Datenschutz

EuGH-Urteil: Webseitenbetreibende für Datenweitergabe an Facebook teilweise mitverantwortlich

Webseitenbetreibende, die einen Social-Plugin benutzen und somit Daten an Facebook oder Google weitergeben, sind für die Datenweitergabe an Facebook teilweise mitverantwortlich. Das Oberlandesgericht in Düsseldorf wird nun entscheiden müssen , ob die Einwilligung im Fall Fashion ID notwenig war.

Like, Daumen, Facebook
Für die Auswirkungen des Facebook-Daumens sind jetzt auch die Webseitenbetreiber mitverantwortlich. CC-BY-SA 2.0 Ksayer1

Mit Hilfe des Gefällt-mir-Buttons folgt Facebook allen Internetnutzer:innen auf Klick und Tritt. Egal ob man ein Facebook-Konto besitzt oder nicht, ausgeloggt ist oder den Button noch nie benutzt hat: Webseitenbetreibende, die Facebook-Daumen auf ihrer Plattform integrieren, geben die IP-Adresse und Webbrowser-Kennungen ihrer Nutzer:innen an Facebook weiter. Das US-Unternehmen legt ausführliche Profile über das Surfverhalten an und macht sie in Form von personalisierter Werbung zu viel Geld.

Der Europäische Gerichtshof (EuGH) entschied heute, dass die Betreiber:innen der Website für diesen Vorgang teilweise mitverantwortlich sein können: „Der Betreiber einer Website, in der der „Gefällt-mir“-Button von Facebook enthalten ist, kann für das Erheben und die Übermittlung der personenbezogenen Daten der Besucher seiner Website gemeinsam mit Facebook verantwortlich sein.“ Damit hält sich der EuGH an die Einschätzungen des Generalanwalts Michael Bobeks vom Dezember.

Verbraucherzentrale klagte gegen Mode-Versandhändler

Grund für die Verhandlung war eine Unterlassungsklage der Verbraucherzentrale Nordrhein-Westfalen gegen den Mode-Online-Händler Fashion ID aus dem Jahre 2015. Die Tochterfirma des Düsseldorfer Modeunternehmens Peek & Cloppenburg integrierte den Facebook-Plugin auf ihrer Website. Die Verbraucherschützer:innen sehen darin einen Verstoß gegen die Datenschutzgrundverordnung und fordern, dass Nutzer:innen über das Tracking informiert werden müssen.

In der Pressemitteilung erklärt der EuGH, dass Webseitenbetreibende nicht für den gesamten Prozess der Profilerstellung von Facebook haftbar sind, sondern nur für den Vorgang der Datenübertragung – nämlich dann, wenn der Betreibende „über die Zwecke und Mittel“ der Verarbeitung entscheidet. Das Oberlandesgericht in Düsseldorf wird noch entscheiden, ob die Einwilligung im Fall Fashion ID notwenig war.

Eine Vorschrift, wie eine Einverständniserklärung beim Aufrufen der Seite würde für mehr Transparenz auf Nutzer:innenseite führen. Gleichzeitig können sie weiterhin nur Zugang zu den Inhalten einer Seite bekommen, wenn sie Facebook an ihrem Leben teilhaben lassen. Datenschutzfreundlicher wäre eine Zwei-Klick-Lösung, bei der die Nutzer:innen die Like-Buttons selbst aktivieren können.

Unternehmen nutzen den Facebook-Daumen, um die Reichweite ihrer Inhalte auf Facebook zu vergrößern. Durch den Like-Button können Nutzer:innen einsehen, wie viele Freund:innen den Inhalten auf Facebook folgen und die Seite über die Timelines bewerben. Auf dieses Marketing-Tool werden Webseitenbetreiber trotz dem Mehraufwand durch das Gerichtsurteil wohl nicht verzichten wollen.

Wer sich als Nutzer:in vor Social Plugins abschirmen will, muss das weiterhin selbst tun, etwa mit Browser-Add-ons wie Privacy Badger und Ghostery.

Update: In der ersten Fassung hatten wir geschrieben, dass Webseitenbetreibende aufgrund des EuGH-Urteils eine Einverständniserklärung einholen müssen. Das ist falsch und wurde nun korrigiert. Wir bitten, den Fehler zu entschuldigen.

7 Ergänzungen
  1. „In ähnlicher Form passiert das momentan schon im Fall von Cookies, auf die Betreibende hinweisen müssen.“

    Zwischen dem „Hinweis auf Cookies“ und der „erforderlichen Einwilligung für die Übermittlung“ ist doch ein himmelweiter Unterschied – wieso also „ähnliche Form“?
    Es reicht ja eben nicht nur ein „Der Button schickt scheine Daten ans Fratzenbuch -> OK <-" – Banner.

