Mit Datum vom 29.07.2019 hat der EuGH (Az. C-40/17) entschieden, dass Verantwortliche, die den Facebook-„Like-Button“ in ihre Webseite einbinden, eine gemeinsame Verantwortung nach Art. 26 Abs. 1 S. 1 DS-GVO mit dem Betreiber der Social-Media-Plattform begründen. Durch Besuch der Webseite werden personenbezogene Daten des Besuchers (IP-Adresse, Browser-String) an Facebook Irland übermittelt – ganz unabhängig davon, ob der „Like-Button“ angeklickt wird und selbst dann, wenn der Besucher über kein Facebook-Nutzerkonto verfügt.

Diese Sichtweise überrascht nicht. Bereits im vergangenen Jahr entschied der EuGH mit ähnlich Argumentation, dass der Betrieb einer Facebook-Fanpage eine gemeinsame Verantwortung mit Facebook zur Folge hat (EuGH, Urt. v. 05.06.2018, Az. C-210/16).  

Nach der Entscheidung des EuGHs ist es damit an den Inhabern der Webseiten, die Besucher über die gemeinsame Verantwortung mit Facebook sowie die Verarbeitung ihrer personenbezogenen Daten zu informieren und die Legitimität der Übermittlung sicherzustellen. 

Dies kann – so wie es derzeit der Mehrzahl der Medien zu entnehmen ist – über eine Einwilligung des Besuchers in die Übermittlung seiner personenbezogenen Daten an Facebook erfolgen. Nach Auffassung des EuGHs ist eine solche Lösung jedenfalls dann erforderlich, wenn es sich bei dem Like-Button um ein Cookie handelt – in den Worten des EuGHs dann, wenn eine „Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind“ erfolgt.

Sollte es sich beim Like-Button hingegen nicht um ein Cookie handeln, kommt eine Rechtfertigung der Verarbeitung auch auf Grundlage des berechtigten Interesses in Betracht – dies lässt der EuGH offen.

Ihnen als Verantwortlichen für die Webseite ist nach der Entscheidung zwecks Risikoreduzierung zu empfehlen, sich zugunsten der Einwilligung oder des berechtigten Interesses zu entscheiden, bei Wahl des berechtigten Interesses eine Interessenabwägung vorzuhalten, sowie unabhängig von der gewählten Rechtsgrundlage im Rahmen der Datenschutzerklärung über Einsatz und Funktionsweise des Like-Buttons zu informieren.

Auch Möglichkeiten zur Unterbindung der automatischen Übermittlung personenbezogener Daten an Facebook bei Aufruf der Seite sollten geprüft werden. Hier besteht die Möglichkeit durch Einsatz des „Shariff-Buttons“ oder einer „Zwei-Klick“-Lösung die Übermittlung an Facebook von einer vorherigen Aktion des Nutzers abhängig zu machen und damit die Webseite datenschutzkonformer zu gestalten.

Vergleichbar mit dem Fall „Fanpages“ ist zu erwarten, dass Facebook eine Standardvereinbarung über die gemeinsame Verantwortung bereitstellen wird. Auch auf diese sollte im Rahmen der Datenschutzerklärung der jeweiligen Webseite verwiesen werden, sobald diese vorliegen.

Nicht aus dem Fokus geraten sollte auch, dass die Entscheidung des EuGHs über den Like-Button hinaus weitere Auswirkungen hat – betroffen sind von den im Urteil dargelegten Grundsätzen nämlich auch andere Social Media Plugins, wie z.B. von Instagram oder XING. Auch hier werden die Anbieter der Plattformen zeitnah Vereinbarungen zur gemeinsamen Verantwortung bereitstellen müssen, um sich der neuen Rechtsprechung anzupassen.

Autor: CK