alle Besucher Ihrer Website.
Sobald ein Besucher Ihre Website öffnet, greift das soziale Netzwerk Daten ab. Dies sind nicht nur Daten wie Informationen über das verwendete Endgerät, sondern auch personenbezogene Daten, die einem besonderen Schutz unterliegen. Die Technik unterscheidet hier nicht zwischen Facebook-Nutzern oder Facebook-Verweigerern.

Gemeinsame Verantwortlichkeit

Tun Sie also „gemeinsame Sache“ mit Facebook, indem Sie sich dazu entschieden haben einen solchen Button einzubinden, geben Sie Facebook die Mittel und Möglichkeiten Datenprofile Ihrer Website-Besucher anzulegen und im Standard auch ohne die Benutzer darüber aufzuklären oder einzuwilligen.

Konsequenterweise sieht der EuGH für diesen Teil des Vorgangs eine gemeinsame Verantwortlichkeit von Ihnen und Facebook.

Lösung dieses Problems kann für Sie als Seitenbetreiber das Vermeiden dieser Buttons sein. Alternativ scheint eine Einwilligung (Opt-In) eine akzeptable Lösung darzustellen. Sichergestellt muss hier sein, dass keinerlei Daten vor der aktiven Einwilligung des Besuchers an Facebook & Co. übertragen werden. Die Möglichkeit durch ein sogenanntes Opt-Out zu widersprechen reicht nicht aus – Sie müssen eine aktive Einwilligung einholen, das Fehlen eines Opt-In kann abgemahnt werden. Nicht nur die Datenschutzbehörde kann hier sanktionieren, auch Verbraucherzentralen können abmahnen, wie im verhandelten Fall.

Wichtig: Die Einwilligung durch Opt-In entlässt Sie als Seitenbetreiber nicht aus der gemeinsamen Verantwortung mit Facebook für den Prozess der Datenerhebung und der Datenübertragung an Facebook. Erst nach der Übertragung sind Sie für das was danach passiert – also wie Facebook die Daten verarbeitet, nicht mehr gemeinsam verantwortlich. Es sei denn, Sie sind Betreiber einer Facebook-Fanpage. Die Facebook Fanpage ist bereits seit 2018 ein Bereich der gemeinsamen Verantwortlichkeit – des Fanpage-Betreibers und Facebook.

Haftung in vollem Umfang

Welche Ausmaße in Bezug auf Haftung dies für Sie haben könnte, formuliert Dr.Schwenke in seinem heute erscheinen Artikel so:

„…Sollte gegen Facebook wegen der Erhebung der Daten der Fanpage- oder Websitebesucher ein Bußgeld (oder eine Schadensersatzzahlung, Abmahnung, Untersagungsverfügung, etc.) ausgesprochen oder verhängt werden, haften Sie zunächst im vollen Umfang mit.“

Eine Ausnahme zu der Einwilligung über ein Opt-In stellt das sogenannte berechtigte Interesse dar. Ob im Fall des Like-Buttons ein berechtigtes Interesse vorliegen kann, ist aktuell nicht entschieden und somit als nicht sicher anzusehen. Die Voraussetzung eines berechtigten Interesses ist, wenn überhaupt nur gegeben, wenn beide Parteien (Sie als Webseitenbetreiber und Facebook) ein solches berechtigtes Interesse haben. Es reicht nicht aus, wenn einer der beiden Parteien ein berechtigtes Interesse rechtfertigen kann. Wir empfehlen daher ein Opt-In, wenn man die Dienste weiterhin einbinden möchte.

Die Umsetzung dieser technischen Punkte ist jedoch auch nur ein Teil der Voraussetzung die Sie als Seitenbetreiber erfüllen müssen, außerdem müssen Sie mit Facebook einen Vertrag über die gemeinsame Verantwortlichkeit schließen und selbstverständlich voll umfänglich in Ihrer Datenschutzerklärung darüber aufklären welche Daten Sie auf Ihrer Website erheben und an wen Sie diese weitergeben.

Cookie Hinweis ist Pflicht

Ein weiterer technischer Aspekt, welcher der Information und der Zustimmung bedarf, ist das Setzen von Cookies.

Facebook setzt ein Cookie auf dem Computer des Users und kann somit den Nutzer nicht nur während dem Aufruf Ihrer Website beobachten, sondern kann Ihn auf Grund des Cookies auf anderen Webseiten wiedererkennen und somit die Daten zusammenführen. Der Effekt ist, dass Facebook & Co. auf diesem Weg detaillierte Profile eines Users anlegen können, welche in Gänze betrachtet ein sehr genaues Bild einer Person ermöglicht. Dieses Profiling des Users führt dazu, dass die Neigungen und Interessen einer Person sehr genau bekannt sind bzw. auch vorhergesagt werden können. Dies trifft nicht nur auf ein mögliches Kaufverhalten zu, sondern auch auf sehr sensible Bereiche wie gesundheitlichen Zustand, finanzielle Situation oder politische Gesinnung.

Verwendet man zustimmungspflichtige Cookies, führt kein Weg an einem Cookie Banner vorbei. Aber Achtung: Nicht jeder im Netz kursierende Cookie-Banner erfüllt auch die Informationspflicht bzw. die technischen Voraussetzungen. Ein weit verbreitetes Problem ist hier der Einsatz von einem Cookie Banner, der lediglich einen Hinweis auf die Verwendung von Cookies gibt. Dies ist nicht ausreichend. Der Cookie-Banner muss verhindern, dass Daten übermittelt werden, deren Übermittlung nicht vorher zugestimmt wurde. Auch hier genügt kein Opt-Out.

