Es ist bis heute das bekannteste Symbol von Facebook: Der ausgestreckte weiße Daumen ist im Internet das universelle Zeichen für "Gefällt mir". 2009 führte Facebook die als Like-Button bekannte Schaltfläche ein, damit die Nutzerinnen und Nutzer ihre Zustimmung für Beiträge oder Fotos von anderen bekunden konnten. Wenig später tauchte der Like-Button auch außerhalb von Facebook auf. Websitebetreiber konnten ihn in Form eines kleinen Social-Media-Plugins auf ihren Seiten einbinden, sodass Besucher die Inhalte schnell teilen konnten.
Jetzt, zehn Jahre nach der Einführung, beschäftigte sich der Europäische Gerichtshof (EuGH) mit genau dieser Einbindung. Es ging vor allem um die Frage, wer für die nach der Einbindung anfallende Datenübertragung verantwortlich ist. Die Richter in Luxemburg entschieden: Websites, die den Like-Button einbinden, müssen die Nutzerinnen darüber informieren. Dabei geht es jedoch nur um die Erhebung und Übermittlung der Daten – für die anschließende Verarbeitung der Informationen ist Facebook allein zuständig.
Die wichtigsten Fragen und Antworten:
Was soll an Like-Buttons problematisch sein?
Sobald ein Internetnutzer eine Website öffnet, auf der ein Like-Button eingebunden ist, werden Daten an die Server von Facebook übertragen. Dazu gehören etwa die IP-Adresse und Cookies, die personenbezogene Daten der Nutzer enthalten, selbst wenn diese nicht bei Facebook eingeloggt oder gar kein Mitglied ist. Facebook bekommt also Daten, ohne dass Websitebesucher sich bewusst dafür entschieden hätten. Datenschützer argumentieren seit Jahren, dass diese gegen europäisches Datenschutzrecht verstoßen könnten.
Worum ging es im konkreten Fall?
Die Verbraucherzentrale Nordrhein-Westfalen mahnte 2015 sechs Unternehmen ab, die den Facebook-Like-Button auf ihrer Website eingebunden hatten. Eines der Unternehmen war Fashion ID, eine Tochtergesellschaft der Peek & Cloppenburg KG. Die Firma gab keine Unterlassungserklärung ab, die Verbraucherzentrale klagte darauf – und bekam 2016 Recht: Das Landgericht Düsseldorf urteilte, dass Unternehmen über die Weitergabe von Daten durch Like-Buttons aufklären müssen (Az. 12 O 151/15). Fashion ID legte Berufung ein und das Verfahren ging ans Oberlandesgericht (OLG) Düsseldorf (Az. I-20 U 40/16). Das wiederum wandte sich an den EuGH und legte sechs Fragen bezüglich der Auslegung der europäischen Datenschutzrichtlinien vor (Az. C-40/17).
Welche Fragen sollte der EuGH beantworten?
Die wichtigste Frage ist, wer für den Like-Button verantwortlich ist: Facebook selbst oder die Seite, die ihn einbaut. Müssen Unternehmen die Nutzer über die Verwendung ihrer Daten aufklären und ein Einverständnis einholen? Und könnte ein Unternehmen als sogenannter Störer haftbar gemacht werden, selbst wenn die Verantwortung bei Facebook liegt? Schon im Juni 2018 beschäftigte sich der EuGH mit einer ähnlichen Frage, damals ging es um die Verantwortung bei Facebook-Fanseiten. Damals entschied der Gerichtshof, dass Websitebetreiber gemeinsam mit Facebook für den Datenschutz verantwortlich sind (Az. C-210/16).
Wie entschied der EuGH genau?
Die Richter urteilten, dass Fashion ID für die Erhebung der Daten und die Weiterleitung an das Netzwerk "als gemeinsam mit Facebook verantwortlich angesehen werden" kann. Denn Fashion ID und Facebook entschieden auch "gemeinsam über die Zwecke und Mittel" des Datentransfers. Letztlich gehe es darum, Werbung zu optimieren und damit einen "wirtschaftlichen Vorteil" zu erreichen.
Auch für alle weiteren Betreiber von Websites mit einem "Gefällt-mir"-Button gilt künftig, dass sie für die Erhebung und Übermittlung persönlicher Daten an Facebook eine Mitverantwortung tragen. In dieser Funktion müssen sie ihren Besucherinnen auch über die Datenerhebung informieren, etwa über deren Zweck. Für die spätere Datenverarbeitung durch Facebook könne der Betreiber aber nicht haften. Das entkräftet möglicherweise die Sorge einzelner Anwälte, dass Websitebetreiber für etwaige Datenschutzverstöße durch Facebook mitverantwortlich gemacht werden könnten.
Welche Rolle spielte die DSGVO?
Die europäische Datenschutz-Grundverordnung (DSGVO) gilt erst seit dem 25. Mai des vergangenen Jahres. Weil das Verfahren schon viel länger läuft, bezieht es sich noch auf den Vorgänger, die Richtlinie 95/46/EG. Die DSGVO hat aber ganz ähnliche Regeln zum Schutz von persönlichen Daten, sodass sich vieles aus dem Urteil übertragen ließ.
Welche Folgen hat das Urteil?
Die Auslegung des EuGH dürfte eine Vorbildwirkung für künftige Urteile haben, die Social Plugins betreffen, also auch auf anderen Seiten und auch von anderen Anbietern als Facebook. Auch Google, Twitter oder Pinterest bieten ähnliche Schaltflächen an.
Websitebetreiber müssen künftig beim Besuch der Website darauf hinweisen, dass Daten erhoben und übermittelt werden. Das könnte etwa durch eine Pop-Up-Warnung geschehen, in der auf die Datenschutzbestimmungen hingewiesen wird. Viele Websites nutzten schon jetzt eine weniger aggressive "Zwei-Klick-Lösung". Hier wird zunächst nur ein Bild des Like-Button eingeblendet und erst nach einem Klick darauf beginnt die Datenübermittlung.
Mit Material der dpa