EuGH-Urteil zu Like-Buttons – das müssen Shopbetreiber jetzt wissen

Der Europäische Gerichtshof (EuGH) hat am vergangenen Montag eine für Webseiten- und Shopbetreiber wichtige Grundsatzentscheidung zur Einbindung von Facebook Like-Buttons in die eigene Website getroffen.

Sascha Kremer, Fachanwalt für IT-Recht und Datenschutzbeauftragter der shopware AG, erklärt, was Shopbetreiber beachten müssen. 

Das Urteil auf den Punkt gebracht: Einwilligung für „Social Plugins“ und Tracking erforderlich

Wer für eine Website sogenannte Social Plugins von Facebook nutzt, braucht hierfür eine vorherige, ausdrückliche Einwilligung seiner Nutzer und ist gemeinsam mit Facebook für die Datenverarbeitung verantwortlich. Das besagt das Urteil des EuGH vom 29.7.2019. Vorausgegangen war ein Rechtsstreit zwischen der Fashion ID GmbH & Co. KG und der Verbraucherzentrale Nordrhein-Westfalen (Aktenzeichen: C-40/17). Dabei handelt es sich um eine Grundsatzentscheidung, denn die gerichtlichen Vorgaben gelten für Websites und Apps sowie für fast alle Social Plugins und Trackingtools.

Die Vorgeschichte

Fashion ID, ein Online-Händler für Modeartikel, band in seine Website das Social Plugin „Gefällt mir“ ein („Like Button“). Mit jedem Aufruf der Website wurden personenbezogene Daten jedes Nutzers der Website an Facebook in Irland übermittelt, ohne dass die Nutzer einwilligten, hierüber den gesetzlichen Vorgaben entsprechend informiert wurden und unabhängig davon, ob die Nutzer einen Account bei Facebook hatten oder nicht. Die Verbraucherzentrale Nordrhein-Westfalen hatte Fashion ID deshalb vor dem Landgericht Düsseldorf auf Unterlassung in Anspruch genommen und teilweise gewonnen. Hiergegen war Fashion ID vor dem Oberlandesgericht Düsseldorf in Berufung gegangen, welches den EuGH daraufhin um Klärung verschiedener Rechtsfragen bat (Beschluss v. 19.1.2017 – I-20 U 40/16).

Die wichtigsten Entscheidungen im Einzelnen

Der EuGH hat mit seinem Urteil mehrere Entscheidungen gleichzeitig getroffen:

• Verbraucherschutzverbände sind zur Geltendmachung von Datenschutzverletzungen jedenfalls nach der alten Datenschutzrichtlinie klagebefugt.
   
• Wer das Plugin eines Dritten (hier: Facebook als Plugin-Anbieter) mit wirtschaftlichen Vorteilen in seine Website einbindet, mit dem Tool personenbezogene Daten erhebt und diese an den Plugin-Anbieter übermittelt, geht eine gemeinsame Verantwortlichkeit mit dem Plugin-Anbieter gemäß Art. 26 DS-GVO ein (englisch „Joint Controllership“).
   
• Wird von einem Plugin ein Cookie auf dem Endgerät des Nutzers abgelegt oder werden vom Plugin (ggf. auch fremde) Cookies oder andere Informationen auf dem Endgerät ausgelesen, bedarf es hierfür einer vorherigen, ausdrücklichen Einwilligung des Nutzers (sog. Opt-in). Ein späterer Widerspruch (sog. Opt-out) ist nicht ausreichend. Der noch geltende § 15 Abs. 3 Telemediengesetz (TMG) kann ab sofort nicht mehr als Rechtsgrundlage herangezogen werden.
   
• Bei Aufruf der Website muss die Einwilligung eingeholt und eine gesetzeskonforme Datenschutzinformation gemäß Art. 13, 14, 21 DS-GVO erteilt werden – und zwar zwingend durch den Website-Betreiber. Zugleich müssen auch die besonderen Informationen gemäß Art. 26 Abs. 2 S. 2 DS-GVO über das in gemeinsamer Verantwortlichkeit erfolgende Erheben und Übermitteln der Daten durch den Website-Betreiber an den Plugin-Anbieter zur Verfügung gestellt werden.

Nur Facebook Like-Buttons?

