Wer eine Facebook-Seite betreibt, ist gemeinsam mit Facebook für den Datenschutz verantwortlich.
Eine solche gemeinsame Verantwortlichkeit besteht nun auch ausdrücklich für Website-Betreiber, die einen «Gefällt mir»- beziehungsweise Like-Button von Facebook verwenden, wie der Europäische Gerichtshof (EuGH) mit Urteil C-40/17 vom 29. Juli 2019 in Sachen Fashion ID entschieden hat.
In seiner Medienmitteilung beschreibt der EuGH den Sachverhalt wie folgt:
«Fashion ID, ein deutscher Online-Händler für Modeartikel, band in ihre Website den ‹Gefällt mir›-Button von Facebook ein. Anscheinend hat diese Einbindung zur Folge, dass beim Aufrufen der Website von Fashion ID durch einen Besucher die personenbezogenen Daten dieses Besuchers an Facebook Ireland übermittelt werden. Offenbar erfolgt diese Übermittlung, ohne dass sich der Besucher dessen bewusst ist und unabhängig davon, ob er Mitglied des sozialen Netzwerks Facebook ist oder den ‹Gefällt mir›-Button angeklickt hat.»
Das Verfahren ausgelöst hatte die «Verbraucherzentrale NRW, ein gemeinnütziger Verband zur Wahrung von Verbraucherinteressen». Fashion ID, so die Verbraucherzentrale NRW, habe «personenbezogene Daten der Besucher ihrer Website ohne deren Einwilligung und unter Verstoß gegen die Informationspflichten nach den Vorschriften über den Schutz personenbezogener Daten an Facebook Ireland übermittelt zu haben.»
«Gefällt mir»-Button: Teilweise gemeinsame Verantwortlichkeit für Facebook und Website-Betreiber
Nun urteilte der EuGH, dass Website-Betreiber zumindest teilweise für einen verwendeten Like-Button verantwortlich sind:
«[…] Fashion ID [kann] für die Vorgänge des Erhebens der in Rede stehenden Daten und deren Weiterleitung durch Übermittlung an Facebook Ireland als gemeinsam mit Facebook verantwortlich angesehen werden, da […] davon ausgegangen werden kann, dass Fashion ID und Facebook Irland gemeinsam über die Zwecke und Mittel entscheiden.»
Und:
«Es scheint insbesondere, dass die Einbindung des ‹Gefällt mir›-Buttons von Facebook durch Fashion ID in ihre Website ihr ermöglicht, die Werbung für ihre Produkte zu optimieren, indem diese im sozialen Netzwerk Facebook sichtbarer gemacht werden, wenn ein Besucher ihrer Website den Button anklickt. Um in den Genuss dieses wirtschaftlichen Vorteils kommen zu können, der in einer solchen verbesserten Werbung für ihre Produkte besteht, scheint Fashion ID mit der Einbindung eines solchen Buttons in ihre Website zumindest stillschweigend in das Erheben personenbezogener Daten der Besucher ihrer Website und deren Weitergabe durch Übermittlung eingewilligt zu haben. Dabei werden diese Verarbeitungsvorgänge im wirtschaftlichen Interesse sowohl von Fashion ID als auch von Facebook Ireland durchgeführt, für die die Tatsache, über diese Daten für ihre eigenen wirtschaftlichen Zwecke verfügen zu können, die Gegenleistung für den Fashion ID gebotenen Vorteil darstellt.»
In der Folge müssen – wie immer im Datenschutzrecht – die betroffenen Personen über die Bearbeitung ihrer Personendaten informiert werden:
«Der Gerichtshof betont, dass der Betreiber einer Website wie Fashion ID für bestimmte Vorgänge der Verarbeitung der Daten der Besucher seiner Website wie das Erheben der Daten und deren Übermittlung an Facebook Ireland als (Mit-)Verantwortlicher diesen Besuchern zum Zeitpunkt des Erhebens bestimmte Informationen zu geben hat, wie beispielsweise seine Identität und die Zwecke der Verarbeitung.»
Sofern der verantwortliche Website-Betreiber eine Einwilligung als Rechtsgrundlage einholt, muss diese nur die Datenbearbeitung umfassen, für die er (mit-)verantwortlich ist, das heisst die Erhebung und Übermittlung der Personendaten. Die Mitverantwortung beschränkt sich auf jene Datenbearbeitung, bei welcher der Website-Betreiber über Mittel und Zweck(e) entscheidet.