  2. Der Like Button ist das eine, der versteckte „Facebook Pixel“ das andere – größere Übel. Interessant, das dieses URteil sich ur auf diesen Button bezieht, oder habe ich da etwas falsch verstanden?

  3. Das Problem ist hier wieder nur die Kosmetik die betrieben wird und nichts an der Symptomatik ändert.

    Webseitenbetreiber nur teilweise verantwortlich? Das ist der größte Witz.

    Wenn als Betreiber eine Drittquelle in den eigenen Sourcecode übernommen wird, ist man ganz alleine dafür verantwortlich und sollte auch wissen was genau dieser „Schnipsel“ anstellt.

    Das betrifft die ganzen Fertigtemplates die heutzutage das Internet verseuchen, das betrifft Google, Resetera, Twitch, Twitter, Facebook mit Instagram & Co und alle Plugins und Tools irgendwelcher Firmen.

    Keine Kenntnis von der Materie? Dann bitte keine Webseite oder machts wie früher und erstellt seiten manuell wenn das nicht machbar ist. Ach nein, das geht ja nicht. Da fehlt ja Komfort.

    Über Tracking aufklären?
    Ja, das sehen wir auf den „Wir respektieren ihre Privatsphäre“ Seiten, die schon Cookies setzen bevor irgendetwas geklickt wurde und in keiner Weise auch nur einen praktischen Nutzen für Analyse und Tracking beinhalten… Außer für Fremdfirmen, Datengeilheit, Faulheit oder Unwissen.

    Noch mehr Plazebos, Lügen oder weitere Warnfenster braucht keiner. Über das wirklich Interessante wird zudem gar nicht berichtet. Das Internet funktioniert auch OHNE derlei Dinge. Nicht alles muss Javascript verseucht sein, Rücksprache zu Drittparteien halten oder persistente Cookies setzen.

    Datenschutz setzt hier wie so oft an der falschen Stelle an.

  4. Für das Pixel müsste analog dann eigentlich genau das gleiche gelten. Und ja: Natürlich ist eine Einwilligung notwendig – schließlich werden da meine Daten an einen Dritten weitergegeben.

  5. Wenn das so wird wie mit dem Cookie banner, bei dem man nur auf ok drücken kann oder hunderte abwählen muss um Dadensparsamkeit zu erreichen ist das nur eine Nebelkerze.
    Schlimmer finde ich das Webseiten betreiber das Tracking auch so mit einbauen. Zb. Google analytiks oder facebook.net weil es einfacher ist die Webseite zu bauen. Kann man als „normal“ User Tracking ohne den likebutton trotzdem nicht verhindern.

  6. Ich warte noch auf den Isobrowser, der den ganzen bösen Mist per Design nicht kann.

    Keine Drittseitennachladung, kaum css, kaum Cookies, kein Script, bzw. nur ein ultralangsames Subset. Dafür aber Bombensicheres Design und keine Tricks.

    Und natürlich Behördenzwang, aber da sind wir beim Thema. Behörden sind derzeit noch allzuoft Instrument des Bösen und Blöden, statt Bollwerk und Garant für Stabilität zu sein, zu wenig Zug zu einer Zukunft (eine in der die Menschheit nicht aufgrund eigener Dummheit weitestgehend reduziert wird oder sogar vollständig ausstirbt). Entmündigende Hardware und Software, nicht vorhandene oder nicht tragbare Standards, dumme Führer, alles hätte keine Chancen mit echten wirklichen richtigen Behörden :).

    Naja ob es hinreichend wäre… unser Problem wird aber der notwendige Teil sein. Da es irgendwann „notwendig“ sein wird, milliarden von Menschen innerhalb relativ kurzer Zeitperioden sterben zu lassen, wenn es so weitergeht. Während die Statistiken sich verbessern, findet durch „Moderne Zusammenhänge“ bereits jetzt eine immer präziser gesteuerte Auswahl statt, wer ungefähr mit wieviel höherer Wahrscheinlichkeit früher stirbt, mit millionenfacher Auswirkung – das ist die Natur „Umfragenbasierter Strategien“. Während Politiker gerne halbblind auf die Statistiken verweisen und/oder sogar gucken, bringen die Unternehmen die Schalthebel in Stellung. In den U.S.A. bin ich nicht sicher ob man Unternehmen und Staat noch trennen kann, zumindest die großen scheinen alle recht brav mitzumachen :), vielleicht befolgen die Befehle, oder bewerten Alternativen derzeit als ungünstig. Alle, alle, alle …

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.