Der EuGH hat Webseiten-Betreibern mit seiner Entscheidung über die Einbindung des „Gefällt mir“-Buttons strengere Vorgaben auferlegt.
Was passiert bei der Nutzung des „Gefällt mir“-Buttons? Durch die Integration des „Gefällt mir“-Buttons in eine Webseite werden die IP-Adresse und der Browser-String des Nutzers bei jedem Aufruf der Webseite erhoben und an die europäische Zentrale von Facebook in Irland übermittelt. Dies gilt für jede Webseite, in der dieser Button integriert ist. Unabhängig davon, ob diese durch Facebook direkt oder einem unabhängigen Dritten betrieben wird. Der Button muss dabei gar nicht erst aktiv geklickt werden, damit die personenbezogenen Daten übermittelt werden. Nachdem der Webseiten-Betreiber das Plug-In eingebunden hat, besteht für ihn keine Möglichkeit mehr die weiteren Datenverarbeitungsvorgänge zu beeinflussen.
In dem konkreten Fall behandelte der EuGH einen Rechtstreit zwischen der Verbraucherzentrale NRW e. V. gegen den Onlinemodehändler Fashion ID GmbH & Co. KG über den Einsatz des „Gefällt mir“-Buttons. Der EuGH hat im Rahmen des Urteils erklärt, dass die Einbindung von Social-Plug-Ins eine gemeinsame Verantwortlichkeit des Webseitenbetreibers mit Facebook begründet (EuGH, Urteil vom 29.7.2019 – C-40/17 „Gefällt mir“-Button von Facebook – Fashion ID). Die gemeinsame Verantwortlichkeit erfordert eine Vereinbarung zwischen Webseiten-Betreiber und Social Plugin-Anbieter, die den Anforderungen von Art. 26 DSGVO (sogenannter Joint-Control-Vertrag) genügt.
Webseitenbetreiber sind für eingebundene Inhalte Dritter datenschutzrechtlich folglich mitverantwortlich. Dieser sollte in Zukunft eine Einwilligung des Seitenbesuchers gemäß Art. 6 Abs. 1 lit. a DSGVO einholen – und zwar bevor Daten an Facebook übertragen werden.
Ferner muss eine Anpassung der Datenschutzerklärung erfolgen, um die Informationspflichten des Art. 13 Abs. 1 DSGVO zu erfüllen. Riskant bleibt schließlich die Haftungsfrage für Datenschutzverstöße. Ist ein Joint-Control-Vertrag – wie gefordert – abgeschlossen, normiert Art. 26 Abs. 3 DSGVO , dass der Betroffene die ihm gemäß der DSGVO zustehenden Rechte gegenüber allen Verantwortlichen geltend machen kann. Der Webseiten-Betreiber ist also für Datenschutzverstöße von Facebook mit in der Haftung. Der Webseiten-Betreiber kann sich der Haftung nur entledigen, wenn auf die Einbindung des „Gefällt mir“-Buttons verzichtet wird.
Auch die Facebook Fanpage war ein Fall für das Gericht. In einem Verfahren vor dem Bundesverwaltungsgericht wurde die Beanstandung des Betriebs einer Facebook-Fanpage der privatrechtlich organisierten Wirtschaftsakademie Schleswig-Holstein durch die Datenschutzaufsichtsbehörde behandelt. Das Bundesverwaltungsgericht hatte in dem Fall den EuGH angerufen (BVerwG, Beschluss vom 25.2.2016 - 1 C 28.14, OVG Schleswig, VG Schleswig, ZD 2016, 393). Der EuGH hatte dazu entschieden, dass der Facebook-Fanpage-Betreibende – in diesem Fall die Wirtschaftsakademie Schleswig-Holstein – zusammen mit Facebook ebenfalls als gemeinsame Verantwortliche zu qualifizieren seien (EuGH, Urteil vom 05.06.2018 – C-210/16 – ULD Schleswig-Holstein/Wirtschaftsakademie Schleswig-Holstein, ZD 2018, 357).
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) initiiert den Start einer proaktiven Prüfung von Webseiten. Nach Verlautbarung von Thomas Kranig, dem Präsidenten des BayLDA im September 2019 auf dem ERFA-Kreis (Erfahrungsaustauschkreis der Gesellschaft für Datenschutz und Datensicherheit e.V.) plant die bayerische Datenschutz-Aufsichtsbehörde konkret die Untersagung von Webseiten-Tracking und den begleitenden Erlass von Bußgeld-Bescheiden gegen eine Reihe von Unternehmen. Dabei wird durch die Behörde großflächig eine Prüfung der Webseiten mit automatisierten Tools stattfinden. Es ist daher zu empfehlen, die eigene Webseite von einem zertifizierten Datenschutzbeauftragtem auf Rechtskonformität überprüfen zu lassen.