Verbraucherzentrale NRW gewinnt mit BRANDI Grundsatzverfahren zum Schutz der Verbraucher im Internet
Die Verwendung des „Gefällt mir“-Buttons von Facebook auf der Internetseite von Unternehmen verstößt gegen den Datenschutz in Deutschland und gegen die Informationspflichten nach den Vorschriften über den Schutz personenbezogener Daten.Denn der Betreiber einer Website, auf der der „Gefällt mir“-Button von Facebook integriert ist, kann für das Erheben und die Übermittlung der personenbezogenen Daten der Besucher seiner Website gemeinsam mit Facebook verantwortlich sein. Das hat der Gerichtshof der Europäischen Union heute in einem Vorlageverfahren des Oberlandesgerichts Düsseldorf entschieden (Az.: C-40/17).
Mit der heutigen Entscheidung setzte sich die Verbraucherzentrale NRW gegen die Fashion ID GmbH & Co. KG (Peek & Cloppenburg), einen deutschen Online-Händler für Modeartikel, durch. Beteiligt an dem Verfahren waren auch die Facebook Ireland Ltd und der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen. Folgt das OLG dem EuGH – wovon auszugehen ist – muss das Unternehmen die Buttons in der bisherigen Form daher entfernen oder auf andere technische Lösungen zurückgreifen, bei denen keine automatische Übermittlung von Daten erfolgt.
Hintergrund des Verfahrens ist, dass Facebook über den bereitgestellten Button nicht nur dann Informationen über Nutzer erhält, wenn sie darauf klicken. Vielmehr wird auch ohne einen Klick auf „Gefällt mir“ festgestellt, dass der Verbraucher die Homepage des Unternehmens aufgerufen hat. Anschließend werden die personenbezogenen Daten der Besucher an Facebook Ireland übermittelt, ohne dass sich der Besucher dessen bewusst ist und unabhängig davon, ob er Mitglied des sozialen Netzwerks Facebook ist oder den „Gefällt mir“-Button angeklickt hat. Die Besucher können der Datenweitergabe nicht widersprechen. Dies ist datenschutzrechtlich nicht zulässig. Dieses Urteil des Landgerichts Düsseldorf vom März 2016 (Az.: 12 O 151/15) hat der Europäische Gerichtshof nun bestätigt. Das Oberlandesgericht Düsseldorf muss nun entsprechend dem heutigen Urteil des EuGH über die Berufung von Fashion ID entscheiden.
„Das Urteil hat grundsätzliche Bedeutung für die datenschutzrechtliche Bewertung der „Gefällt mir“-Funktion. Unternehmen haben Sorge dafür zu tragen, dass die Nutzer ihres Internetangebots nicht ungewollt als Datenlieferanten für Dritte herhalten müssen. Die Konstruktion des Facebook-Buttons lässt eine rechtlich zulässige Nutzung nicht zu. Nur wenn der Verbraucher bewusst zustimmt, dass seine Daten beim Besuch der Website von Facebook gespeichert und verarbeitet werden, ist dies erlaubt. Facebook muss die „Gefällt mir“-Funktion an geltendes Recht anpassen“, erklärt der Experte für IT-Recht Dr. Sebastian Meyer von BRANDI Rechtsanwälte in Bielefeld, der die Verbraucherzentrale in dem Verfahren in allen Instanzen vertreten hat.
Künftig ist die Einbindung entsprechender Inhalte wie des „Gefällt mir“-Buttons nach Ansicht von Meyer ausschließlich dann rechtskonform möglich, wenn der Seitenbesucher zuvor über die Funktionsweise aufgeklärt wurde und aktiv seine Zustimmung zur Verwendung der Funktion erklärt hat. Denkbar bleibt danach etwa die sogenannte Zwei-Klick-Lösung, bei der Seitenbesucher zunächst die Funktion aktivieren müssen und erst danach der „Gefällt mir“-Button geklickt werden kann. Selbst diese Lösung setzt aber voraus, dass die notwendigen Informationen von Facebook in transparenter Form zur Verfügung gestellt werden.
„Facebook hätte es in der Hand, die eigenen Funktionen so zu gestalten, dass sich kein Datenschutzverstoß ergibt. Solange Facebook aber an der jetzigen Gestaltung festhält, kann die Nutzung der Funktion für die Homepagebetreiber wegen des damit verbundenen Risikos nicht empfohlen werden“, betont der Fachanwalt für Informationstechnologierecht Meyer. „Theoretisch drohen dem Betreiber der Homepage wegen der gemeinsamen Verantwortlichkeit die gleichen Sanktionen wie Facebook, also beispielsweise Bußgelder in Millionenhöhe. Wegen der Risiken haben die meisten Betreiber von Homepages ohnehin mittlerweile den „Gefällt mir“-Button von ihren Seiten gelöscht.“
Die Entscheidung ist auch übertragbar auf vergleichbare Funktionen anderer Anbieter, soweit dort ebenfalls Daten von Seitenbesuchern an den Anbieter übertragen werden, obwohl der Besucher die Funktion überhaupt nicht angeklickt hat. Betroffen ist also beispielsweise auch der Dienst Instagram, der ebenfalls von Facebook angeboten wird.
„Das Urteil betrifft zwar noch das alte Recht. Aber auch nach der seit Mai 2018 geltenden neuen Datenschutz-Grundverordnung (DSGVO) dürfen Daten von Website-Besuchern ausschließlich nach Einwilligung an Dritte übertragen und verarbeitet werden. Der „Gefällt mir“-Button ist also auch nach der DSGVO in der gegenwärtigen Form unzulässig und verstößt gegen den Datenschutz“, so Meyer.
Weitere Informationen über BRANDI Rechtsanwälte im Internet unter www.brandi.net