EuGH-Urteil

EuGH-Urteil zu Like-Buttons – das müssen Shopbetreiber jetzt wissen

| Autor / Redakteur: Sascha Kremer* / Julia Reger

Wer für eine Website sogenannte Social Plugins von Facebook nutzt, braucht hierfür eine Einwilligung seiner Nutzer und ist gemeinsam mit Facebook für die Datenverarbeitung verantwortlich.
Wer für eine Website sogenannte Social Plugins von Facebook nutzt, braucht hierfür eine Einwilligung seiner Nutzer und ist gemeinsam mit Facebook für die Datenverarbeitung verantwortlich. (Bild: gemeinfrei / Unsplash)

Der Europäische Gerichtshof (EuGH) hat am vergangenen Montag eine für Webseiten- und Shopbetreiber wichtige Grundsatzentscheidung zur Einbindung von Facebook Like-Buttons in die eigene Website getroffen. Was Shopbetreiber beachten müssen, erfahren Sie hier.

Wer für eine Website sogenannte Social Plugins von Facebook nutzt, braucht hierfür eine vorherige, ausdrückliche Einwilligung seiner Nutzer und ist gemeinsam mit Facebook für die Datenverarbeitung verantwortlich. Das besagt das Urteil des EuGH vom 29.7.2019. Vorausgegangen war ein Rechtsstreit zwischen der Fashion ID GmbH & Co. KG und der Verbraucherzentrale Nordrhein-Westfalen.

Dabei handelt es sich um eine Grundsatzentscheidung, denn die gerichtlichen Vorgaben gelten für Websites und Apps sowie für fast alle Social Plugins und Trackingtools.

Die Vorgeschichte zum EuGH-Urteil

Fashion ID, ein Online-Händler für Modeartikel, band in seine Website das Social Plugin „Gefällt mir“ ein („Like Button“). Mit jedem Aufruf der Website wurden personenbezogene Daten jedes Nutzers der Website an Facebook in Irland übermittelt, ohne dass die Nutzer einwilligten, hierüber den gesetzlichen Vorgaben entsprechend informiert wurden und unabhängig davon, ob die Nutzer einen Account bei Facebook hatten oder nicht.

Die Verbraucherzentrale Nordrhein-Westfalen hatte Fashion ID deshalb vor dem Landgericht Düsseldorf auf Unterlassung in Anspruch genommen und teilweise gewonnen. Hiergegen war Fashion ID vor dem Oberlandesgericht Düsseldorf in Berufung gegangen, welches den EuGH daraufhin um Klärung verschiedener Rechtsfragen bat (Beschluss v. 19.1.2017 – I-20 U 40/16).

Die wichtigsten Entscheidungen im Überblick

Der EuGH hat mit seinem Urteil mehrere Entscheidungen gleichzeitig getroffen:

  • Verbraucherschutzverbände sind zur Geltendmachung von Datenschutzverletzungen jedenfalls nach der alten Datenschutzrichtlinie klagebefugt.
  • Wer das Plugin eines Dritten (hier: Facebook als Plugin-Anbieter) mit wirtschaftlichen Vorteilen in seine Website einbindet, mit dem Tool personenbezogene Daten erhebt und diese an den Plugin-Anbieter übermittelt, geht eine gemeinsame Verantwortlichkeit mit dem Plugin-Anbieter gemäß Art. 26 DSGVO ein (englisch „Joint Controllership“).
  • Wird von einem Plugin ein Cookie auf dem Endgerät des Nutzers abgelegt oder werden vom Plugin (ggf. auch fremde) Cookies oder andere Informationen auf dem Endgerät ausgelesen, bedarf es hierfür einer vorherigen, ausdrücklichen Einwilligung des Nutzers (Opt-in). Ein späterer Widerspruch (Opt-out) ist nicht ausreichend. Der noch geltende § 15 Abs. 3 Telemediengesetz (TMG) kann ab sofort nicht mehr als Rechtsgrundlage herangezogen werden.
  • Bei Aufruf der Website muss die Einwilligung eingeholt und eine gesetzeskonforme Datenschutzinformation gemäß Art. 13, 14, 21 DSGVO erteilt werden – und zwar zwingend durch den Website-Betreiber. Zugleich müssen auch die besonderen Informationen gemäß Art. 26 Abs. 2 S. 2 DSGVO über das in gemeinsamer Verantwortlichkeit erfolgende Erheben und Übermitteln der Daten durch den Website-Betreiber an den Plugin-Anbieter zur Verfügung gestellt werden.
EuGH-Urteil nimmt Webseitenbetreiber in die Pflicht

Facebook-Like-Button

EuGH-Urteil nimmt Webseitenbetreiber in die Pflicht

31.07.19 - Webseitenbetreiber aufgepasst: Der Europäische Gerichtshof (EuGH) hat entschieden, dass Webseitenbetreiber mitverantwortlich für die Einhaltung von Datenschutzbestimmungen sind, wenn sie das Like-Button-Plugin von Facebook auf ihrer Webseite eingebunden haben. lesen

Nur Facebook Like-Buttons?

