Datenschutz beim Facebook-Like-Button
Wie Sie Ihren „Gefällt mir“-Button datenschutzsicher machen

Wieder hat der Europäische Gerichtshof ein Urteil zu Facebook gefällt, diesmal zum Like-Button. Der ist datenschutzrechtlich heikel. Websitebetreiber, die ihn verwenden, haften gemeinsam mit Facebook. Die wichtigsten Fragen und Antworten.

, von

Vorsicht, rechtliche Untiefen: Wer den Facebook-Like-Button auf seiner Website einsetzt, muss beim Datenschutz aufpassen.
Vorsicht, rechtliche Untiefen: Wer den Facebook-Like-Button auf seiner Website einsetzt, muss beim Datenschutz aufpassen.
© flo-flash / photocase.de

Worum geht es in dem Rechtsstreit?

Der Facebook-Like-Button ist ein Erfolgsmodell: Er wurde seit seiner Einführung 2009 schätzungsweise über 1,1 Billionen Mal geklickt. Websitebetreiber, die die „Gefällt mir“-Schaltfläche auf ihren Seiten einbinden, gewinnen eine zusätzliche Möglichkeit zur Interaktion mit ihren Kunden, mehr Traffic und mehr Feedback. Aber auch Facebook gefällt das, denn das soziale Netzwerk kann mit diesem Plug-in Daten abgreifen, die es sonst nicht bekommen würde.

Auch der Modehändler Fashion ID, Online-Ableger des Düsseldorfer Modehauses Peek & Cloppenburg, verwendete das Plug-in von Facebook in seinem Shop. Kunden konnten damit Kleidungsstücke und Accessoires liken. 2015 verklagte die Verbraucherzentrale Nordrhein-Westfalen den Online-Modehändler. Sie kritisierte, der Button verstoße gegen den Datenschutz. Mithilfe des Like-Buttons registrierte Facebook die IP-Adresse, Datum und Zeit des Aufrufs sowie weitere Informationen über den genutzten Computer, wenn der Kunde auf die Seite von Fashion ID kam. Die Daten flossen unabhängig davon, ob die Nutzer den Button betätigten oder bei Facebook überhaupt angemeldet waren.

Was sagen die Richter in ihrem Urteil?

Vor dem Landgericht Düsseldorf kassierte Fashion ID eine Niederlage. Der Modehändler ging vor dem Oberlandesgericht (OLG) Düsseldorf in Berufung, Facebook trat dem Rechtsstreit bei. Da der Datenschutz mittlerweile europarechtlich geregelt ist, legten die deutschen Richter die Sache dem Europäischen Gerichtshof (EuGH) vor. Und der fällte jetzt ein, sagen wir mal, vielschichtiges Urteil, das nicht alle Fragen restlos beantwortet. Die zwei wichtigen Aussagen des EuGH in Kürze (Az.: C-40/17):

1. Websitebetreiber und Facebook haben eine gemeinsame Verantwortlichkeit für die Daten, die mit dem Like-Button gesammelt werden.

2. Die Websitebetreiber müssen ihre Nutzer über die Datenerhebung und -verarbeitung via Like-Button informieren.

Aber müssen die Nutzer auch vorher zustimmen, dass ihre Daten mit dem Like-Button gesammelt werden? Das ist eine der Fragen, die der EuGH nach Ansicht der meisten Experten offen gelassen hat. Theoretisch ist auch denkbar, dass Websitebetreiber keine ausdrückliche Zustimmung der Nutzer benötigen, wenn sie ein „berechtigtes Interesse“ an der Datensammlung nachweisen können. Ob das hier der Fall ist, muss jetzt das OLG entscheiden, zu dem der Fall zurückwandert.

Die gemeinsame Verantwortlichkeit kommt mir bekannt vor. Kenne ich die irgendwoher?

