EuGH: Auch Internethändler sind datenschutzrechtlich für „Gefällt mir“-Button verantwortlich (Foto: Sondern/Fotolia.com)
Daten hinter Like-Button von Facebook
EuGH zur datenschutzrechtlichen Verantwortung bei Webseiten mit „Gefällt-mir“-Button
ESV-Redaktion Recht
05.08.2019
Wann dürfen Webseiten mit eingebautem „Like“-Button von Facebook die Daten ihrer Besucher sammeln und an Facebook weiterleiten? Hierüber hat der Europäische Gerichtshof (EuGH) aktuell entschieden, wobei allerdings einige Fragen offen bleiben.
Klägerin war die Verbraucherzentrale Nordrhein-Westfalen. Sie hatte den Mode-Online-Händler „Fashion ID“ verklagt, ein Dienst der „Peek & Cloppenburg“ Gruppe mit Sitz in Düsseldorf.
Auf den Seiten des Händlers befand sich ein „Gefällt-mir“-Button von Facebook. Als sogenanntes „Social Plugin“ kam dieser Button direkt von Servern der Social-Media-Plattform Facebook und wurde von dort aus auf der Seite des beklagten Händlers eingeblendet. Auf diese Weise erfuhr Facebook alles, was auch Fashion ID selbst über seinen Besucher erfährt. Hierzu gehören zum Beispiel die IP-Adresse des Nutzers und zahlreiche weitere Daten über dessen System und seinen Browser.
Für die Weiterleitung der Daten war jedoch nicht das Anklicken des Like-Buttons erforderlich. Das Plugin übertrug schon beim Aufruf der Seite der Beklagten die IP-Adresse des Nutzers, dessen Webbrowser-Kennung sowie Zeit und des Ladevorgangs.
Darüber hinaus erlaubten Cookies – die der Facebook-Server auf dem Rechner der Nutzer platzierte – eine eindeutige Zuordnung. Cookies sind kleine Datenpakte, die das soziale Netzwerk wiedererkennen kann. Hält sich der Nutzer zum Beispiel gerade bei Facebook auf, kann das soziale Netzwerk also genau zuordnen, wer die betreffende Seite aufgerufen hat. Auf diese Weise bekommt der Nutzer auf ihn zugeschnittene Werbung. Facebook hatte hierdurch also unter anderem erfahren, welcher Nutzer, wann auf welchen Seiten von „Fashion ID“ war.
Der beklagte Händler hatte allerdings keinen Zugriff auf die Daten, die durch Aktivierung des „Social Plugins“ oder aufgrund der Cookies an Facebook übertragen wurden.
Die Richter aus Luxemburg entschieden, dass auch „Fashion ID“ für die Erhebung der Daten und die Weiterleitung an Facebook verantwortlich ist – und zwar grundsätzlich gemeinsam mit dem Social-Media Anbieter. Die wesentliche Begründung: „Fashion ID“ und Facebook entschieden gemeinsam über die Zwecke und Mittel des Datentransfers. Damit haben beide das Ziel, Werbung zu optimieren und den wirtschaftlichen Vorteil hieraus zu ziehen. So würde die Einbindung des Plugins der Beklagten ermöglichen, die Werbung für ihre Produkte zu optimieren, weil diese bei Facebook sichtbarer werden würde.
Die weiteren Erwägungen des EuGH:
(ESV/bp)
Auf den Seiten des Händlers befand sich ein „Gefällt-mir“-Button von Facebook. Als sogenanntes „Social Plugin“ kam dieser Button direkt von Servern der Social-Media-Plattform Facebook und wurde von dort aus auf der Seite des beklagten Händlers eingeblendet. Auf diese Weise erfuhr Facebook alles, was auch Fashion ID selbst über seinen Besucher erfährt. Hierzu gehören zum Beispiel die IP-Adresse des Nutzers und zahlreiche weitere Daten über dessen System und seinen Browser.
Für die Weiterleitung der Daten war jedoch nicht das Anklicken des Like-Buttons erforderlich. Das Plugin übertrug schon beim Aufruf der Seite der Beklagten die IP-Adresse des Nutzers, dessen Webbrowser-Kennung sowie Zeit und des Ladevorgangs.
Darüber hinaus erlaubten Cookies – die der Facebook-Server auf dem Rechner der Nutzer platzierte – eine eindeutige Zuordnung. Cookies sind kleine Datenpakte, die das soziale Netzwerk wiedererkennen kann. Hält sich der Nutzer zum Beispiel gerade bei Facebook auf, kann das soziale Netzwerk also genau zuordnen, wer die betreffende Seite aufgerufen hat. Auf diese Weise bekommt der Nutzer auf ihn zugeschnittene Werbung. Facebook hatte hierdurch also unter anderem erfahren, welcher Nutzer, wann auf welchen Seiten von „Fashion ID“ war.