Das Urteil bezieht sich konkret auf den Like-Button von Facebook und dessen Einbindung in Websites. Die gerichtlichen Vorgaben gelten aber für alle Plugins und Tools, bei denen die Voraussetzungen aus dem Urteil vorliegen. Sie sind auch nicht auf Websites beschränkt, sondern auf alle Telemedien anwendbar, insbesondere auf Apps. Erfasst sind damit neben dem Like-Button von Facebook grundsätzlich nahezu alle Plugins der sozialen Netzwerke, aber auch das Facebook-Pixel, das LinkedIn Insight-Tag, Analyse-Tools wie Google Analytics oder Heatmap Tools wie Hotjar. Ebenso fallen Tools darunter, die etwa zur Ermöglichung von Push-Funktionalitäten Geräte-Kennziffern (Device-IDs) oder andere Informationen von Endgeräten auslesen.

Das müssen Shopbetreiber jetzt tun

Folgende Punkte sollte jeder Betreiber einer Website oder eines Shops jetzt prüfen:

  • Welche Plugins/Tools werden für die eigene Website/App genutzt? Häufig ist dies nicht bekannt, weil ein IT-Dienstleister oder eine Agentur nach eigenem Ermessen Tools in die Website/App „eingebaut“ haben.
  • Speichern die genutzten Plugins/Tools Informationen auf den Endgeräten der Seiten-Nutzer, insbesondere in Cookies, und übermitteln diese Informationen an den Anbieter? Alternativ: Greifen die genutzten Plugins/Tools auf bereits auf dem Endgerät der Nutzer gespeicherte Informationen zu, die dann an den Anbieter des Plugins/Tools übermittelt werden?
  • Verfolgen Website-/Shop-Betreiber mit der Nutzung der Plugins/Tools gleichartige Zwecke wie dessen Anbieter, insbesondere profitieren sie von der Verarbeitung der mit dem Plugin/Tool erhobenen oder sonst verarbeiteten Informationen durch den Anbieter des Plugins/Tools?

Für jedes Plugin/Tool, für das alle der obenstehenden Fragen mit „ja“ beantwortet werden, sind folgende Maßnahmen erforderlich:

  • Abschließen einer Vereinbarung mit dem Anbieter des Plugins/Tools über die gemeinsame Verantwortlichkeit gemäß Art. 26 Abs. 1 S. 2 DSGVO. Stellt der Anbieter keine solche Vereinbarung zur Verfügung und ist auch nicht bereit, eine vom Seitenbetreiber vorgeschlagene Vereinbarung zu akzeptieren, ist die Nutzung des Plugins/Tools immer datenschutzrechtswidrig.
  • Informierung der Nutzer der Website/App über das Plugin/Tool und Zur-Verfügung-Stellen der Datenschutzinformationen gemäß Art. 13, 14, 21 DSGVO sowie ergänzend die Informationen zur gemeinsamen Verantwortlichkeit gemäß Art. 26 Abs. 2 S. 2 DSGVO. Das muss passieren, bevor es zur Speicherung von oder zum Zugriff auf Informationen auf dem Endgerät des Nutzers kommt. Das Fehlen der Informationen ist ein Datenschutzverstoß.
  • Einholung einer ausdrücklichen Einwilligung (Opt-in) der Nutzer, die den Vorgaben insbesondere aus Art. 4 Nr. 11, Art. 6 Abs. 1 lit. a) und Art. 7 DSGVO entspricht, vor Aktivierung des Plugins/Tools sowie Dokumentierung des hierfür implementierten Prozess und der technischen Vorgänge im Zusammenhang mit der Einholung der Einwilligung. Es dürfen erst dann Informationen auf dem Endgerät gespeichert oder von dort abgerufen werden, wenn die Einwilligung des Nutzers vorliegt. Das ist nur möglich, wenn beim ersten Aufruf der Website mit einem Cookie-Overlay oder einer speziellen Landingpage zunächst die Einwilligung abgefragt wird, bevor die Datenverarbeitungen beginnen. Soweit Social-Media-Plugins genutzt werden, kann alternativ eine 2-Klick-Lösung wie der Shariff aus dem Heise Verlag eingesetzt werden. Dann muss die Einwilligung erst mit dem Aktivierungs-Klick des Nutzers auf ein Plugin/Tool eingeholt werden. Ohne die vorherige, ausdrückliche Einwilligung ist die Nutzung des Plugins/Tools datenschutzrechtswidrig. Eine Widerspruchslösung (Opt-out) reicht nicht mehr aus.

Wichtig: Setzen Benutzer ein Plugin/Tool ein, ohne diese Maßnahmen umgesetzt zu haben, laufen diese Gefahr, dass die Datenschutzaufsicht die weitere Nutzung untersagt und gegebenenfalls ergänzend eine Geldbuße gegen sie verhängt wird. Zudem können Besucher der Website und gegebenenfalls auch Mitbewerber rechtlich gegen Seitenbetreiber vorgehen.

Fahrplan – so planen Sie einen B2B-Shop richtig

B2B E-Commerce

Fahrplan – so planen Sie einen B2B-Shop richtig

15.11.18 - Beim Einstieg in den Online-Handel oder bei der Professionalisierung einer bestehenden Bestellplattform stehen B2B-Unternehmen vor großen Herausforderungen. Bedeutend für eine erfolgreiche Digitalisierung ist die richtige Planung der internen Abläufe und Entscheidungshierarchien. lesen

* Sascha Kremer ist Fachanwalt für IT-Recht und Datenschutzbeauftragter der shopware AG.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 46062766 / Social Media)