Ja, der EuGH knüpft damit an ein früheres Urteil in Sachen Facebook an. Schon 2018 entschieden die Richter, dass Betreiber von Facebook-Fanpages neben Facebook selbst mitverantwortlich für die datenschutzrechtskonforme Verarbeitung personenbezogener Daten sind (Az.: C-210/16). Den Gedanken der gemeinsamen Verantwortung wenden die Richter jetzt also auch auf den Facebook-Like-Button an. Der Grund ist simpel: Würden Websitebetreiber das Facebook-Plug-in nicht auf ihrer Seite einbinden, gäbe es das ganze Problem schließlich nicht. Deswegen haften sie zumindest mit.

Andererseits ziehen die Richter der Mitverantwortung auch Grenzen: Websitebetreiber haften nur für die Erhebung und Weitergabe der Daten mit. Was Facebook danach mit den Informationen anstellt, wie es sie analysiert und weiterverarbeitet, dafür haftet das soziale Netzwerk allein.

Als der Fall 2015 begann, gab es die DSGVO noch nicht. Gilt das Urteil trotzdem?

Ja. Zwar wurde die alte Datenschutzrichtlinie, auf der der Rechtsstreit basiert, Ende Mai 2018 von der EU-Datenschutzgrundverordnung (DSGVO) abgelöst. Dennoch sind die alte und die neue Rechtslage vergleichbar. Das Urteil ist also weitgehend auf die DSGVO-Jetztzeit anwendbar. Und das bedeutet für Websitebetreiber, das sie tätig werden müssen, wenn sie den Like-Button verwenden.

Und was muss ich jetzt tun?

Eine klare Aussage, aus der sich eine Handlungsempfehlung ableiten lässt, hat das EuGH-Urteil: Passen Sie Ihre Datenschutzerklärung an, soweit Sie das nicht schon längst getan haben. (Mehr dazu hier: So wird die Datenschutzerklärung rechtssicher)

Die Richter sagen sehr klar, dass Sie Ihre Nutzer über die Datensammlung via Facebook-Button informieren müssen. Das tun Sie am besten in der Datenschutzerklärung. Dort müssen Sie Ihre Nutzer über Art, Umfang und Zweck der Erhebung sowie die Verwendung der Daten informieren, die Dauer der Speicherung angeben und Ihre Nutzer über deren Rechte aufklären. Das gilt übrigens nicht nur den Facebook-Like-Button, sondern auch für alle anderen Social-Media-Plug-ins oder Tracking-Tools.

In eigener Sache
Machen ist wie wollen, nur krasser
Machen ist wie wollen, nur krasser
Die impulse-Mitgliedschaft - Rückenwind für Unternehmerinnen und Unternehmer

Brauche ich jetzt eine Einwilligung der Nutzer?

An dieser Stelle gehen die Auslegungen des Urteils auseinander. Die einen sagen ja, die anderen nein. Tatsächlich ist die entsprechende Passage in dem Urteil so interpretierbar, dass der EuGH  eine Einwilligung der Nutzer fordert, wenn mit dem Facebook-Plug-in ein Cookie auf dem Rechner des Nutzers gesetzt wird. Die Richter argumentieren an dieser Stelle mit der Cookie-Richtlinie, die das fordert.

Da der EuGH aber keine Informationen darüber hatte, ob das Facebook-Plug-in von Fashion ID einen Cookie auf dem Nutzerrechner setzt, überließ er die Frage dem OLG Düsseldorf, das sich nun an der Antwort versuchen darf.

Wenn Sie die Klärung der technischen Details nicht abwarten und auf Nummer sicher gehen wollen, fordern die Einwilligung der Nutzer ab, die Ihre Website virtuell betreten. Das kann zum Beispiel mit einem Banner passieren, das beim Aufruf der Seite angezeigt wird und auf das die Nutzer klicken müssen, um zuzustimmen. (Mehr Informationen, wie Sie einen solchen Banner rechtskonform einbinden, finden Sie hier: Cookie-Hinweis: Alles, was Website-Inhaber wissen müssen)

Gibt es auch datenschutzkonforme Like-Buttons?

