Der Europäische Gerichtshof (EuGH) hat kürzlich eine Entscheidung getroffen, die für viele Webseitenbetreiber Auswirkungen haben wird. Und zwar sind die Betreiber einer Webseite gemeinsam mit Facebook für die Verarbeitung von Daten bei der Verwendung von Facebook-Like-Buttons verantwortlich.

Wo liegt das Problem?

Mit der Einbindung eines Like-Buttons auf einer Webseite erhebt Facebook ab dem Zeitpunkt des Seitenaufrufs Daten des Websitebesuchers. Dazu gehören, die dynamische IP-Adresse des Routers, die aufgerufenen Inhalte der Webseite und Informationen zum Browser. Diese Informationen gehen direkt an Facebook, ohne dass der Webseitenbetreiber einen Zugriff auf die Daten hat. Die Verbraucherzentrale wollte in diesem Zusammenhang die datenschutzrechtliche Verantwortung für diesen Vorgang klären und erhob Klage auf Überlassung beim Landgericht Düsseldorf. Dieses hat die Frage nach der Verantwortlichkeit an den EuGH weitergegeben.

Was wurde entschieden?

Die gemeinsame Verantwortung für die Verwendung von Like-Buttons wurde vom EuGH grundsätzlich bejaht. Dabei kommt es auch nicht darauf an, dass der Webseitenbetreiber letztendlich gar keinen Zugriff auf die erhobenen Daten hat. Die Verantwortlichkeit muss zwischen den Parteien also nicht gleichwertig verteilt sein. Durch den weitgefassten Begriff der Verantwortlichkeit, kann eine gemeinsame Verantwortlichkeit auch bei einem sehr asymmetrischen Zugriff auf die Daten gegeben sein.

Die gemeinsame Verantwortlichkeit beschränkt sich jedoch nur auf die Verarbeitungsvorgänge, bei denen beide Verantwortliche auch tatsächlich über die Mittel und Zwecke der Verarbeitung entscheiden können. Im konkreten Fall besteht die gemeinsame Verantwortung nur für die Erhebung und Übermittlung der Daten an Facebook. Für alle vor- und nachgelagerten Verarbeitungsvorgänge (z. Bsp. Cookies für den Like-Button und die Datenspeicherung) ist Facebook allein verantwortlich.

Welche Konsequenzen hat dieses Urteil?

Dieses Urteil hat zur Folge, dass Webseitenbetreiber zukünftig beim Einsatz von Like-Buttons über die Datenverarbeitung informieren müssen und, dass eine Einwilligung bezüglich der Erhebung und Übermittlung der Daten an Facebook erforderlich ist. Davon betroffen sein dürften jedoch nicht nur Like-Buttons, sondern generell alle auf der Webseite eingebundenen Plug-Ins von Drittanbietern, die Daten erheben. Auch diese sind nunmehr auf eine gemeinsame Verantwortlichkeit zu überprüfen.

Damit wird beim Einsatz von Social-Plug-Ins (so wie bereits für Tracking-Cookies von Drittanbietern im Allgemeinen) ein Cookie-Banner, bei dem sich die Einwilligung zu deren Einsatz eingeholt wird, verpflichtend.

Folgende Umsetzungsschritte sind zu empfehlen:

1. Überprüfung der Webseite auf eingebundene Social-Plug-Ins
2. Anpassung der Datenschutzerklärung mit Informationen zur Datenerhebung und Übermittlung an Facebook oder andere Dienste
3. Einfügen/Anpassen eines Cookie-Banners mit expliziter Einwilligung zur Datenerhebung durch Social-Plug-Ins

Alternativ können Social-Plug-Ins auch einfach von der Webseite entfernt werden.

Im Rahmen des Urteils hat der EuGH zudem entschieden, dass das Verbandsklagerecht bestand hat. Demnach können nun auch Verbände zum Schutz der Verbraucher Datenschutzverstöße auf Webseiten abmahnen, was die Umsetzung der oben genannten Schritte umso wichtiger macht.

Letztlich ist die Entscheidung des EuGHs keine Überraschung, wenn man das Urteil zur gemeinsamen Verantwortlichkeit für Facebook-Fanpages im Hinterkopf hat. Einerseits hat der EuGH beschlossen, in seiner Entscheidung die gemeinsame Verantwortlichkeit für Like-Buttons nicht ausufern zu lassen, indem die Verantwortlichkeit auf die Erhebung und Übermittlung beschränkt wurde.  Andererseits sind aber auch neue unbeantwortete Fragen entstanden, z. Bsp. wie Webseitenbetreiber die Betroffenenrechte umsetzen sollen, wenn sie keinen Zugriff auf die durch Facebook erhobenen Daten haben.