EuGH Entscheidung zum „Facebook-Like“-Button (EuGH 29.07.2019, C-40/17)

Die Entscheidung

Der EuGH hat am 29.07.2019 entschieden, dass der Betreiber einer Website, in der der „Gefällt mir“-Button von Facebook enthalten ist, für das Erheben und die Übermittlung der personenbezogenen Daten der Besucher seiner Website gemeinsam mit Facebook verantwortlich sein kann.

Außerdem hat der EuGH festgestellt, dass der Einsatz des „Gefällt mir“-Buttons von Facebook einer Einwilligung (und vollständiger Datenschutzinformationen) bedarf, soweit bei dem But-ton tatsächlich Cookies gesetzt werden. Werden keine Cookies gesetzt, kann das berechtigte Interesse als Rechtsgrundlage herangezogen werden. Diese konkrete Frage ließ der EuGH offen, so dass das zuständige OLG Düsseldorf, das den EuGH zuvor angerufen hatte, nun noch darüber entscheiden muss.

Egal, welche Rechtsgrundlage am Ende im Einzelfall vorliege, der Webseitenbetreiber habe die User jedenfalls darüber zu informieren, dass IP-Adressen erhoben und an Facebook weitergeleitet werden.

Handlungsbedarf

Das OLG Düsseldorf muss nun entscheiden, auf welcher Rechtsgrundlage die Erhebung und Verarbeitung der Daten erfolgen kann. Wir werden Sie weiter informieren, wobei eine Entscheidung keinesfalls vor dem Monat März 2020 zu erwarten ist. Wer jedoch keine Risiken eingehen will, sollte bereits jetzt:

  • die Einwilligung der Besucher für den Facebook-Like-Button einholen, also das nötige Opt-In (also einen Cookie-Banner) auf der Homepage installieren und
  • die Datenschutzerklärung anpassen.

Die „drohende“ Notwendigkeit der Einwilligungs-erklärung würde für alle Social-Media-Plugins (nicht für Links!), Videos, Tracking- und Online-marketing Tools gelten, die Daten der Nutzer er-heben bzw. sobald Daten der Nutzer gespeichert oder ausgelesen werden – denn sie funktionieren nach einem ähnlichen Prinzip wie das Facebook-Plugin. Auch wenn es auf Dauer hoffentlich bessere browserinterne Verfahren zur Opt-In-Einholung gibt und Cookie-Banner damit ggf. überflüssig werden.

Außerdem können andere Tools eingesetzt wer-den, wie z.B. die Shariff-Lösung, bei der der Nutzer mit den Social-Media-Buttons für Facebook u.a. unsichtbar bleibt, solange er nicht auf den Button klickt, um Inhalte zu teilen.

Cookie-Banner

Hinsichtlich der Installation von Cookie-Bannern sollten folgende Hinweise der Datenschutzkonferenz (DSK) berücksichtigt werden (aus DSK 2019, Orientierungshilfe der Aufsichtsbehörden für An-bieter von Telemedien, S. 9):

Durch eine vorgeschaltete Abfrage beim ersten Aufruf einer Website oder einer Web-App kann u.a. eine wirksame Einwilligung für einwilligungs-bedürftige Datenverarbeitungen eingeholt werden (Fn.: Die Nutzung von Cookies ist nicht per se einwilligungsbedürftig. Entsprechende Banner sollen daher nur eingesetzt werden, wenn tat-sächlich eine Einwilligung notwendig ist.). Dabei sind jedoch folgende Anforderungen zu beachten:

  • Beim erstmaligen Öffnen einer Website er-scheint das Banner beispielsweise als eigenes HTML-Element. In der Regel besteht dieses HTML-Element aus einer Übersicht aller einwilligungsbedürftigen Verarbeitungsvorgänge, die unter Nennung der beteiligten Akteure und deren Funktion ausreichend erklärt wird und über ein Auswahlmenü aktiviert werden können. Aktivieren bedeutet in diesem Zusammenhang, dass die Auswahlmöglichkeiten nicht „aktiviert“ vor-eingestellt sein dürfen.
  • Während das Banner angezeigt wird, werden zunächst alle weitergehenden Skripte einer Website oder einer Web-App, die potenziell Nutzerdaten erfassen, blockiert. Der Zugriff auf Impressum und Datenschutzerklärung darf durch „Cookie-Banner“ nicht verhindert werden.
  • Erst wenn der Nutzer seine Einwilligung(en) durch eine aktive Handlung, wie zum Beispiel das Setzen von Häkchen im Banner oder den Klick auf eine Schaltfläche abgegeben hat, darf die einwilligungsbedürftige Datenverarbeitung tatsächlich stattfinden. Dies muss durch technische Maßnahmen sichergestellt sein.
  • Zur Erfüllung der Nachweispflichten des Art. 7 Abs. 1 DSGVO ist es gem. Art. 11 Abs. 1 DSGVO nicht erforderlich, dass die Nutzer dazu direkt identifiziert werden. Eine indirekte Identifizierung (vgl. Erwägungsgrund 26) ist ausreichend. Damit die Entscheidung des Nutzers für oder gegen eine Einwilligung bei einem weiteren Aufruf der Website berücksichtigt wird und das Banner nicht erneut er-scheint, kann deren Ergebnis auf dem End-gerät des Nutzers ohne Verwendung einer User-ID o. ä. vom Verantwortlichen gespeichert werden. Durch ein solches Verfahren kann der Nachweis einer vorliegenden Einwilligung erbracht werden.
  • Da eine Einwilligung widerruflich ist, muss eine entsprechende Möglichkeit zum Wider-ruf implementiert werden. Der Widerruf muss so einfach möglich sein wie die Erteilung der Einwilligung, Art. 7 Abs. 3 S. 4 DSG-VO.
  • Verantwortliche müssen sicherstellen, dass die Einwilligung nicht nur das Setzen von einwilligungsbedürftigen Cookies umfasst, sondern alle einwilligungsbedürftigen Verarbeitungstätigkeiten, wie z.B. Verfahren zur Verfolgung der Nutzer durch Zählpixel oder div. Fingerprinting-Methoden, wenn diese nicht aufgrund einer anderen Rechtsgrund-lage zulässig sind.

 

Datenschutzerklärung

Darüber hinaus müssen noch Anpassungen diesbezüglich in der Datenschutzerklärung vorgenommen werde.