Ja, dafür gibt es bereits ungemein elegante Lösungen, die frei im Netz stehen. Niemand muss dann auf die Interaktion mit seinem sozialen Netzwerk verzichten, aber auch dem Datenschutz ist genüge getan.

Die Zwei-Klick-Lösung

Fashion ID stellte seine Social-Plug-ins kurz nach Beginn des Rechtsstreits auf die datenschutzfreundlichere „Zwei-Klick-Lösung“ um. Die Social-Media-Schaltfläche ist dabei zunächst deaktiviert, bis sie der Nutzer mit einem Klick anschaltet. Will er einen Beitrag oder ein Produkt liken, muss er ein zweites Mal klicken. Open-Source-Lösungen gibt es im Netz.

Vorteil der Zwei-Klick-Lösung ist, dass die Plug-ins bis zum ersten Klick keine Daten übermitteln. Wollen die Kunden die Schaltfläche nutzen, erteilen sie also eine bewusste Zustimmung zur Datenweitergabe. Manchen erscheint die Lösung aber optisch unattraktiv, da die Schaltfläche bis zur Aktivierung eingegraut und wenig einladend erscheint.

Shariff

Der datenschutzfreundliche Teilen-Button „Shariff“ ist moderner als die Zwei-Klick-Lösung und stammt vom Computermagazin c’t. Die Open-Source-Lösung ist hier erhältlich. Bei Shariff kommuniziert  der Server des Seitenbetreibers mit dem sozialen Netzwerk, die IP-Adresse des Nutzers wird zunächst nicht weitergegeben. Der Kunde muss nur einmal klicken, um die soziale Schaltfläche zu aktivieren und zu nutzen. Erst danach werden seine Daten weitergegeben. Shariff kann optisch ansprechender gestaltet werden als die Zwei-Klick-Lösung.

Beide Lösungen und ihre datenschutzrelevanten Funktionen müssen auch in der Datenschutzerklärung erwähnt werden.

Welche Alternativen gibt es noch?

Natürlich gibt es auch noch eine radikale Lösung, die sich vor allem dann anbietet, wenn Sie feststellen, dass Ihr Like-Button kaum genutzt wird und traurig und allein auf Ihrer Site herumsteht: Sie können ihn einfach abschalten.

