EuGH-Urteil zu Facebook: Social-Plugins nur mit Einwilligung der Nutzer erlaubt

Plugins sozialer Netzwerke auf Webseiten dürfen nur mit Zustimmung betroffener Nutzer personenbezogene Daten an Anbieter wie Facebook oder Twitter übertragen. Das entschied der Europäische Gerichtshof (EuGH) am Montag in Luxemburg (Az. 40/17) und bestätigte damit ein Urteil des Landgerichts Düsseldorf vom März 2016. Der Entscheidung zufolge sind die Webseitenbetreiber, die beispielsweise einen "Gefällt mir"-Button von Facebook einbinden, für die Datenverarbeitung mitverantwortlich. Daher seien sie auch dazu verpflichtet, die Einwilligung einzuholen, "da der Verarbeitungsprozess der personenbezogenen Daten dadurch ausgelöst wird, dass ein Besucher diese Website aufruft".

In dem Verfahren ging es um die Frage, welche datenschutzrechtlichen Verantwortungen sich für Anbieter ergeben, die einen "Gefällt mir"-Button von Facebook in ihre Webseiten einbinden. Das Oberlandesgericht Düsseldorf hatte den Luxemburger Richtern im Berufungsverfahren im Januar 2017 einen entsprechenden Fragenkatalog vorgelegt (Az: I-20 U 40/16). In dem Verfahren hatte der zuständige EuGH-Generalanwalt Michal Bobek im vergangenen Dezember seinen Schlussantrag veröffentlicht (PDF), dem die Richter nun im Wesentlichen gefolgt sind.

Fashion ID profitiert wirtschaftlich

Geklagt hatte die Verbraucherzentrale NRW gegen den Anbieter Fashion ID, der die Internetseite des Düsseldorfer Modehauses Peek & Cloppenburg betreibt. Mittlerweile muss der Nutzer dort Social-Media-Dienste explizit aktivieren und stimmt damit zu, "dass Daten an die Betreiber der sozialen Netzwerke übertragen werden". Die Verbraucherzentrale NRW hatte sechs Unternehmen wegen des Like-Buttons abgemahnt.

Die Richter gehen davon aus, "dass Fashion ID und Facebook Ireland gemeinsam über die Zwecke der Vorgänge des Erhebens der im Ausgangsverfahren in Rede stehenden personenbezogenen Daten und der Weitergabe durch Übermittlung entscheiden". Zur Begründung heißt es: "Um in den Genuss dieses wirtschaftlichen Vorteils kommen zu können, der in einer solchen verbesserten Werbung für ihre Produkte besteht, scheint Fashion ID mit der Einbindung eines solchen Buttons in ihre Website zumindest stillschweigend in das Erheben personenbezogener Daten der Besucher ihrer Website und deren Weitergabe durch Übermittlung eingewilligt zu haben."

Nicht für alle Vorgänge verantwortlich

Die daraus resultierende Verantwortlichkeit erscheine sogar noch höher, wenn die Nutzer über kein eigenes Facebook-Konto verfügten, "da das bloße Aufrufen einer solchen Website, die den 'Gefällt mir'-Button von Facebook enthält, offenbar automatisch die Verarbeitung ihrer personenbezogenen Daten durch Facebook Ireland auslöst". Dabei verweisen die Richter auf das Urteil zu Facebook-Fanpages, das den Betreiber ebenfalls eine Mitverantwortung beim Datenschutz zugesprochen hatte.

Dem Urteil zufolge sind die Webseitenbetreiber jedoch nicht für alle Datenverarbeitungsvorgänge verantwortlich, die sich aus der Einbindung der Social-Plugins ergeben. Die Verantwortung beschränke sich auf Vorgänge, "für den bzw. für die er tatsächlich über die Zwecke und Mittel entscheidet". Die entsprechenden Verpflichtungen für Einwilligung und Informationen erstreckten sich daher "nicht auf Vorgänge der Verarbeitung personenbezogener Daten, die andere, diesen Vorgängen vor- oder nachgelagerte Phasen betreffen, die die Verarbeitung der in Rede stehenden personenbezogenen Daten gegebenenfalls mit sich bringt".

Aus dem Urteil geht jedoch nicht hervor, an welcher Stelle die Nutzer ihre Einwilligung für vor- oder nachgelagerte Verarbeitungsvorgänge geben können. Gerade für Nutzer, die kein eigenes Konto bei dem sozialen Netzwerk haben, besteht daher weiterhin eine Schutzlücke.

Verbandsklagerecht bestätigt

Außerdem bestätigte der EuGH das Klagerecht deutscher Verbraucherverbände in Datenschutz-Fragen auf europäischer Ebene. Der Entscheidung zufolge steht die frühere EU-Datenschutzrichtlinie keiner nationalen Regelung entgegen, "die es Verbänden zur Wahrung von Verbraucherinteressen erlaubt, gegen den mutmaßlichen Verletzer von Vorschriften zum Schutz personenbezogener Daten Klage zu erheben".

Diese Entscheidung hat Auswirkungen auf eine weitere Datenschutzklage im Zusammenhang mit Facebook. In diesem Fall ging es um die Datenweitergabe von Facebook an App-Anbieter. Im April 2019 hatte der Bundesgerichtshof (BGH) Zweifel an der Klagemöglichkeit von Verbänden beim Datenschutz geäußert. Da das Oberlandesgericht Düsseldorf den Luxemburger Richtern eine entsprechende Frage zum Verbandsklagerecht vorgelegt hatte, hatte der BGH sein eigenes Verfahren vorläufig ausgesetzt.

Die Verbraucherzentrale NRW begrüßte das Urteil. "Der Praxis von Facebook, mittels des Like-Buttons Daten ohne Wissen der Nutzer abzugreifen, um sie für weitere Zwecke - etwa für passgenaue Werbung - zu verwenden, wird nun ein Riegel vorgeschoben. Unternehmen, die von den Daten der Verbraucher profitieren, müssen jetzt ihrer Verantwortung gerecht werden", teilte der Verband mit. Das Oberlandesgericht werde sich im Berufungsverfahren dazu äußern müssen, ob eine ausdrückliche Einwilligung der betroffenen Nutzer erforderlich gewesen sei. Die Verbraucherzentrale NRW werde das Urteil dann zum Maßstab für eine Überprüfung nehmen, wie Webseitenbetreiber der geforderten Mitverantwortung beim Datenschutz nachkämen.