Datensammlung via «Like»-Button: Websites brauchen Erlaubnis
Viele Websites binden Facebooks «Like»-Button und andere ähnliche Plug-ins ein, die Daten wie die IP-Adresse von Nutzern überträgt. Die Website-Betreiber sind laut einem Urteil für die Erhebung der Daten mitverantwortlich und müssen eine Einwilligung dafür einholen.
Das Wichtigste in Kürze
- Auf Internet-Nutzer dürfte ein weiterer Einwilligungs-Klick beim Aufruf diverser Websites zukommen.
Der Europäische Gerichtshof (EuGH) entschied, dass die Seiten-Betreiber für Erhebung und Übermittlung von Daten durch Facebooks «Like»-Button mit verantwortlich sind.
Deshalb müssen sie die die Nutzer darüber informieren und eventuell deren Zustimmung dazu einholen - und zwar bevor die Website benutzt wird.
Für die anschliessende Verarbeitung der übermittelten Informationen ist allerdings Facebook allein zuständig, betonten die Richter am Montag. Von der Entscheidung dürften neben dem «Gefällt mir»-Knopf von Facebook auch andere ähnlich funktionierende Plug-ins, zum Beispiel von Twitter, LinkedIn oder Online-Werbefirmen betroffen sein. Eine Einwilligungspflicht könnte so etwa auch Facebooks «Teilen»-Button betreffen.
Der «Like»-Button von Facebook überträgt beim Laden der Seite die IP-Adresse, die Webbrowser-Kennung sowie Datum und Zeit des Aufrufs, auch ohne dass der Knopf angeklickt wird oder der Nutzer einen Facebook-Account hat.
Facebook begrüsste nach dem Urteil, dass es mehr Klarheit für Websites und Plug-in-Anbieter bringe. Der deutsche Digitalverband Bitkom kritisierte, die Entscheidung bürde den Website-Betreibern eine enorme Verantwortung auf und steigere für sie den Bürokratie-Aufwand. Der Bundesverband E-Commerce und Versandhandel Deutschland (bevh) hob dagegen als positiv hervor, dass Website-Betreiber nicht für Datenschutz-Vergehen Dritter verantwortlich gemacht werden.
Die Richter in Luxemburg befassten sich mit dem «Like»-Button wegen eines Streits zwischen der Verbraucherzentrale Nordrhein-Westfalen und dem Mode-Online-Händer Fashion ID der Peek & Cloppenburg KG mit Sitz in Düsseldorf aus dem Jahr 2015. Die Verbraucherzentrale hatte erklärt, die Verwendung des «Gefällt mir»-Buttons verstosse gegen Datenschutzrecht - und reichte eine Unterlassungsklage gegen Fashion ID ein. Das Oberlandesgericht Düsseldorf bat den EuGH dann 2017 um die Auslegung mehrerer Datenschutz-Bestimmungen.
Der EuGH argumentierte, die Einbindung des Buttons erlaube es Fashion ID, die Werbung für ihre Produkte zu optimieren, indem diese bei Facebook sichtbarer werden. Das sei ein wirtschaftlicher Vorteil, für den Fashion ID «zumindest stillschweigend» der Erhebung personenbezogener Daten der Website-Besucher zugestimmt habe.
Für die Datenverarbeitung, die Facebook nach der Übermittlung der Daten vornimmt, sei die Website aber nicht verantwortlich. Denn Fashion ID entscheide nicht über Zweck und Mittel dieser Vorgänge.
Die Verbraucherzentrale feierte den Ausgang des Verfahrens. «Durch das heutige EuGH-Urteil hat die Verbraucherzentrale NRW mit ihrer Klage gegen das Unternehmen Fashion ID eine Stärkung der Verbraucher-Datenschutzrechte beim Facebook-Like-Button mit Signalwirkung erreicht», erklärte Vorstand Wolfgang Schuldzinski. «Der Praxis von Facebook, mittels des Like-Buttons Daten ohne Wissen der Nutzer abzugreifen, um sie für weitere Zwecke - etwa für passgenaue Werbung - zu verwenden, wird nun ein Riegel vorgeschoben.»
Nach der Klarstellung durch das EuGH muss sich nun das Oberlandesgericht dazu äussern, ob im Fall Fashion ID eine ausdrückliche Einwilligung der betroffenen Nutzer erforderlich war. Auf dieser Basis will die Verbraucherzentrale NRW dann prüfen, «wie Webseitenbetreiber der geforderten Mitverantwortung beim Datenschutz nachkommen». Prinzipiell vorgesehen ist als alternative Grundlage auch die Möglichkeit, Daten mit «berechtigtem Interesse» als Grundlage zu erheben - informiert werden müssen die Nutzer aber in jedem Fall.
Der Rechtsanwalt Christian Solmecke empfahl Website-Betreibern, «die auf Nummer sicher gehen wollen», schon jetzt die Einwilligung der Nutzer für die Verwendung des «Like»-Buttons einzuholen. «Stimmen Nutzer dieser Datenerhebung nicht zu, darf der Like Button nicht auf der Webseite eingebunden werden», betonte Solmecke. Zugleich sei noch unklar, wie Facebook technisch über die Verwendung der Daten informieren solle. «Möglicherweise muss Facebook die komplette Architektur des Like Buttons umbauen, um nicht selbst in die Haftung zu kommen.»
Facebook-Jurist Jack Gilbert erklärte in einer ersten Reaktion, man werde die Entscheidung analysieren und mit den Website-Partnern zusammenarbeiten, damit diese rechtskonform weiterhin von Plug-ins wie dem «Like»-Button profitieren könnten.
Bitkom-Hauptgeschäftsführer Bernhard Rohleder warnte, das Datenschutzniveau werde sich durch die Entscheidung de facto kaum ändern, da bereits heute praktikable Zwei-Klick-Lösungen für solche Plug-ins im Einsatz seien, bei denen ein Datentransfer nur dann stattfinde, wenn ein Nutzer diese Funktion vor dem Liken gesondert aktiviere. «Für viele Betreiber von Webseiten sind Like-Buttons wichtig, um Internetnutzer erreichen zu können», betonte Rohleder und warnte vor «Haftungsfallen» für sie. Zudem würden schon die bisherigen Informationen etwa zur Datenschutzerklärung und gesammelten Cookies «von den allermeisten nur noch formal zur Kenntnis genommen».
Für den Bundesverband Digitale Wirtschaft (BVDW) kritisierte Vizepräsident Thomas Duhr, ein Einwilligungsprinzip für alle Nutzer mache die Nutzung von Webseiten «maximal kompliziert und umständlich».
Der EuGH bestätigte ausserdem das Klagerecht von Verbraucherverbänden in Datenschutz-Fragen auf Basis nationaler Gesetzgebung auf europäischer Ebene auch nach der damals geltenden alten europäischen Richtlinie. Die seit Mai 2018 greifende Datenschutzgrundverordnung (DSGVO) sieht das Klagerecht für Verbände bereits ausdrücklich vor.