In eigener Sache
Heben Sie sich bereits von Ihrer Konkurrenz ab?
Online-Workshop für Unternehmer
Heben Sie sich bereits von Ihrer Konkurrenz ab?
Im Online Workshop "Zukunft sichern: So entwickeln Sie Ihr Geschäftsmodell weiter" gehen Sie dieses Ziel an.
Worum geht es in dem Rechtsstreit? Der Facebook-Like-Button ist ein Erfolgsmodell: Er wurde seit seiner Einführung 2009 schätzungsweise über 1,1 Billionen Mal geklickt. Websitebetreiber, die die „Gefällt mir“-Schaltfläche auf ihren Seiten einbinden, gewinnen eine zusätzliche Möglichkeit zur Interaktion mit ihren Kunden, mehr Traffic und mehr Feedback. Aber auch Facebook gefällt das, denn das soziale Netzwerk kann mit diesem Plug-in Daten abgreifen, die es sonst nicht bekommen würde. Auch der Modehändler Fashion ID, Online-Ableger des Düsseldorfer Modehauses Peek & Cloppenburg, verwendete das Plug-in von Facebook in seinem Shop. Kunden konnten damit Kleidungsstücke und Accessoires liken. 2015 verklagte die Verbraucherzentrale Nordrhein-Westfalen den Online-Modehändler. Sie kritisierte, der Button verstoße gegen den Datenschutz. Mithilfe des Like-Buttons registrierte Facebook die IP-Adresse, Datum und Zeit des Aufrufs sowie weitere Informationen über den genutzten Computer, wenn der Kunde auf die Seite von Fashion ID kam. Die Daten flossen unabhängig davon, ob die Nutzer den Button betätigten oder bei Facebook überhaupt angemeldet waren. Was sagen die Richter in ihrem Urteil? Vor dem Landgericht Düsseldorf kassierte Fashion ID eine Niederlage. Der Modehändler ging vor dem Oberlandesgericht (OLG) Düsseldorf in Berufung, Facebook trat dem Rechtsstreit bei. Da der Datenschutz mittlerweile europarechtlich geregelt ist, legten die deutschen Richter die Sache dem Europäischen Gerichtshof (EuGH) vor. Und der fällte jetzt ein, sagen wir mal, vielschichtiges Urteil, das nicht alle Fragen restlos beantwortet. Die zwei wichtigen Aussagen des EuGH in Kürze (Az.: C-40/17): 1. Websitebetreiber und Facebook haben eine gemeinsame Verantwortlichkeit für die Daten, die mit dem Like-Button gesammelt werden. 2. Die Websitebetreiber müssen ihre Nutzer über die Datenerhebung und -verarbeitung via Like-Button informieren. Aber müssen die Nutzer auch vorher zustimmen, dass ihre Daten mit dem Like-Button gesammelt werden? Das ist eine der Fragen, die der EuGH nach Ansicht der meisten Experten offen gelassen hat. Theoretisch ist auch denkbar, dass Websitebetreiber keine ausdrückliche Zustimmung der Nutzer benötigen, wenn sie ein „berechtigtes Interesse“ an der Datensammlung nachweisen können. Ob das hier der Fall ist, muss jetzt das OLG entscheiden, zu dem der Fall zurückwandert. Die gemeinsame Verantwortlichkeit kommt mir bekannt vor. Kenne ich die irgendwoher? Ja, der EuGH knüpft damit an ein früheres Urteil in Sachen Facebook an. Schon 2018 entschieden die Richter, dass Betreiber von Facebook-Fanpages neben Facebook selbst mitverantwortlich für die datenschutzrechtskonforme Verarbeitung personenbezogener Daten sind (Az.: C-210/16). Den Gedanken der gemeinsamen Verantwortung wenden die Richter jetzt also auch auf den Facebook-Like-Button an. Der Grund ist simpel: Würden Websitebetreiber das Facebook-Plug-in nicht auf ihrer Seite einbinden, gäbe es das ganze Problem schließlich nicht. Deswegen haften sie zumindest mit. Andererseits ziehen die Richter der Mitverantwortung auch Grenzen: Websitebetreiber haften nur für die Erhebung und Weitergabe der Daten mit. Was Facebook danach mit den Informationen anstellt, wie es sie analysiert und weiterverarbeitet, dafür haftet das soziale Netzwerk allein. Als der Fall 2015 begann, gab es die DSGVO noch nicht. Gilt das Urteil trotzdem? Ja. Zwar wurde die alte Datenschutzrichtlinie, auf der der Rechtsstreit basiert, Ende Mai 2018 von der EU-Datenschutzgrundverordnung (DSGVO) abgelöst. Dennoch sind die alte und die neue Rechtslage vergleichbar. Das Urteil ist also weitgehend auf die