Urteil DS-GVO klemmt Like-Buttons ab
Die "gemeinsame Verantwortlichkeit" für die Sammlung von personenbezogenen Daten durch Social-Media-Plugins wird für Webseitenbetreiber zur kaum lösbaren Verantwortung und zum rechtlichen Minenfeld.
Die Problematik von Social-Media-Plugins ist schnell umrissen: Sie tun mehr, als sie eigentlich müssten. Implemetiert werden Like-Buttons von Webseitenbetreibern, um ihre Besucher auf die eigene Facebook-, Instagram- oder sonstige Social-Media-Präsenz aufmerksam zu machen. Diese wird gegebenenfalls besser gepflegt, als die Webseite und kann ergo zu einer besseren Kundenbindung und mithin zu höheren Umsätzen beitragen. Rein technisch würde hierfür ein Link genügen, die gängige Lösung sieht hingegen anders aus.
Geliefert werden meist mehrere Zeilen Quellcodes, in denen sich ganze Scripte oder iFrames verbergen, die das Nutzerverhalten des Seitenbesuchers erfassen und Informationen wie das Besuchsdatum, die Uhrzeit des Besuchs, die Webseite, auf der sich der Besucher befindet, der verwendete Browser, das verwendete Betriebssystem, aber eben auch die IP-Adresse und - je nach Plugin - sogar die Browserhistorie an die Social-Media-Plattform weiterreichen.
Sachverhalt aus 2015
Bereits 2015 mahnte die Verbraucherzentrale Nordrhein-Westfalen den Webshop Fashion ID (Peek & Cloppenburg) dafür ab, über den Facebook-Like-Button ungefragt Daten der Seitenbesucher an Facebook zu übertragen. Der Fall ging vor Gericht (Az.: 12 O 151/15), das einen Verstoß gegen Datenschutzrecht erkannte und die Verantwortlichkeit des Seitenbetreibers im Sinne der Störerhaftung annahm. Das mit der Revision betraute OLG Düsseldorf legte in der Folge seine Fragen zum Datenschutz dem Europäischen Gerichtshof (EuGH) vor, dessen Urteil jetzt ergangen ist (Urt. v. 29. Juli 2019, C-40/17).
Der EuGH urteilte, dass den Webseitenbetreiber zwar für die spätere Verwendung der erhobenen Daten durch Facebook keine Verantwortung trifft, er aber sehr wohl für die Erhebung und Weitergabe der Daten auf seiner Webseite verantwortlich im Sinne des Datenschutzrechts ist. Es brechen ergo unruhige Zeiten an. Denn während sich das Urteil des EuGH noch auf altes Datenschutzrecht bezog, werden künftige Abmahnungen und Prozesse über aktuelles Recht geführt. Im Sinne der DSGVO ist eine Erfassung und Verarbeitung von personenbezogenen Daten aber nur dann zulässig, wenn ein berechtigtes Interesse oder aber eine Einwilligung vorliegt.
"Gemeinsame Verantwortlichkeit"
Ein berechtigtes Interesse für die Erfassung der Daten durch den Like-Button dürfte schwer herbei zu argumentieren sein und eine Einwilligung den Tod des Buttons statieren. Niemand aktiviert freiwillig einen Datenspion. Ganz unbeachtet einer weiteren Frage, die jeden Webseitenbetreiber vor einer "gemeinsamen Verantwortlichkeit" am meisten zurückschrecken lassen dürfte: Das Recht auf Vergessen, hier im Wege des Löschungsverlangens nach Art. 17 DSGVO. Dieses müsste er für den Nutzer bei Facebook durchzusetzen. Ob sich dieser einmal aus der Flasche entlassene Geist aber jemals wieder einfangen läßt, ist mehr als fraglich.