In einem Streit zwischen einem deutschen Online-Shop und einem Verbraucherverband ging es um die Rechtmäßigkeit des Einsatzes des Facebook “Gefällt mir”-bzw. Like-Button.
Der Gerichtshof der Europäischen Union hat am 29.07.2019 geurteilt:
„Der Betreiber einer Website, in der der „Gefällt mir“-Button von Facebook enthalten ist, kann für das Erheben und die Übermittlung der personenbezogenen Daten der Besucher seiner Website gemeinsam mit Facebook verantwortlich sein“
Was bedeutet das für Sie als Betreiber einer Website?
Vorsicht beim Einsatz des Facebook “Gefällt mir” Buttons
Falls Sie Betreiber einer Website, Blog oder Online-Shop sind und einen Gefällt-Mir-Button von Facebook auf Ihrer Online-Präsenz eingebunden haben, sollten Sie spätestens jetzt darüber nachdenken, ob Sie dies nicht lieber ändern.
Wir sprechen hier vom Gefällt-Mir-Button und von Facebook exemplarisch für alle anderen Buttons und sozialen Netzwerken, welche den gleichen technischen Effekt haben. Ebenso kann man davon ausgehen, dass dies auch für andere Dienste anwendbar ist wie z.B. Tracking- und Online-Marketing-Einbindungen.
Das technische „Problem“ dieser Buttons ist, dass Facebook und Co. durch die Einbindung des Buttons, die Besucher Ihrer Website analysieren können und deren personenbezogene Daten erlangen. Dies gilt nicht nur für Personen die aktiv bei Facebook „mitmachen“, sondern für alle Besucher Ihrer Website.
Sobald ein Besucher Ihre Website öffnet, greift das soziale Netzwerk Daten ab. Dies sind nicht nur Daten wie Informationen über das verwendete Endgerät, sondern auch personenbezogene Daten, die einem besonderen Schutz unterliegen. Die Technik unterscheidet hier nicht zwischen Facebook-Nutzern oder Facebook-Verweigerern.
Gemeinsame Verantwortlichkeit
Tun Sie also „gemeinsame Sache“ mit Facebook, indem Sie sich dazu entschieden haben einen solchen Button einzubinden, geben Sie Facebook die Mittel und Möglichkeiten Datenprofile Ihrer Website-Besucher anzulegen und im Standard auch ohne die Benutzer darüber aufzuklären oder einzuwilligen.
Konsequenterweise sieht der EuGH für diesen Teil des Vorgangs eine gemeinsame Verantwortlichkeit von Ihnen und Facebook.
Lösung dieses Problems kann für Sie als Seitenbetreiber das Vermeiden dieser Buttons sein. Alternativ scheint eine Einwilligung (Opt-In) eine akzeptable Lösung darzustellen. Sichergestellt muss hier sein, dass keinerlei Daten vor der aktiven Einwilligung des Besuchers an Facebook & Co. übertragen werden. Die Möglichkeit durch ein sogenanntes Opt-Out zu widersprechen reicht nicht aus – Sie müssen eine aktive Einwilligung einholen, das Fehlen eines Opt-In kann abgemahnt werden. Nicht nur die Datenschutzbehörde kann hier sanktionieren, auch Verbraucherzentralen können abmahnen, wie im verhandelten Fall.
Wichtig: Die Einwilligung durch Opt-In entlässt Sie als Seitenbetreiber nicht aus der gemeinsamen Verantwortung mit Facebook für den Prozess der Datenerhebung und der Datenübertragung an Facebook. Erst nach der Übertragung sind Sie für das was danach passiert – also wie Facebook die Daten verarbeitet, nicht mehr gemeinsam verantwortlich. Es sei denn, Sie sind Betreiber einer Facebook-Fanpage. Die Facebook Fanpage ist bereits seit 2018 ein Bereich der gemeinsamen Verantwortlichkeit – des Fanpage-Betreibers und Facebook.
