Beim bekannten Sozialen Netzwerk „Facebook“ gehen in puncto Datenschutz weder die Skandale zu Verletzungen des Datenschutzes, noch die Streitfragen zur Verantwortlichkeit für den Datenschutz aus. Nachdem das oberste europäische Gericht, der EuGH in Luxemburg, bereits letztes Jahr entschieden hat, dass Unternehmen bei der Nutzung des Fanpage-Angebots des Sozialen Netzwerks eine Mitverantwortung für den Datenschutz tragen, hat er heute klargestellt, dass diese auch bei der Verwendung von Plugins wie dem Facebook-Like-Button gilt.

Nach der heutigen Entscheidung des EuGH bewegen sich Unternehmen bei der Verwendung des Like-Button von Facebook, oder ähnlich funktionierender Plugins, datenschutzrechtlich auf dünnem Eis. Damit das Plugin datenschutzkonform eingebunden ist, müssen drei zentrale Aspekte beachtet werden:

  1. Vereinbarung über gemeinsame Verantwortung mit Facebook nach Art. 26 DS-GVO ist Pflicht
  2. Transparente Information der Homepagenutzer über die Erhebung und Weitergabe ihrer personenbezogenen Daten erforderlich
  3. Informierte Einwilligung zwingend vor Nutzung der Homepage einzuholen

Plugin gibt Nutzerdaten ungefragt an Facebook weiter

Der Gefällt-mir-Button von Facebook gehört zu den klassischen Plugins, die Unternehmen für ihr Social-Media-Marketing nutzen. Die Einbettung des Plugins auf Firmenhomepages ist datenschutzrechtlich schon lang umstritten. Wird der Gefällt-mir-Button von Facebook auf der eigenen Firmenhomepage genutzt, werden automatisch verschiedenste Daten der Homepagebesucher an Facebook weitergeben. Entscheidend dabei ist, dass die Daten im Hintergrund auch dann weitergegeben wird, wenn der Button nicht angeklickt wird! Für die Datenübertragung spielt es dabei keine Rolle, ob der Homepagebenutzer den Like-Button betätigt oder beim Sozialen Netzwerk Facebook ein Nutzerkonto hat. Obwohl eine solche Datenübermittlung datenschutzrechtlich nur mit Zustimmung der betroffenen Person zulässig ist, bekommt der Homepagebesucher davon in der Regel überhaupt nichts mit.

Rechtsstreit über datenschutzrechtliche Zulässigkeit

Auch die Verbraucherzentrale NRW hält die automatische Weitergabe der Daten ohne Wissen und Zustimmung der Nutzer für rechtswidrig. Sie forderte deshalb einen Onlinehändler für Modeartikel auf, das Plugin nicht weiter zu verwenden. Als das Unternehmen der Aufforderung nicht nachkam, erhob die Verbraucherzentrale NRW schließlich eine Unterlassungsklage vor Gericht. Da es bei der Klärung des Rechtstreits um eine Reihe europäischer Datenschutzregeln geht, musste der EuGH nun ein paar grundlegende Fragen zur gemeinsamen Verantwortung klären. Diese sind zwar maßgeblich nach der alten Datenschutzrichtlinie zu beantworten, die Rechtslage entspricht aber weitestgehend der heute geltenden DS-GVO.

Unternehmen sind bei der Verwendung des Like-Buttons für die Datenübertragung mitverantwortlich

Der EuGH befasst sich in seiner Entscheidung ausführlich mit den Begriffen der „Verantwortung“ und „Verarbeitung“. Er stellt ausdrücklich klar, dass eine Verarbeitung von personenbezogenen Daten sowohl aus einem, als auch aus mehreren Vorgängen bestehen kann. Es ist möglich, dass im Rahmen einer Verarbeitung personenbezogener Daten eine Verarbeitungskette besteht, deren Phasen unterschiedlich zu beurteilen sind. So kann die Frage nach der Verantwortung für den Datenschutz für jede einzelne Phase unterschiedlich zu entscheiden sein, je nach dem, wer für die jeweilige Phase Einfluss auf die Mittel und den Zweck der Datenverarbeitung hat.