DSGVO-Jetztzeit anwendbar. Und das bedeutet für Websitebetreiber, das sie tätig werden müssen, wenn sie den Like-Button verwenden. Und was muss ich jetzt tun? Eine klare Aussage, aus der sich eine Handlungsempfehlung ableiten lässt, hat das EuGH-Urteil: Passen Sie Ihre Datenschutzerklärung an, soweit Sie das nicht schon längst getan haben. (Mehr dazu hier: So wird die Datenschutzerklärung rechtssicher) Die Richter sagen sehr klar, dass Sie Ihre Nutzer über die Datensammlung via Facebook-Button informieren müssen. Das tun Sie am besten in der Datenschutzerklärung. Dort müssen Sie Ihre Nutzer über Art, Umfang und Zweck der Erhebung sowie die Verwendung der Daten informieren, die Dauer der Speicherung angeben und Ihre Nutzer über deren Rechte aufklären. Das gilt übrigens nicht nur den Facebook-Like-Button, sondern auch für alle anderen Social-Media-Plug-ins oder Tracking-Tools. Brauche ich jetzt eine Einwilligung der Nutzer? An dieser Stelle gehen die Auslegungen des Urteils auseinander. Die einen sagen ja, die anderen nein. Tatsächlich ist die entsprechende Passage in dem Urteil so interpretierbar, dass der EuGH  eine Einwilligung der Nutzer fordert, wenn mit dem Facebook-Plug-in ein Cookie auf dem Rechner des Nutzers gesetzt wird. Die Richter argumentieren an dieser Stelle mit der Cookie-Richtlinie, die das fordert. Da der EuGH aber keine Informationen darüber hatte, ob das Facebook-Plug-in von Fashion ID einen Cookie auf dem Nutzerrechner setzt, überließ er die Frage dem OLG Düsseldorf, das sich nun an der Antwort versuchen darf. Wenn Sie die Klärung der technischen Details nicht abwarten und auf Nummer sicher gehen wollen, fordern die Einwilligung der Nutzer ab, die Ihre Website virtuell betreten. Das kann zum Beispiel mit einem Banner passieren, das beim Aufruf der Seite angezeigt wird und auf das die Nutzer klicken müssen, um zuzustimmen. (Mehr Informationen, wie Sie einen solchen Banner rechtskonform einbinden, finden Sie hier: Cookie-Hinweis: Alles, was Website-Inhaber wissen müssen) Gibt es auch datenschutzkonforme Like-Buttons? Ja, dafür gibt es bereits ungemein elegante Lösungen, die frei im Netz stehen. Niemand muss dann auf die Interaktion mit seinem sozialen Netzwerk verzichten, aber auch dem Datenschutz ist genüge getan. Die Zwei-Klick-Lösung Fashion ID stellte seine Social-Plug-ins kurz nach Beginn des Rechtsstreits auf die datenschutzfreundlichere "Zwei-Klick-Lösung" um. Die Social-Media-Schaltfläche ist dabei zunächst deaktiviert, bis sie der Nutzer mit einem Klick anschaltet. Will er einen Beitrag oder ein Produkt liken, muss er ein zweites Mal klicken. Open-Source-Lösungen gibt es im Netz. Vorteil der Zwei-Klick-Lösung ist, dass die Plug-ins bis zum ersten Klick keine Daten übermitteln. Wollen die Kunden die Schaltfläche nutzen, erteilen sie also eine bewusste Zustimmung zur Datenweitergabe. Manchen erscheint die Lösung aber optisch unattraktiv, da die Schaltfläche bis zur Aktivierung eingegraut und wenig einladend erscheint. Shariff Der datenschutzfreundliche Teilen-Button "Shariff" ist moderner als die Zwei-Klick-Lösung und stammt vom Computermagazin c’t. Die Open-Source-Lösung ist hier erhältlich. Bei Shariff kommuniziert  der Server des Seitenbetreibers mit dem sozialen Netzwerk, die IP-Adresse des Nutzers wird zunächst nicht weitergegeben. Der Kunde muss nur einmal klicken, um die soziale Schaltfläche zu aktivieren und zu nutzen. Erst danach werden seine Daten weitergegeben. Shariff kann optisch ansprechender gestaltet werden als die Zwei-Klick-Lösung. Beide Lösungen und ihre datenschutzrelevanten Funktionen müssen auch in der Datenschutzerklärung erwähnt werden. Welche Alternativen gibt es noch? Natürlich gibt es auch noch eine radikale Lösung, die sich vor allem dann anbietet, wenn Sie feststellen, dass Ihr Like-Button kaum genutzt wird und traurig und allein auf Ihrer Site herumsteht: Sie können ihn einfach abschalten.