EuGH Urteil zu Facebook-Like-Button nimmt Webseitenbetreiber in die Pflicht

Nach dem EuGH Urteil sind Webseitenbetreiber, die einen “Like“-Button von Facebook einbinden, für die Datenverarbeitung durch Facebook mitverantwortlich. Da die Verarbeitung durch den Besuch der Webseite erst ausgelöst wird, seien die Webseitenbetreiber dazu verpflichtet, eine vorherige Einwilligung des Nutzers einzuholen. Das entschied der Europäische Gerichtshof (EuGH) am Montag, den 28.07.2019, in Luxemburg (Az. 40/17) und bestätigte damit ein Urteil des Landgerichts Düsseldorf vom März 2016. Damit folgen die Richter im Wesentlichen dem Schlussantrag, den der zuständige EuGH-Generalanwalt Michal Bobek veröffentlicht hatte.

Das Urteil richtet sich gegen den deutschen eCommerce Anbieter Fashion ID, der zur Peek & Cloppenburg Kette mit Sitz in Düsseldorf gehört. Facebook selbst ist dem Gerichtsverfahren auf der Seite von FashionID beigetreten.

Facebook stellt den Betreibern von Facebook Fanpages einen Code zur Verfügung, den diese auf einer Webseite einbinden können. Im Frontend wird dem Nutzer dann der Original Facebook Like-Button angezeigt, über den er die Möglichkeit hat, die Facebookseite des Webseitenbetreibers direkt zu liken – ohne erst auf Facebook weitergeleitet zu werden. Dieser Code sammelt jedoch bereits Daten aller Besucher, wenn diese noch nicht “Gefällt mir” bzw. “Like” geklickt haben.

Nutzerdaten werden beim Besuch der Webseite nicht nur unwissentlich, sondern eventuell auch ungewollt an unbekannte Dritte weitergegeben. Weiterhin erschwerlich hinzu kommt, dass eine Weitergabe unabhängig davon erfolgt, ob der Webseitenbesucher ein Facebook-Konto hat oder nicht.

Der Nutzer hat auf der Webseite selbst keine Möglichkeit, der Datenweitergabe zu widersprechen bzw. sie zu unterbinden. Einem besorgten Nutzer bleibt nur die Möglichkeit, mit besonderen Plugins oder Browsern zu surfen, um die eigene Privatsphäre zu schützen. Dies ist ihm aber nicht zuzumuten. Vielmehr sollte der Webseitenbetreiber vorab die Einwilligung des Nutzers abfragen und die Datenweitergabe daran koppeln.

So kann beispielsweise der Besuch der Webseite einer Krebs-Selbsthilfegruppe dazu führen, dass dies zum Facebook-Profil hinzugefügt wird und man von Facebook als Krebskranker in deren Datenbanken geführt wird. Diese Information verwendet Facebook um dem Nutzer dann ‘relevante’ und personalisierte Werbung auszuspielen. Die Eigenschaften und Interessen des Nutzers werden somit ohne dessen Wissen verarbeitet und monetarisiert.

Die Abmahnung der Verbraucherzentrale NRW stammt noch aus dem Jahr 2015, weswegen der EuGH auf Basis der Vorgänger-Richtlinie der DSGVO entscheiden wird. Allerdings ist der Begriff des “Verantwortlichen” in beiden Gesetzen sehr ähnlich definiert, sodass sich das Urteil auf die Rechtslage seit DSGVO anwenden lässt und durch die strengeren Voraussetzungen eher noch eindeutiger wird.

Ob Sie der Meinung des Gerichts folgen, dass Sie die vorherige Einwilligung des Nutzers für das Ausspielen des Facebook Like-Buttons einholen müssen, obliegt nach wie vor Ihnen. Angesichts des aktuellen Urteils und der Rechtslage nach DSGVO ist dies jedoch zu empfehlen.

Da sowohl die nationalen und lokalen Gerichte als auch Datenschutzaufsichtsbehörden dem EuGH Urteil folgen werden, wird ein Verstoß gegen das Einwilligungserfordernis mit den Strafen und Bußgeldern gemäß DSGVO geahndet. Da im vorliegenden Fall die Einwilligung nicht vorliegt und somit eine Rechtsgrundlage für Datenerhebung und -verarbeitung fehlt, greift theoretisch das maximale Strafmaß von 4% des jährlichen Gesamtumsatzes.

Es droht aber noch eine andere Entwicklung: je länger die breite Masse der Webseitenbetreiber den Status Quo der ungefragten Datenweitergabe aufrecht erhält, desto mehr regt sich der Widerstand der Nutzer. Hier bleibt aktuell nur die Implementierung von AdBlockern wie AdBlock Plus, Disconnect oder UBlockOrigin, wodurch sämtliche Skripte geblockt werden. Damit schneiden sich Webseitenbetreiber ins eigene Fleisch, da sie dann gar keine Informationen mehr über Nutzer erheben können – auch wenn sie für einzelne Skripte keine Einwilligung bräuchten, sondern das berechtigte Interesse gemäß Art. 6 f DSGVO greifen würde. Besonders in Deutschland ist der Anteil mit 40% AdBlock Abdeckung besonders hoch. Das zeigt, wie sensibel die Nutzer bei diesem Thema sind und sich ein grundlegendes Umdenken bei Webseitenbetreibern wünschen.

Als Webseitenbetreiber sollten Sie Ihre Seiten so aufbauen, dass sie auch „autark“ ohne externe Tools funktionieren, also ohne Nutzerdaten ungefragt an Dritte weiterzugeben. Zumindest muss man Vorkehrungen treffen, um entweder ein Abweichen von dem gerichtlichen Urteil zu verargumentieren oder andererseits den Einbau eines Consent-Tools vorbereiten, um die Ausspielung des Like-Buttons an die Einwilligung zu koppeln.

Da es spezielle Consent-Tools für Webseitenbetreiber gibt, um dies technisch abzubilden, greift die Argumentation nicht, dass sich ein Facebook Like-Button nicht anders einbinden ließe oder dies zu aufwendig wäre. Neben einem Consent-Tool bietet sich außerdem die Möglichkeit, den Like-Button nur als sog. Icon bzw. Bild einzubinden und auf die Facebook Seite zu verlinken, anstatt den speziellen Facebook Code einzubinden.

Die Usercentrics Consent Management Platform Technologie bildet Opt-ins für Elemente wie den Facebook Like-Button ab. Das heißt, Kunden können nicht nur Cookies und Pixel, sondern auch eingebettete Inhalte wie YouTube Videos, Twitter Feed, Google Maps, etc. über das Consent-Tool steuern und abhängig von der Präferenz des Nutzers ausspielen.