Foto: dolphfyn - shutterstock.com
Die rechtliche Fragestellung hinter beiden Verfahren ist die gleiche: Wer ist für die Verarbeitung der User-Daten verantwortlich?
Der ursprüngliche Rechtsstreit
Angerufen wurde der EuGH im Vorabentscheidungsverfahren vom OLG Düsseldorf mit der Fragestellung, wer für die Verarbeitung der durch den Like-Button generierten Daten verantwortlich sei (OLG Düsseldorf, Beschl. v. 19.01.2017 - I-20 U 40/16).
Im Ausgangsfall wurde vor dem Landgericht Düsseldorf verhandelt (Urt. v. 9.3.2016 - 12 O 151/15).
Die Verbraucherzentrale NRW hielt die Platzierung des Like-Buttons auf der Website der Fashion ID GmbH & Co. KG für wettbewerbswidrig. Durch den Like-Button werden mittels Plug-Ins Daten zum Surfverhalten, wie beispielsweise die IP-Adresse der Website-Besucher an Facebook weitergegeben. Dafür muss der Like-Button nicht angeklickt werden. Da von Fashion ID keine Einwilligung von den Website-Besuchern eingeholt wurde, klagte die Verbraucherzentrale auf Unterlassen.
Lesetipp: Wann Kunden im Netz ihre Daten preisgeben
Das LG hat sich der Ansicht der Verbraucherzentrale angeschlossen und der Klage weitestgehend stattgegeben. Aufgrund der fehlenden Einwilligung in die Übermittlung der Daten von Website-Besuchern und mangels Information über die Datenverarbeitung bejahten die Richter einen Wettbewerbsverstoß durch das Verwenden des Plug-Ins im Sinne des § 3a UWG i.V.m. §§ 12, 13 TMG.
Dabei vertraten sie den Standpunkt, dass es sich bei jedem Datenschutzverstoß nach TMG auch um einen Wettbewerbsverstoß handele. Durch die Einbindung des Social-Plug-Ins in den Online-Shop habe die Fashion-ID die Erhebung und Verwendung der Daten ausgelöst und sei entsprechend für die Verarbeitung datenschutzrechtlich verantwortlich.
Die Fashion-ID legte Berufung beim OLG Düsseldorf ein, welches sich wiederum an den EuGH wandte.
Facebook-Fanpage: Same same but different?
Schon im Rechtsstreit bezüglich Facebook-Fanpages musste der EuGH entscheiden, ob der Betreiber einer solchen Fanpage für die damit zusammenhängende Datenverarbeitung verantwortlich ist. Denn beim Aufruf einer Fanpage platziert Facebook beim User Cookies, unabhängig davon, ob es sich um einen registrierten Facebook-User handelt oder nicht. Wie im Fall des Like-Buttons hatten die Fanpage-Betreiber selbst keinen Zugriff auf personenbezogene Daten, erhielten von Facebook aber statistische Informationen über die Website-Besucher.
Lesetipp: So surfen Sie auf Android anonym
Hier bejahte der EuGH eine (Mit-)Verantwortlichkeit des Fanpage-Betreibers, da der Fanpage-Betreiber erst durch die Einrichtung seiner Seite Facebook die Möglichkeit gebe, auf dem Computer des Users Cookies zu platzieren. Ins Gewicht falle auch, dass der Fanpage-Betreiber durch die Nutzung von Parametern mitbestimmen könnte, welche Daten verarbeitet werden sollten und dass auch Daten nichtregistrierter Website-Besucher verarbeitet werden. Zwar sind die Beteiligungsbeiträge an der Datenverarbeitung von Fanpagebetreiber und Facebook nicht gleich groß, dies sei für eine gemeinsame Verantwortlichkeit jedoch auch erforderlich, so der EuGH.
Mitverantwortlichkeit auch beim Like-Button?
Ähnlich gestaltet sich die Situation bei der Verwendung des Like-Buttons. Dabei hat der EuGH zunächst klargestellt, dass es nicht erheblich sei, dass der (Mit-)Verantwortliche gar keinen Zugriff auf die personenbezogenen Daten hat. Dass die Daten mittels Plug-Ins vom Website-Besucher direkt an Facebook übermittelt werden, spielt also für die Verantwortlichkeit des Website-Betreibers keine Rolle.
Wie auch bei Fanpages ermöglicht der Website-Betreiber durch integrierte Plug-Ins auf seiner Website die Datenübermittlung an Facebook - er löst die Übermittlung überhaupt erst aus. Zudem werden auch Daten von Personen erhoben, die selbst keine registrierte Facebook-User sind.
Vergleicht man dies mit dem Fanpage-Urteil, fehlt beim Like-Button der Faktor, dass der Website-Betreiber durch Parameter mitentscheiden kann, welche Daten verarbeitet werden. Jedoch sprechen andere Kriterien für eine Verantwortlichkeit: Anders als bei der Fanpage handelt es sich hier um die eigene Website des Betreibers. Während Fanpage-Betreiber die Datenverarbeitung gar nicht verhindern können, entscheidet der Website-Betreiber dagegen selbstständig, ob er den Like-Button auf seiner Website einfügt oder nicht. Somit sprechen eine Vielzahl von Gründen für eine gemeinsame Verantwortlichkeit auch beim Like-Button.
Was müssen Website-Betreiber beachten?
Bejaht der EuGH in seinem in wenigen Monaten erwarteten Urteil tatsächlich eine gemeinsame Verantwortlichkeit von Facebook und dem Website-Betreiber, müssen sich die Website-Betreiber an die DSGVO halten.
Bei den Fanpages kommt Facebook den Website-Betreibern entgegen, indem es nun die Hauptverantwortung für die Verarbeitung der Daten übernimmt.
Eine ähnliche Vorgehensweise ist auch bei den Like-Buttons denkbar, da Facebook großes Interesse an der Verwendung des Plug-Ins hat. Wie eine solche Vereinbarung aussehen könnte und ob es sie überhaupt geben wird, bleibt abzuwarten.
Unabhängig davon werden Website-Betreiber jedoch nicht vollständig von allen Pflichten der DSGVO entbunden werden können, was auch ein Blick in die Vereinbarung mit den Fanpage-Betreibern zeigt: Sie müssen User über die Verarbeitung informieren und eine Rechtsgrundlage für die Verarbeitung benennen.
Folglich sollten Website-Betreiber ihre Datenschutzerklärungen überprüfen und gegebenenfalls anpassen.
Zusätzlich empfehlen wir, nur Links zu den sozialen Netzwerken oder die so genannte "2-Klick"-Lösung zu verwenden.
Dieser Artikel stammt aus dem IDG-Expertennetzwerk. Sie sind Rechtsanwalt? Kommen Sie zu uns