Facebook Like Buttons und andere Social Media Inhalte auf (Unternehmens-)Websites – Vorsicht ist geboten

Der Europäische Gerichtshof (EuGH) hat in seinem kürzlich ergangenen Urteil (C-40/17) neuerlich datenschutzrechtliche Klarstellungen zu Social Media Plugins auf Websites (Facebook Like Button) geliefert. Gegenstand des Verfahrens war eine Unterlassungsklage einer Deutsche Verbraucherzentrale gegen Fashion ID, ein Online-Modehändler der Peek & Cloppenburg KG Gruppe. Fashion ID integrierte auf seiner Unternehmenswebseite bzw. in seinem Webshop ein Facebook Plugin (konkret den Like Button).

Solche Plugins werden häufig auf Unternehmenswebsites und Unternehmenswebshops eingesetzt. Die wenigsten Website- oder Webshopbetreiber wissen jedoch, dass solche schon beim Öffnen der Website automatisch Informationen und personenbezogene Daten erheben und an Facebook übertragen. Dies unabhängig davon, ob der Besucher über einen Facebook Account verfügt oder den Like-Button auf der Website anklickt. Der EuGH hat nun Klarstellungen getroffen, wonach der Websitebetreiber und Plugin Anbieter künftig gemeinsam verantwortlich für die Erhebung und Übertragung der Daten zum Plugin Anbieter sind. Folglich, so der EuGH, sind die Nutzer entsprechend zu informieren und deren Einwilligungen einzuholen.

Für die Praxis bedeutet dies, dass Unternehmen Maßnahmen ergreifen müssen, um weiterhin Like-Buttons und andere Social Media Plugins (Twitter, Instagram, LinkedIn, Xing, YouTube) rechtskonform nutzen zu können.

Erstens hat jeder Websitebetreiber künftig mit dem jeweiligen Plugin Anbieter eine Vereinbarung über die gemeinsame Verantwortlichkeit (gemäß Art. 26 DSGVO) abzuschließen. Es ist davon auszugehen, dass Facebook und andere Anbieter solche Vereinbarungen über die gemeinsame Verantwortlichkeit zur Verfügung stellen werden. Diese Standardvereinbarungen sollten genau überprüft werden - geht man von dem Inhalt der derzeit verfügbaren Standardvereinbarungen für Facebook Fanpages aus, könnten Betreiber mit der Geltung des irischen Rechts, eines irischen Gerichtsstands und der irischen Datenschutzbehörde konfrontiert werden.

Zweitens müssen in den eigenen Datenschutzerklärungen Verweise auf diese Standardvereinbarungen gesetzt, die Rechtfertigungsgründe für die Datenverarbeitung angeführt und die Websitenutzer ausreichend informiert werden.

Drittens ist zu beachten, dass Plugins wie der Like-Button personenbezogene Daten der Websitebesucher bereits mit dem Öffnen der jeweiligen Website erheben und verarbeiten (unabhängig davon, ob man auf den Like Button klickt). Da die Informationen jedoch bereits vor der Erhebung und Verarbeitung der Daten erteilt werden müssen, ist die Erweiterung von Cookie-Banner-Lösungen (Opt-in) notwendig. Alternativ bieten sich auch sogenannte Zwei-Klick-Lösungen an. Dadurch findet eine Erhebung und Übertragung der Daten erst statt, nachdem die Informationspflichten erfüllt wurden.

Viertens ist nunmehr klar, dass für die Erhebung und Verarbeitung von Daten durch den Facebook Like-Button vorab die Einholung der Einwilligungen der Websitebesucher notwendig ist, da der Like-Button Cookies auf den Geräten der Websitebesucher platziert. Sofern andere Social Media Plugins ebenfalls mit der Platzierung von Cookies arbeiten, gilt für diese dasselbe.

Zusammengefasst sollten Websitebetreiber daher prüfen, ob sie Social Media Plugins auf Ihrer Website integriert haben, und müssen hinreichende Informationen über die Erhebung und Verarbeitung über das Plugin an die Websitebenutzer erteilen sowie entsprechende  Einwilligungen der Websitebenutzer einholen.