Der beklagte Händler hatte allerdings keinen Zugriff auf die Daten, die durch Aktivierung des „Social Plugins“ oder aufgrund der Cookies an Facebook übertragen wurden.
Klägerin: „Gefällt mir“-Button ist datenschutzwidrig
Die Verbraucherzentrale war der Auffassung, dass hatte der „Gefällt mir“-Button mangels Nutzereinwilligung gegen Datenschutzrecht verstößt und erhob eine Unterlassungsklage gegen Fashion ID. Dabei sah die Klägerin auch den beklagten Internethändler als datenschutzrechtlich Verantwortlichen an.LG Düsseldorf ruft EuGH an
Das Ausgangsgericht – das Landgericht (LG) Düsseldorf – musste also entscheiden, ob der Beklagte Händler durch die Einbindung des „Like“-Buttons auf seiner Website, ob Facebook alleine oder beide datenschutzrechtlich verantwortlich sind. Die Düsseldorfer Richter legten diese Frage dem Europäischen Gerichtshof (EuGH) vor.EuGH: Fashion ID und Facebook prinzipiell gemeinsam verantwortlich
Verantwortlichkeit aus wirtschaftlichem Vorteil durch WerbungDie Richter aus Luxemburg entschieden, dass auch „Fashion ID“ für die Erhebung der Daten und die Weiterleitung an Facebook verantwortlich ist – und zwar grundsätzlich gemeinsam mit dem Social-Media Anbieter. Die wesentliche Begründung: „Fashion ID“ und Facebook entschieden gemeinsam über die Zwecke und Mittel des Datentransfers. Damit haben beide das Ziel, Werbung zu optimieren und den wirtschaftlichen Vorteil hieraus zu ziehen. So würde die Einbindung des Plugins der Beklagten ermöglichen, die Werbung für ihre Produkte zu optimieren, weil diese bei Facebook sichtbarer werden würde.
Die weiteren Erwägungen des EuGH:
- Information des Nutzers erforderlich: Dem EuGH zufolge muss der Webseitenbetreiber den Nutzer über die Weiterleitung der Daten informieren.
- Information vor der Datenerhebung: Diese Information muss vor Erhebung und Weitergabe erfolgen.
- Fehlender Zugriff von Fashion ID unerheblich: Für eine gemeinsame Verantwortlichkeit ist es nach Auffassung des EuGH unerheblich, dass der Webseitenbetreiber keinen Zugriff auf die Nutzerdaten hat, die aufgrund des Clicks auf den „Gefällt-mir“-Button direkt an Facebook übertragen werden.
Wofür der Webseitenbetreiber nicht verantwortlich ist
Für die weitere Datenverarbeitung, die Facebook nach der Übermittlung der Daten vornimmt, hafte der Websitenbetreiber aber nicht. Dieser, so der EuGH weiter würde nicht über Zwecke und Mittel dieser Vorgänge entscheiden. Damit will der EuGH wohl einer ausufernden gemeinsamen Verantwortlichkeit vorbeugen.Was offen bleibt
- Das Oberlandesgericht Düsseldorf muss nun prüfen, ob „Fashion ID“ eine ausdrückliche Einwilligung seiner benötigt hätte.
- Der Richterspruch aus Luxemburg klärt auch nicht, wie der Webseitenbetreiber etwaige Auskunfts-, Berichtigungs- und Löschungsansprüche in Bezug auf Daten erfüllen soll, wenn er gar keinen Zugriff auf die Daten hat, die über den „Like“-Button übertragen werden.
- Nicht nur der „Like“-Button, sondern alle vergleichbar eingebundenen Dienste von Drittanbietern sind auf eine gemeinsame Verantwortlichkeit hin zu prüfen. Wie sich die Anforderungen an die Websitebetreiber und Anbieter von Social-Plugins umsetzen lassen, bleibt vorerst unklar.
 |
Dateneigentum und Datenhandel„Meine Daten gehören mir!“ – „Daten sind die neue Währung“. An starken Forderungen und Vergleichen mangelt es nicht, wenn es um Verfügungsrechte an Daten und den Handel mit ihnen geht.
|
|
| Zum Verlagsprogramm | Weitere Nachrichten aus dem Bereich Recht |
| Auch interessant | 16.03.2016 |
| Facebook-Like-Button auf Internetseite ist wettbewerbswidrig | |
 |
Installiert der Betreiber einer Internetseite den sogenannten „Like-Button“ von Facebook oder andere Social-Media-Plug-Ins, ohne die Besucher der Seite auf die Verwendung ihrer Daten hinzuweisen, verstößt er gegen das Wettbewerbsrecht. Das hat das Landgericht Düsseldorf entschieden. mehr … |
(ESV/bp)
Programmbereich: Wirtschaftsrecht