Bezogen auf den Like-Button von Facebook bedeutet das, dass die Betreiber der Homepage bei der Verwendung des Plugins regelmäßig für die Erhebung und die Übermittlung der Daten an Facebook eine Mitverantwortung tragen, für die anschließende Verwendung bei Facebook aber nicht. Grund für die anzunehmende Mitverantwortung für den Erhebungs- und Übermittlungsvorgang ist, dass Unternehmen bei der Einbindung des Plugins wissen, dass das Plugin dem Sozialen Netzwerk als Werkzeug zum Erheben und zur Übermittlung von personenbezogenen Daten der Besucher dieser Seite dient, unabhängig davon, ob es sich dabei um Mitglieder handelt oder nicht.

Folgen der Mitverantwortung beim Like-Button

Wollen Unternehmen das Plugin von Facebook auf ihrer Homepage einbinden, müssen sie aufgrund der Mitverantwortung für den Datenschutz einige Aspekte beachten. Der datenschutzrechtliche Fachbegriff hierfür lautet „gemeinsame Verantwortung“. Nach Art. 26 DS-GVO müssen bei der gemeinsamen Verantwortung die jeweiligen Verantwortlichen, sprich die betroffenen Unternehmen, eine gesonderte Vereinbarung über den Datenschutz treffen. Diese Vereinbarung muss regeln, wer welche Verpflichtung der DS-GVO zu erfüllen hat. Besonderes Augenmerk ist dabei auf die Erfüllung der sog. Betroffenenrechte und der Transparenzpflichten zu legen. Die wesentlichen Kerninhalte der Vereinbarung müssen den betroffenen Personen zugänglich gemacht werden.

Umfassende Information der Homepagenutzer erforderlich

Bei der Nutzung des Plugins müssen Unternehmen ihre Homepagenutzer auf der Webseite umfassend über die Verwendung des Plugins und die Übermittlung ihrer Daten an Facebook informieren. Die Informationspflicht betrifft diejenigen Verarbeitungstätigkeiten in der Verarbeitungskette, für die die gemeinsame Verantwortlichkeit besteht. Im Fall der Plugin-Verwendung ist dies die Erhebung personenbezogener Daten, sowie ihre Weitergabe an Facebook. Was anschließend bei Facebook mit den Daten geschieht, ist hingegen nicht mehr von der Informationspflicht erfasst, da die Verantwortung hierfür einzig und allein bei Facebook liegt.

Einwilligung in Datenübertragung notwendig

Darüber hinaus müssen Unternehmen bei der Verwendung des Plugins eine entsprechende informierte Einwilligung ihrer Homepagenutzer einholen. Der EuGH betonte explizit die erhöhte datenschutzrechtliche Verantwortung, die sich aus der automatischen Weitergabe der Daten ergibt. Hier fällt die automatische Übermittlung der personenbezogenen Daten besonders ins Gewicht, denn der Übermittlungsvorgang wird allein durch das Aufrufen der Firmenhomepage ausgelöst, ohne dass es dabei auf die Nutzung des Buttons durch den User oder seine Mitgliedschaft in dem sozialen Netzwerk ankommt. Da der User seine Einwilligung vor der Übermittlung der Daten geben muss, erfordert eine datenschutzkonforme Ausgestaltung die vorherige Information und aktive Erteilung der Einwilligung vor Nutzung der Homepage.

Fazit: Der Like-Button von Facebook und vergleichbare Plugins sind nur mit erheblichem Aufwand datenschutzkonform einsetzbar. Durch den Automatismus beim Aufrufen der Seite liegt die Messlatte der vorherigen informierten Einwilligung hoch. Unternehmen sollten deshalb prüfen, welche Plugins sie auf ihrer Firmenhomepage einsetzen, welche Daten diese an den Anbieter übermitteln und ob die jeweiligen Vorteile trotz der datenschutzrechtlichen Hürden und Risiken noch überwiegen.