Der Europäische Gerichtshof hat sich in einer jüngsten Entscheidung (EuGH, Urteil vom 29.07.2019 – C-40/17 “Fashion ID“) zu den Gefällt-Mir-Schaltflächen (sog. Like Button) von Facebook geäußert und dazu, wie Webseitenbetreiber nach der DSGVO hierfür haften. Das Urteil dürfte weitreichende Folgen für alle haben, die eine Internetpräsenz pflegen.
Entschieden wurde, dass Webseitenbetreiber gemeinsam mit Facebook datenschutzrechtlich verantwortlich sind (Art. 26 DSGVO), wenn sie den Like-Button des sozialen Netzwerks auf ihrer Seite einbinden, da auf diese Art und Weise das Plugin personenbezogene Daten der Nutzer an Facebook überträgt.
Die Folge der gemeinsamen Verantwortlichkeit ist, dass Webseitenbetreiber und Facebook gemeinsam für Datenschutzverstöße haften. So können z.B. Auskunftsanfragen an jeden der Verantwortlichen gerichtet werden. Art. 26 DSGVO schreibt zudem zwingend vor, dass eine Vereinbarung darüber geschlossen wird, wer die Handlungsverpflichtungen nach der DSGVO jeweils erfüllt, wer z.B. den Informationspflichten gemäß Art. 13 DSGVO nachkommt, wer Ansprechpartner stellt usw.
Entschieden wurde auch, dass der Einsatz des Like-Buttons einer wirksamen Einwilligung bedarf. Dies wiederum setzt voraus, dass die Nutzer eine hinreichende Datenschutzinformationen vorab zur Verfügung gestellt bekommen haben.
Das Gericht bestätigte zudem, dass Verbraucherschutzorganisationen wie der Verbraucherzentrale Bundesverband e.V. Datenschutzverstöße abmahnen und einklagen dürfen. Dies sei in der Datenschutzgrundverordnung (DSGVO) ausdrücklich vorgesehen.
Folgen:
Die Folgen des Urteils beschränken sich nicht auf Facebook.
Immer dann, wenn auf der eigenen Website Programm-Code eines Drittanbieters eingebunden und diesem damit ermöglicht wird, personenbezogene Daten der Besucher der eigenen Website einzusammeln, ist von gemeinsamer Verantwortung auszugehen. Das betrifft demnach andere soziale Netzwerke, Marketingtools zur Analyse des Besucherverhaltens usw. Die Nutzung dieser Dienste setzt künftig den Abschluss einer entsprechenden datenschutzrechtlichen Vereinbarung voraus. Doch selbst dann sollte jedem klar sein, dass man für das Verhalten des anderen Teils grundsätzlich erst einmal voll haftbar ist, abgemahnt werden oder mit Bußgeldern belegt werden kann.
Klar ist nun auch, dass für jede Art Cookie stets eine Einwilligung erforderlich ist und das jeweils vollständige und hinreichend detaillierte Datenschutzinformationen bereitzustellen sind. Webseiten müssen nun Opt-In-Banner installieren. Die weithin gängige Praxis auf vielen Seiten, dass die Cookies erstmal gesetzt und erst bei Opt-Out wieder entfernt werden, ist rechtswidrig.
Die Pressemitteilung des Gerichtes ist hier abrufbar.