Viele Webseiten binden Facebooks „Like“-Button und andere ähnliche Plug-ins ein, die Daten wie die IP-Adresse von Nutzern überträgt. Die Webseitenbetreiber sind laut einem Urteil für die Erhebung der Daten mitverantwortlich und müssen eine Einwilligung dafür einholen.
Auf Internetnutzer dürfte ein weiterer Einwilligungsklick beim Aufruf diverser Webseiten zukommen. Der Europäische Gerichtshof (EuGH) entschied, dass die Seiten-Betreiber für Erhebung und Übermittlung von Daten durch Facebooks „Like“-Button mit verantwortlich sind. Deshalb müssen sie die die Nutzer darüber informieren und eventuell deren Zustimmung dazu einholen – und zwar bevor die Seite benutzt wird.
Für die anschließende Verarbeitung der übermittelten Informationen ist allerdings Facebook allein zuständig, betonten die Richter am Montag. Von der Entscheidung dürften neben dem „Gefällt mir“-Knopf von Facebook auch andere ähnlich funktionierende Plug-ins, zum Beispiel von Twitter, LinkedIn oder Online-Werbefirmen, betroffen sein. Die Einwilligungspflicht dürfte so etwa auch für Facebooks „Teilen“-Button gelten.
IP-Adresse wird übertragen
Der „Like“-Button von Facebook überträgt beim Laden der Seite die IP-Adresse, die Webbrowser-Kennung sowie Datum und Zeit des Aufrufs, auch ohne dass der Knopf angeklickt wird oder der Nutzer einen Facebook-Account hat.
Facebook begrüßte nach dem Urteil, dass es mehr Klarheit für Websites und Plug-in-Anbieter bringe. Der deutsche Digitalverband Bitkom kritisierte, die Entscheidung bürde den Website-Betreibern eine enorme Verantwortung auf und steigere für sie den Bürokratie-Aufwand.
Die Richter in Luxemburg befassten sich mit dem „Like“-Button wegen eines Streits zwischen der Verbraucherzentrale Nordrhein-Westfalen und dem Mode-Online-Händler Fashion ID der Peek & Cloppenburg KG mit Sitz in Düsseldorf aus dem Jahr 2015. Die Verbraucherzentrale hatte erklärt, die Verwendung des „Gefällt mir“-Buttons verstoße gegen Datenschutzrecht – und reichte eine Unterlassungsklage gegen Fashion ID ein. Das Oberlandesgericht Düsseldorf bat den EuGH dann 2017 um die Auslegung mehrerer Datenschutz-Bestimmungen.
Wirtschaftlicher Vorteil
Der EuGH argumentierte, die Einbindung des Buttons erlaube es Fashion ID, die Werbung für ihre Produkte zu optimieren, indem diese bei Facebook sichtbarer werden. Das sei ein wirtschaftlicher Vorteil, für den Fashion ID „zumindest stillschweigend“ der Erhebung personenbezogener Daten der Website-Besucher zugestimmt habe.
Für die Datenverarbeitung, die Facebook nach der Übermittlung der Daten vornimmt, sei die Website aber nicht verantwortlich. Denn Fashion ID entscheide nicht über Zweck und Mittel dieser Vorgänge.
Der Rechtsanwalt Christian Solmecke empfahl Webseitenbetreibern, „die auf Nummer sicher gehen wollen“, schon jetzt die Einwilligung der Nutzer für die Verwendung des „Like“-Buttons einzuholen. „Stimmen Nutzer dieser Datenerhebung nicht zu, darf der Like-Button nicht auf der Webseite eingebunden werden“, betonte Solmecke. Zugleich sei noch unklar, wie Facebook technisch über die Verwendung der Daten informieren solle. „Möglicherweise muss Facebook die komplette Architektur des Like-Buttons umbauen, um nicht selbst in die Haftung zu kommen.“
Datenschutzniveau ändert sich nicht
Facebook-Jurist Jack Gilbert erklärte in einer ersten Reaktion, man werde die Entscheidung analysieren und mit den Webseite-Partnern zusammenarbeiten, damit diese rechtskonform weiterhin von Plug-ins wie dem „Like“-Button profitieren könnten.
Bitkom-Hauptgeschäftsführer Bernhard Rohleder warnte, das Datenschutzniveau werde sich durch die Entscheidung de facto kaum ändern, da bereits heute praktikable Zwei-Klick-Lösungen für solche Plug-ins im Einsatz seien, bei denen ein Datentransfer nur dann stattfinde, wenn ein Nutzer diese Funktion vor dem Liken gesondert aktiviere. „Für viele Betreiber von Webseiten sind Like-Buttons wichtig, um Internetnutzer erreichen zu können“, betonte Rohleder und warnte vor „Haftungsfallen“ für sie. Zudem würden schon die bisherigen Informationen etwa zur Datenschutzerklärung und gesammelten Cookies „von den allermeisten nur noch formal zur Kenntnis genommen“.
Der EuGH bestätigte außerdem das Klagerecht von Verbraucherverbänden in Datenschutz-Fragen auf Basis nationaler Gesetzgebung auf europäischer Ebene auch nach der damals geltenden alten europäischen Richtlinie. Die seit Mai 2018 greifende Datenschutzgrundverordnung (DSGVO) sieht das Klagerecht für Verbände bereits ausdrücklich vor.
Ech blockéieren all déi Buttons, et ass jo schliisslech net nëmme Féissbuk, mä och Twitter asw. Elo wäerte mer dann och nach mussen eng Extension kréie fir déi topeg Fro net all Kéier gewisen ze kréien genee wéi mer dat mat der Fro no de Kichelcher gemaach hunn. Wann et esou viru geet, da gëtt de VPN ëmmer ageschalt.