Den Facebook-Like-Button gibt es seit 2009 und zwischenzeitlich war er auf sehr vielen Websites zu finden. Aufgrund zahlreicher Abmahnungen und Gerichtsverfahren wegen datenschutzrechtlicher Bedenken hat sich das mittlerweile geändert. Das Problem ist, dass schon beim Besuch dieser Seiten automatisch Daten wie die IP-Adresse des Besuchers und Zeit des Aufrufs der Website an Facebook übertragen werden – selbst, wenn die Nutzer nicht einmal bei dem Social-Media Giganten registriert sind. Auch von ihnen können so anonyme Surfprofile erstellt werden. Ist ein Nutzer sogar schon eingeloggt, kann Facebook nachvollziehen, welche Internetseiten er besucht hat. Es entsteht de facto eine Überwachung im Netz.

Die beklagten Seitenbetreiber, die das Plugin bei sich eingebunden hatten, standen jedoch regelmäßig vor dem Dilemma, nicht zu wissen, was Facebook eigentlich mit den erhobenen Daten macht. Wie aber sollten sie Betroffene dann umfassend über die Datenverarbeitung informieren und darauf basierend eine möglicherweise erforderliche Einwilligung einholen?

Die Entscheidung des Europäischen Gerichtshofs (EuGH) im Verfahren der Verbraucherzentrale NRW gegen Fashion ID (Peek & Cloppenburg) bringt nun zumindest etwas mehr Klarheit (Urt. v. 29. Juli 2019, C-40/17). Doch: Was genau hat der EuGH eigentlich wirklich entschieden? Dem Medienecho nach zu urteilen scheiden sich über die Interpretation des Urteils offensichtlich die Geister.

Zunächst einmal schien es so, als habe der EuGH eine salomonische Entscheidung getroffen: Website-Betreiber, die den Facebook-Like-Button verwenden, sind zwar mitverantwortlich für die Erhebung und Weitergabe durch Übermittlung der Daten und müssen für diesen Teil auch alle datenschutzrechtlichen Pflichten erfüllen. Im Hinblick auf die weitere Datenverarbeitung durch Facebook muss dann aber der US-Konzern allein die Verantwortung übernehmen. Die datenschutzrechtlichen Pflichten treffen einen also nur für den Bereich, den man auch tatsächlich im Griff hat. Über diese Verwendung der personenbezogenen Daten soll der Seitenbetreiber die Nutzer dann auch informieren. Das gelingt in der Regel über die Datenschutzerklärung. Dabei ist er – wie schon bei den Facebook-Fanpages – auf die Mithilfe von Facebook angewiesen. So weit, so gut.

Doch was ist nun mit der Einwilligung? Viele Medien haben berichtet, der EuGH habe sich explizit dafür ausgesprochen, dass Seitenbetreiber immer eine solche einholen müssen, wenn sie das Plugin verwenden.

Tatsächlich hat der EuGH aber offen gelassen, ob Website-Betreiber nach dem früheren Datenschutzrecht (die DSGVO war für diesen Fall noch nicht anwendbar) nun eine explizite vorherige Einwilligung des Nutzers benötigen oder ob sie sich auf ein wie auch immer geartetes berechtigtes Interesse zur Einbindung dieses Buttons berufen können. Welche Rechtsgrundlage nach dem Datenschutzrecht nun tatsächlich erforderlich ist, muss erst das Oberlandesgericht (OLG) Düsseldorf klären.

Der EuGH hat lediglich für jeden der beiden Fälle die Frage der Verantwortlichkeit geklärt: Sollte eine Einwilligung erforderlich sein, muss der Seitenbetreiber diese nur für seinen Bereich einholen, Facebook hingegen für die anschließende Verarbeitung. Sollte es auf eine Interessenabwägung hinauslaufen, muss jeder der Verantwortlichen jeweils ein eigenes berechtigtes Interesse vorweisen können.

Anlass für Diskussionen bereitet darüber hinaus noch ein anderer Aspekt der Entscheidung. Dieser befasst sich gar nicht mit der im Zentrum des Urteils stehenden Datenschutzrichtlinie, sondern mit der E-Privacy-Richtlinie, auch Cookie-Richtlinie genannt. Der EuGH hat nämlich entschieden, dass nach dieser Richtlinie beim Setzen von Cookies immer eine vorherige Einwilligung des Nutzers erforderlich ist. Ob der Facebook-Like-Button automatisch Cookies setzt, lässt das Gericht zwar offen – es hat dem Oberlandesgericht (OLG) Düsseldorf jedoch den Auftrag gegeben, dies zu prüfen.

Bedeutet das nun, dass Website-Betreiber für das Setzen vieler Arten von Cookies auf eine Einwilligung der Nutzer setzen müssen? Derzeit berufen sich viele noch auf ihr berechtigtes Interesse und informieren ihre Nutzer lediglich darüber.

Das ist tatsächlich auch noch nicht klar. Dafür muss sich das OLG erst mit der Frage auseinandersetzen, inwieweit die Aussagen des EuGH zur Cookie-Richtlinie überhaupt in Deutschland relevant sind. Deutschland hatte diese Richtlinie nämlich niemals richtig umgesetzt.

Was bedeutet das nun alles zukünftig für Website-Betreiber? Das ist tatsächlich noch relativ unklar, denn nun gilt die DSGVO, zu der sich der EuGH nicht geäußert hat.

Wahrscheinlich werden Seitenbetreiber und Facebook auch nach der DSGVO als gemeinsam Verantwortliche anzusehen sein. Allerdings sind die daraus folgenden Konsequenzen in der DSGVO anders ausgestaltet als im alten Recht.

Bei der Frage, ob es zukünftig beim Facebook-Like-Button auf eine Einwilligung der Nutzer ankommt oder nicht, ist hingegen noch alles offen. Zum einen, weil im Hinblick auf die vom EuGH erwähnte Cookie-Richtlinie einige juristische Streitfragen bestehen. Zum anderen, weil nicht klar ist, was das OLG Düsseldorf zum alten Datenschutzrecht entscheiden wird: Wird es auf eine Einwilligung setzen oder ein berechtigtes Interesse für ausreichend erachten?

Klar ist allerdings, dass zumindest diese Erwägungen des OLG Düsseldorf zum alten Datenschutzrecht auf die DSGVO übertragbar sein werden. Verlangt das OLG hier tatsächlich eine Einwilligung für den Facebook-Like-Button, ist nach dem EuGH-Urteil der Seitenbetreiber dafür zuständig, diese einzuholen. Website-Betreibern wäre dann (weiterhin) zu empfehlen, auf die bereits bekannte Zwei-Klick-Lösung zu setzen. Dabei wird zunächst nur ein Bild des Buttons eingebunden, erst nach erfolgter Einwilligung wird der komplette Facebook-Like-Button nachgeladen.

Fazit: Der europäische Gerichtshof hat die Zügel in Sachen Datenschutz noch einmal angezogen. Den Aufsichtsbehörden in Deutschland wird dieses Urteil schmecken. Ihnen war der Facebook-Like-Button schon lange ein Dorn im Auge.