Haftung in vollem Umfang
Welche Ausmaße in Bezug auf Haftung dies für Sie haben könnte, formuliert Dr.Schwenke in seinem heute erscheinen Artikel so:
„…Sollte gegen Facebook wegen der Erhebung der Daten der Fanpage- oder Websitebesucher ein Bußgeld (oder eine Schadensersatzzahlung, Abmahnung, Untersagungsverfügung, etc.) ausgesprochen oder verhängt werden, haften Sie zunächst im vollen Umfang mit.“
Eine Ausnahme zu der Einwilligung über ein Opt-In stellt das sogenannte berechtigte Interesse dar. Ob im Fall des Like-Buttons ein berechtigtes Interesse vorliegen kann, ist aktuell nicht entschieden und somit als nicht sicher anzusehen. Die Voraussetzung eines berechtigten Interesses ist, wenn überhaupt nur gegeben, wenn beide Parteien (Sie als Webseitenbetreiber und Facebook) ein solches berechtigtes Interesse haben. Es reicht nicht aus, wenn einer der beiden Parteien ein berechtigtes Interesse rechtfertigen kann. Wir empfehlen daher ein Opt-In, wenn man die Dienste weiterhin einbinden möchte.
Die Umsetzung dieser technischen Punkte ist jedoch auch nur ein Teil der Voraussetzung die Sie als Seitenbetreiber erfüllen müssen, außerdem müssen Sie mit Facebook einen Vertrag über die gemeinsame Verantwortlichkeit schließen und selbstverständlich voll umfänglich in Ihrer Datenschutzerklärung darüber aufklären welche Daten Sie auf Ihrer Website erheben und an wen Sie diese weitergeben.
Cookie Hinweis ist Pflicht
Ein weiterer technischer Aspekt, welcher der Information und der Zustimmung bedarf, ist das Setzen von Cookies.
Facebook setzt ein Cookie auf dem Computer des Users und kann somit den Nutzer nicht nur während dem Aufruf Ihrer Website beobachten, sondern kann Ihn auf Grund des Cookies auf anderen Webseiten wiedererkennen und somit die Daten zusammenführen. Der Effekt ist, dass Facebook & Co. auf diesem Weg detaillierte Profile eines Users anlegen können, welche in Gänze betrachtet ein sehr genaues Bild einer Person ermöglicht. Dieses Profiling des Users führt dazu, dass die Neigungen und Interessen einer Person sehr genau bekannt sind bzw. auch vorhergesagt werden können. Dies trifft nicht nur auf ein mögliches Kaufverhalten zu, sondern auch auf sehr sensible Bereiche wie gesundheitlichen Zustand, finanzielle Situation oder politische Gesinnung.
Verwendet man zustimmungspflichtige Cookies, führt kein Weg an einem Cookie Banner vorbei. Aber Achtung: Nicht jeder im Netz kursierende Cookie-Banner erfüllt auch die Informationspflicht bzw. die technischen Voraussetzungen. Ein weit verbreitetes Problem ist hier der Einsatz von einem Cookie Banner, der lediglich einen Hinweis auf die Verwendung von Cookies gibt. Dies ist nicht ausreichend. Der Cookie-Banner muss verhindern, dass Daten übermittelt werden, deren Übermittlung nicht vorher zugestimmt wurde. Auch hier genügt kein Opt-Out.
Ich bin seit 1998 in der Werbebranche tätig und spezialisierte mich nach eineinhalb Jahren “Full-Service-Agentur” 1999 auf Web-Projekte. Ich habe somit noch die Zeit erlebt, in der jede Website individuell programmiert werden musste und ein Handy noch nichts anders als telefonieren konnte. Einige Systeme kamen und gingen. Disruption ist in unserer Branche schon immer ein ständiger Begleiter, weshalb ein wichtiger Teil unserer Geschichte die Weiterentwicklung ist. Meine Themen sind daher nicht nur die Umsetzung und Optimierung von Webseiten oder Shopsystemen, über die ich hier schreibe, sondern auch die Datensicherheit ein wichtiger Bestandteil des Datenschutz. Fragen hierzu beantworte ich gerne.