EuGH: Seitenbetreiber sind bei Einsatz des „Like“-Buttons in gemeinsamer Verantwortung mit Facebook

Mit Urteil vom 29.07.2019 hat der EuGH (Rechtssache C-40/17) entschieden, dass Betreiber von Webseiten beim Einsatz des „Like-“ oder auch „Gefällt-mir“-Buttons neben Facebook zur Einhaltung der datenschutzrechtlichen Regelungen mitverantwortlich sein können.

Die Klägerin des Ausgangsrechtsstreits, die Fashion ID, betreibt die Webseite des Düsseldorfer Modehauses Peek & Cloppenburg und hatte in ihre Webseite den „Like“- Button von Facebook eingebunden. Die Einbindung des „Like“-Buttons (ein sog. Social Plugin), hat zur Folge, dass beim Aufrufen der Website von Fashion ID durch einen Webseitenbesucher die (personenbezogenen) Daten dieses Besuchers wie z. B. IP-Adresse und Browserinformationen an Facebook Ireland übermittelt werden.

Dabei erfolgt die Übermittlung grundsätzlich ohne dass sich der Webseitenbesucher dessen bewusst ist und unabhängig davon, ob er Mitglied von Facebook ist oder den „Like“-Button angeklickt hat.

Die Verbraucherzentrale NRW hat der Fashion ID daher vorgeworfen, personenbezogene Daten der Webseitenbesucher ohne deren Einwilligung sowie unter Verstoß gegen die Informationspflichten nach den Vorschriften über den Schutz personenbezogener Daten an Facebook Ireland übermittelt zu haben. Entsprechend hat sie Fashion ID auf Unterlassung in Anspruch genommen.

Mit Urteil vom 09.03.2016 (Az. 12 O 151/15) gab das Landgericht Düsseldorf den Anträgen der Verbraucherzentrale teilweise statt. Hiergegen wandte sich die Klägerin beim Oberlandesgericht Düsseldorf (Az. I-20 U 40/16), welches den EuGH mit insgesamt sechs Vorlagefragen ersuchte.

Der EuGH hat diesbezüglich nunmehr folgende wesentliche Feststellungen getroffen:

• Ein Webseitenbetreiber kann für die Datenverarbeitungsvorgänge des Erhebens der (personenbezogenen) Daten und deren Übermittlung an Facebook neben Facebook zur Einhaltung der datenschutzrechtlichen Regelungen verantwortlich sein.
  • Der Webseitenbetreiber muss die Webseitenbesucher in diesem Fall insbesondere über seine Identität und die Zwecke dieser Vorgänge informieren.
  • Sofern die Erhebung und Weiterleitung der (personenbezogenen) Daten eine Einwilligung des Webseitenbesuchers voraussetzt [wohl der Regelfall, Anm. des Autors], so ist diese vor Erhebung (und Übermittlung) der Daten an Facebook und „nur“ für diejenigen Datenverarbeitungsvorgänge einzuholen, bei welchen eine gemeinsame Verantwortlichkeit mit Facebook besteht.
• Die gemeinsame Verantwortlichkeit endet in der Regel mit der Übermittlung an Facebook, d. h. sie liegt nicht mehr bei Datenverarbeitungsvorgängen vor, die Facebook im Anschluss vornimmt.

Darüber hinaus hat der EuGH in seinem Urteil klargestellt, dass die alte Datenschutzrichtlinie nicht der Möglichkeit von Verbänden entgegensteht, gegen den mutmaßlichen Verletzer von datenschutzrechtlichen Vorschriften Klage zu erheben.

Falls Sie Fragen zum rechtskonformen Einsatz von Social Plugins haben oder Unterstützung bei deren Implementierung und insbesondere der Einholung wirksamer Einwilligungserklärungen benötigen, können Sie sich gerne jederzeit an unsere zertifizierten Datenschutzexperten wenden.