Sie können diesen Artikel in einem Netzwerk teilen, per Mail versenden oder ausdrucken

Facebook und der Datenschutz

Facebook ist schon je her ein Netzwerk, dass polarisiert. Jedoch hat es eines geschafft, woran die anderen gescheitert sind.  „Alle“ sind drin, selbst die Skeptiker.

Damit ist Facebook natürlich aus Sicht eines Unternehmens der ideale Ort, um Werbung zu betreiben und „ins Gespräch“ mit potenziellen Kunden zu kommen.

Viele Unternehmer haben auf Facebook als Werbe- und Kommunikationskanal gesetzt. Das macht heute den Ausstieg aus dem Netzwerk schwer. Nicht selten wurde die Unternehmenswebsite vernachlässigt, weil man Neuigkeiten, Angebote und Kundenkommunikation direkt auf Facebook abwickelte. Kunden wie Unternehmen haben sich an dieses Medium gewöhnt. Einige Selbständige haben sogar gänzlich auf eine eigene Webseite verzichtet und nur eine Facebook-Seite betrieben.

Verständlicherweise ist die Verunsicherung groß!

Kann man eine Facebook-Seite datenschutzkonform im Einklang mit der DSGVO betreiben?

Nein! Im Moment kann man das nicht.

In unserem Alltag stellen wir immer wieder fest, dass viele Unternehmer das gar nicht glauben können. Dies für eine Sache der Auslegung halten oder die Sichtweise als „zu streng“ einordnen. Dies ist nicht verwunderlich, zumal in der Vergangenheit selbst Anwälte keine klare Position gegen die kommerzielle Nutzung von Facebook bezogen haben. Außerdem: „Die anderen machen es ja auch“. Nun wollen wir Ihnen nicht mit dem Spruch von Mutter kommen „Wenn ein anderer von der Brücke springt…usw.“ aber genauso ist es nun einmal. Nur, weil es noch viele andere machen, ist es noch lange nicht in Ordnung – und vor allem nicht rechtssicher.

Hier die Fakten:

Am 05.06.2018 urteilt der EUGH: „Der Betreiber einer Facebook-Fanpage ist gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich“ nachzulesen hier: https://curia.europa.eu/jcms/upload/docs/application/pdf/2018-06/cp180081de.pdf

Dies ist natürlich noch nicht als striktes Verbot zu sehen, jedoch müssen Sie sich nach diesem Urteil darüber im Klaren sein, dass Sie als Betreiber einer Facebook Fan-Seite für eventuelle Verstöße genauso zu Verantwortung gezogen werden können, wie Facebook selbst. Hier spielt es keine Rolle, dass Sie überhaupt keine Möglichkeiten oder Mittel haben, Daten, die über Facebook verarbeitet werden zu kontrollieren. Die logische Konsequenz, wenn man nicht mit in die Haftung genommen werden möchte, ist daher keine Facebook Fan-Page zu betreiben. Sie haben (nach aktuellem Stand) keine Möglichkeit Einfluss darauf zu nehmen, welche Daten Facebook von Ihren Kunden verarbeitet, die Kontrolle liegt bei Facebook.

Die DSK (Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder) hat am 06.06.2018 eine Entschließung herausgegeben, die klar das Urteil des EUGH unterstützt und begrüßt. Außerdem sind die durch Facebook zu schaffenden Voraussetzungen noch einmal formuliert, die gegeben sein müssten, um datenschutzkonform agieren zu können. Nachzulesen hier: https://www.datenschutzkonferenz-online.de/media/en/20180605_en_fb_fanpages.pdf

Weiterhin wurde am 05.09.2018 durch die DSK ein Beschluss verfasst, der unter andrem folgendes Aussagt „Auch Fanpage-Betreiberinnen und Betreiber müssen sich ihrer datenschutzrechtlichen Verantwortung stellen. Ohne Vereinbarung nach Art. 26 DSGVO ist der Betrieb einer Fanpage, wie sie derzeit von Facebook angeboten wird, rechtswidrig.“ Hier nachzulesen https://www.datenschutzkonferenz-online.de/media/dskb/20180905_dskb_facebook_fanpages.pdf

Facebook kündigte widerholt an, das Angebot nachzubessern. Einige Veränderungen wurden eingeführt. Nichts desto trotz wurde aktuell am 05.04.2019 folgender Beschluss veröffentlich https://www.datenschutzkonferenz-online.de/media/dskb/20190405_positionierung_facebook_fanpages.pdf der noch einmal auf die durch Facebook eingeführten Veränderungen eingeht und diese als nicht ausreichend klassifiziert: „Sowohl Facebook als auch die Fanpage-Betreiber müssen ihrer Rechenschaftspflicht nachkommen. Die Datenschutzkonferenz erwartet, dass Facebook entsprechend nachbessert und die Fanpage-Betreiber ihrer Verantwortlichkeit entsprechend gerecht werden. Solange diesen Pflichten nicht nachgekommen wird, ist ein datenschutzkonformer Betrieb einer Fanpage nicht möglich.“

Zusammengefasst kann man also nicht davon sprechen, dass die Lage unklar ist. Nach aktuellem Stand sind Facebook-Fanseiten definitiv nicht mit der DSGVO in Einklang zu bringen. Offen bleibt, ob Facebook in der Zukunft eine Lösung für aller geforderten Maßnahmen einführen wird.

Gerne unterstützen wir Sie bei Fragen zu diesem Thema

Sie können diesen Artikel in einem Netzwerk teilen, per Mail versenden oder ausdrucken
head>Your SEO optimized title page contents