Sofern der «Gefällt mir»-Button oder ein sonstiges Social Plugin mit Verweis auf (überwiegende) berechtigte Interessen als Rechtsgrundlage verwendet wird, müssen sowohl der Social Plugin-Anbieter als auch der Website-Betreiber jeweils über solche berechtigten Interessen verfügen.
Verletzen nun alle Social Plugins den europäischen Datenschutz?
Das Urteil betrifft nicht nur den Like-Button von Facebook, sondern potenziell alle Social Plugins und alle sonstigen Website-Erweiterungen, die in eine App oder Website eingebunden werden.
Wer auf Nummer sicher gehen möchte, muss vorläufig auf Social Plugins verzichten.
Das ist wichtig, denn während Like- und Share-Buttons weitgehend irrelevant geworden sind, hat das Einbinden von Inhalten mit Social Plugins erheblich an Bedeutung gewonnen. Beispiele dafür sind Bilder von Instagram, Videos von Tik Tok oder Tweets von Twitter. Dazu kommen viele andere Dienste von Dritten, die für Apps und Websites verwendet werden.
Wer auf Nummer sicher gehen möchte, muss vorläufig auf Social Plugins verzichten. Kein Website-Betreiber kann momentan die datenschutzrechtlichen Anforderungen, wie sie nun in Europa für Facebook-Like-Buttons ausdrücklich bestätigt wurden, einhalten. Website-Betreiber müssen darauf zählen, dass sie von Facebook und anderen Social Plugin-Anbietern unterstützt werden.
Die Anwaltskollegen von Spirit Legal formulieren das Problem wie folgt:
«Die Herausforderung liegt […] darin, dass das Unternehmen [die benötigten] Informationen nicht oder nicht vollständig bereitstellt. Der Seitenbetreiber kann ohne Mithilfe von Facebook seine Informationspflichten nach der DSGVO derzeit nicht erfüllen, muss aber für die Nichterfüllung durch Facebook mithaften.»
Es hilft nicht, dass das Urteil die Europäische Datenschutz-Richtlinie, welche inzwischen durch die Datenschutz-Grundverordnung (DSGVO) ersetzt wurde, betrifft. Es ist nicht erwarten, dass der EuGH bei einem Fall, der sich auf die DSGVO bezieht, anders entscheiden wird.
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfallen zieht folgendes Fazit:
«Das Urteil verdeutlicht, dass es für die Feststellung von ‹gemeinsam Verantwortlichen› konkret auf den Vorgang ankommt, bei dem tatsächlich über Zwecke und Mittel entschieden wird. Das wirkt sich auch auf den Umfang von Einwilligungen und Informationspflichten aus. Diese Konkretisierung wird wohl auch Auswirkungen auf andere Fälle von gemeinsam Verantwortlichen haben.
Was das Urteil im Einzelnen für die aktuelle Rechtslage und die Praxis bedeutet, werden die deutschen und europäischen Datenschutzaufsichtsbehörden in nächster Zeit noch prüfen und konkretisieren.»
Die gemeinsame Verantwortlichkeit bedeutet unter anderem, dass die Verantwortlichen – vorliegend Facebook und einzelne Website-Betreiber – eine Vereinbarung gemäss Art. 26 Abs. 1 DSGVO abschliessen sowie die betroffenen Personen darüber informieren müssen.
Gilt das Urteil auch in der Schweiz?
Das Urteil gilt im Europäischen Wirtschaftsraum (EWR) einschliesslich Europäischer Union und Fürstentum Liechtenstein. Für die Schweiz ist das Urteil überall dort massgeblich, wo die Datenschutz-Grundverordnung (DSGVO) teilweise anwendbar ist. Das betrifft insbesondere schweizerische Websites, die gemäss Art. 3 Abs. 2 DSGVO häufig unter die DSGVO fallen.
Im Minimum benötigt jede […] Website […] eine aktuelle und vollständige Datenschutzerklärung.
Im Minimum benötigt jede schweizerische Website – egal, ob gemäss DSGVO oder schweizerischem Datenschutzgesetz (DSG) – eine aktuelle und vollständige Datenschutzerklärung. Ausserdem müssen sich Website-Betreiber einmal mehr fragen, inwiefern sie ein Cookie-Banner aufgrund der EU-Cookie-Richtlinie benötigen und welche Dienste von Dritten tatsächlich erforderlich sind.