Das Urteil bezieht sich konkret auf den Like-Button von Facebook und dessen Einbindung in Websites. Die gerichtlichen Vorgaben gelten aber für alle Plugins und Tools, bei denen die Voraussetzungen aus dem Urteil vorliegen. Sie sind auch nicht auf Websites beschränkt, sondern auf alle Telemedien anwendbar, insbesondere auf Apps. Erfasst sind damit neben dem Like-Button von Facebook grundsätzlich nahezu alle Plugins der sozialen Netzwerke, aber auch das Facebook-Pixel, das LinkedIn Insight-Tag, Analyse-Tools wie Google Analytics oder Heatmap Tools wie Hotjar. Ebenso fallen Tools darunter, die etwa zur Ermöglichung von Push-Funktionalitäten Geräte-Kennziffern (Device-IDs) oder andere Informationen von Endgeräten auslesen.

Das müssen Shopbetreiber jetzt tun

Folgende Punkte sollte jeder Betreiber einer Website oder eines Shops jetzt prüfen:

• Welche Plugins/Tools werden für die eigene Website/App genutzt? Häufig ist dies nicht bekannt, weil ein IT-Dienstleister oder eine Agentur nach eigenem Ermessen Tools in die Website/App „eingebaut“ haben.
   
• Speichern die genutzten Plugins/Tools Informationen auf den Endgeräten der Seiten-Nutzer, insbesondere in Cookies, und übermitteln diese Informationen an den Anbieter? Alternativ: Greifen die genutzten Plugins/Tools auf bereits auf dem Endgerät der Nutzer gespeicherte Informationen zu, die dann an den Anbieter des Plugins/Tools übermittelt werden?
   
• Verfolgen Website-/Shop-Betreiber mit der Nutzung der Plugins/Tools gleichartige Zwecke wie dessen Anbieter, insbesondere profitieren sie von der Verarbeitung der mit dem Plugin/Tool erhobenen oder sonst verarbeiteten Informationen durch den Anbieter des Plugins/Tools?

Für jedes Plugin/Tool, für das alle der obenstehenden Fragen mit „ja“ beantwortet werden, sind folgende Maßnahmen erforderlich:

• Abschließen einer Vereinbarung mit dem Anbieter des Plugins/Tools über die gemeinsame Verantwortlichkeit gemäß Art. 26 Abs. 1 S. 2 DS-GVO. Stellt der Anbieter keine solche Vereinbarung zur Verfügung und ist auch nicht bereit, eine vom Seitenbetreiber vorgeschlagene Vereinbarung zu akzeptieren, ist die Nutzung des Plugins/Tools immer datenschutzrechtswidrig.
   
• Informierung der Nutzer der Website/App über das Plugin/Tool und Zur-Verfügung-Stellen der Datenschutzinformationen gemäß Art. 13, 14, 21 DS-GVO sowie ergänzend die Informationen zur gemeinsamen Verantwortlichkeit gemäß Art. 26 Abs. 2 S. 2 DS-GVO. Das muss passieren, bevor es zur Speicherung von oder zum Zugriff auf Informationen auf dem Endgerät des Nutzers kommt. Das Fehlen der Informationen ist ein Datenschutzverstoß.
   
• Einholung einer ausdrücklichen Einwilligung (Opt-in) der Nutzer, die den Vorgaben insbesondere aus Art. 4 Nr. 11, Art. 6 Abs. 1 lit. a) und Art. 7 DS-GVO entspricht, vor Aktivierung des Plugins/Tools sowie Dokumentierung deshierfür implementierten Prozess und der technischen Vorgänge im Zusammenhang mit der Einholung der Einwilligung. Es dürfen erst dann Informationen auf dem Endgerät gespeichert oder von dort abgerufen werden, wenn die Einwilligung des Nutzers vorliegt. Das ist nur möglich, wenn beim ersten Aufruf der Website mit einem Cookie-Overlay oder einer speziellen Landingpage zunächst die Einwilligung abgefragt wird, bevor die Datenverarbeitungen beginnen. Soweit Social-Media-Plugins genutzt werden, kann alternativ eine 2-Klick-Lösung wie der Shariff aus dem Heise Verlag eingesetzt werden. Dann muss die Einwilligung erst mit dem Aktivierungs-Klick des Nutzers auf ein Plugin/Tool eingeholt werden. Ohne die vorherige, ausdrückliche Einwilligung ist die Nutzung des Plugins/Tools datenschutzrechtswidrig. Eine Widerspruchslösung (Opt-out) reicht nicht mehr aus.

Wichtig: Setzen Benutzer ein Plugin/Tool ein, ohne diese Maßnahmen umgesetzt zu haben, laufen diese Gefahr, dass die Datenschutzaufsicht die weitere Nutzung untersagt und ggf. ergänzend eine Geldbuße gegen sie verhängt wird. Zudem können Besucher der Website und ggf. auch Mitbewerber rechtlich gegen Seitenbetreiber vorgehen.

Sascha Kremer, Fachanwalt für IT-Recht und Datenschutzbeauftragter der shopware AG

www.shopware.com