Seit der Einführung der DSGVO im Mai 2018 gibt es immer noch Punkte, die nicht eindeutig geregelt sind oder unterschiedlich interpretiert werden können. Es braucht beispielhafte Gerichtsentscheide, um die Auslegung im Einzelnen festzuhalten. Solche Entscheide gelten dann als Leitlinie für weitere Urteile und verwandte Themen.
Was ist passiert?
Ein solches Urteil wurde am Montag, 29. Juli 2019, vom Europäischen Gerichtshof gefällt. Es geht darum, dass eine Verbraucherzentrale gegen einen Online-Modehändler Klage eingereicht hat, weil der Facebook Like Button persönliche Informationen an Facebook liefert, ohne, dass der Besucher darüber informiert wird oder seine Zustimmung dafür erteilen kann. Facebook verwendet diese Informationen, um dem Besucher auf ihn zugeschnittene Werbung an anderer Stelle (Webseiten, Facebook, Instagram) anzuzeigen.
Das Gericht hält folgendes fest:
- Wer den Facebook Like Button auf seiner Webseite verwendet, ist gemeinsam mit Facebook für die Datenerfassung verantwortlich und haftbar.
- Der Webseitenbetreiber muss darüber informieren.
- Der Webseitenbetreiber muss die Nutzer-Einwilligung vorher einholen.
- Wird ein berechtigtes Interesse geltend gemacht, muss für alle mitverantwortlichen Parteien (Facebook und Webseitenbetreiber) ein berechtigtes Interesse wahrgenommen werden.
Was bedeutet dies?
Das Urteil betreffend dem Facebook Like Button gilt ebenfalls für andere Social Plugins und alle Elemente die von Drittanbietern eingebunden werden. Dazu gehören zum Beispiel auch folgende:
- Eingebettete YouTube Videos
- Facebook Share Buttons
- AddThis
- Twitter Tweet und Share Buttons
- LinkedIn Share und Follow Buttons
- Anzeige des Instagram Feeds auf der Webseite
- Anzeige eines Twitter Tweets auf der Webseite
Somit muss der Webseitenbetreiber, wenn er diese Plugins oder Elemente verwendet:
- Den Besucher darüber informieren, dass Social Plugins Informationen an Drittanbieter senden für Werbezwecke.
- Die Zustimmung vorher einholen oder zusammen mit dem Plugin-Anbieter ein berechtigtes Interesse geltend machen.
Das berechtigte Interesse für Plugin-Anbieter (z. B. Facebook) lässt sich nur schwer für die eigene Webseite begründen. Dazu muss das Interesse der Drittanbieter höher gewichtet werden als das Recht des Individuums auf Schutz der Privatsphäre. Ein berechtigtes Interesse geltend zu machen, dass z. B. Facebook automatisch über den Besuch informiert wird, wenn ein Nutzer eine beliebige Webseite aufruft, die den Like-Button verwendet, ist praktisch unmöglich.
Fazit: Besteht keine vorab eingeholte Zustimmung und kann kein glaubhaftes berechtigtes Interesse beider Parteien geltend gemacht werden (sehr unwahrscheinlich), dürfen diese Plugins nicht mehr verwendet werden.
Wie geht es weiter?
Das Urteil ist für nationale Gerichte der Mitgliedstaaten bindend. Dies bedeutet, dass ab sofort Social Plugins nicht mehr auf Webseiten ohne Zustimmung verwendet werden dürfen. Sie müssen entweder entfernt werden oder es wird ein Cookie Banner eingesetzt, der die Social Plugins standardmässig deaktiviert und sie erst nach Zustimmung des Besuchers aktiviert.
Wir haben bereits vor Inkrafttreten der DSGVO in unserem Artikel (So Machen Sie Ihre Webseite fit für die neue EU-Datenschutzverordnung) darauf hingewiesen, dass die Verwendung von Social Plugins gegen die Grundsätze der DSGVO verstösst. Mittlerweile haben wir mehrere Dutzend Cookie-Management-Lösungen aufgesetzt, mit denen sich auch die Aktivierung der Social-Plugins steuern lassen.
