Kein „Like“ vom Europäischen Gerichtshof: Unternehmen in der Pflicht bei Social-Media-Plugins

1. August 2019

(c) BBH

Eine Social-Media-Strategie gehört mittlerweile zum Standard einer modernen Unternehmenskommunikation. Auch Energieversorger schätzen den direkten Kontakt zu ihren (potentiellen) Kunden über Facebook, Twitter oder Instagram. Einige präsentieren sich zudem als Top-Arbeitgeber bei Xing, andere zeigen sich bei LinkedIn einem internationalen Publikum. Im Sinne eines cross-medialen Auftritts geht es in der digitalen Welt aber nicht nur um die Präsenz auf der einen oder anderen Plattform, sondern um die Nutzung von Schnittstellen. Durch die Einbettung von sog. Social-Media-Plugins auf der Unternehmens-Website lassen sich bestimmte Inhalte einer Homepage komfortabel per Maus-Klick in sozialen Netzwerken teilen. Ein regelmäßiger Bestandteil dieser Plugins ist der „Gefällt-mir“-Button von Facebook. Und gerade hiermit hat der Europäische Gerichtshof (EuGH) ein Problem.

Denn allein durch die Einbindung des „Like“-Buttons werden persönliche Daten an Facebook übermittelt, ohne dass der Besucher der Homepage den Button tatsächlich anklicken oder überhaupt einen Account bei Facebook haben muss. Zwar kann der Homepage-Betreiber nicht dafür verantwortlich gemacht werden, zu welchem Zweck Facebook die dadurch gewonnenen Daten letztlich verarbeitet. Für die Erhebung und Übermittlung der Daten allerdings leistet der Betreiber sehr wohl einen entscheidenden Beitrag, denn ohne Einbindung des Buttons gäbe es schließlich überhaupt keine Datenübermittlung. Deshalb sei er insoweit auch für die Verarbeitung dieser Daten (mit-)verantwortlich, so der EuGH (Urt. v. 29.07.2019, Az. C-40/17).

Damit sind Betreiber von Webseiten mit integriertem „Like“-Button i.S.d. Datenschutzrechts gemeinsam mit Facebook als Verantwortlicher für die Verarbeitung anzusehen. Der EuGH betont, dass durch eine weite Definition des Begriffs „Verantwortlicher“ ein wirksamer und umfassender Schutz der betroffenen Personen ermöglicht wird; gleichzeitig macht er darauf aufmerksam, dass „gemeinsame“ Verantwortlichkeit eben nicht unbedingt „gleichwertige“ Verantwortlichkeit bedeutet. Verantwortliche für die Datenverarbeitung können in unterschiedlichen Phasen oder Ausmaß bei der Verarbeitung involviert sein. Der Grad der Verantwortlichkeit sei deshalb eine Frage der Einzelfall-Beurteilung. Damit legt der EuGH dieselben Maßstäbe zugrunde, die er bereits im vergangenen Jahr an Facebook-Fanpages angelegt hat (wir berichteten).

Im aktuellen Fall hatte die Verbraucherzentrale NRW geklagt, die auf der Webseite eines deutschen Modeunternehmens einen entsprechenden Hinweis an die Besucher über die Datenübermittlung vermisste, die außerdem ohne deren Einwilligung erfolgte.

Der EuGH gab der Verbraucherzentrale insofern Recht, als er die Informationspflicht über die Datenübermittlung bestätigte. Allerdings nur in Bezug auf die Verarbeitungsvorgänge, für die der Betreiber tatsächlich über die Zwecke und Mittel entscheidet und damit verantwortlich ist. Eine explizite Einwilligung von Seiten der Besucher ist nach Ansicht des EuGH dann nicht notwendig, wenn ein berechtigtes Interesse vorliegt. Dies erinnert an die parallele Diskussion zum „Tracking“ des Nutzerverhaltens und aktuelle Aussagen der deutschen Datenschutzaufsichtsbehörden. Dem Verwender von Tracking-Tools oder „Like“-Buttons obliegt damit die mitunter schwierige Prüfung im Einzelfall, ob ein datenschutzrechtliches Einwilligungsbedürfnis besteht oder nicht.

Das Urteil ist zwar auf Grundlage der „alten Rechtslage“ ergangen (= vor der DS-GVO). Die Regeln zur Verantwortlichkeit nach der DS-GVO sind jedoch mit den früheren Normen vergleichbar, so dass die Aussagen zur gemeinsamen Verantwortlichkeit grundsätzlich auf das neue Recht übertragen werden können. Abschließend muss allerdings nun das OLG Düsseldorf, das den EuGH angerufen hatte, über den Fall entscheiden.

In der Zwischenzeit ist es für Unternehmen ratsam, ihre Webseiten hinsichtlich des Gebrauchs von Social-Media-Plugins abzuklopfen. Mittlerweile gibt es eine Reihe von Alternativen zum klassischen „Like“-Button, die der Datenübermittlung gewisse Schranken setzen. Wer auf die volle Funktionalität der Plugins nicht verzichten möchte, ist verpflichtet, seinen damit verbundenen datenschutzrechtlichen Obliegenheiten nachzukommen. Dazu dürfte neben einer Prüfung der Datenschutzerklärung sowie gegebenenfalls eines Updates derselben auch der Abschluss einer Vereinbarung über die gemeinsame Verantwortlichkeit mit dem Anbieter des Social-Media-Plugins und gegebenenfalls die Einholung einer entsprechenden Einwilligung der Nutzer erforderlich sein.

Ansprechpartner: Dr. Jost Eder/Alexander Bartsch/Thomas Schmeding/Dr. Maximilian Festl-Wietek

Share
Weiterlesen

30 April

Das Solarpaket I ist da: Wichtige Neuerungen im Überblick

Am vergangenen Freitag haben Bundestag und Bundesrat das Solarpaket I beschlossen. Nachdem das Gesetz eigentlich noch in 2023 verabschiedet werden und am 01.01.2024 in Kraft treten sollte, wird es nun voraussichtlich im Mai wirksam werden. Nur ein kleiner Teil des...

Weiterlesen

29 April

Umsatzbesteuerung der öffentlichen Hand: Erneute Verlängerung der Übergangsregelung des § 2b UStG?

Die endgültige Einführung des § 2b UStG könnte erneut verschoben werden, nun auf den 1.1.2027. Dies lässt sich dem Referentenentwurf des Bundesministeriums der Finanzen (BMF) zum Jahressteuergesetz 2024 entnehmen. Damit bekämen Kommunen zwei weitere Jahre Zeit, sich auf die Umstellung...

Weiterlesen