Was das EuGH-Urteil zu Like-Buttons für Shopbetreiber bedeutet

Im Juli 2019 hat der Europäische Gerichtshof (EuGH) in einem viel beachteten Urteil festgestellt, dass die Einbindung von Like-Buttons in Websites und Onlineshops zwingend die Einholung des Einverständnisses der Nutzer (Opt-in) voraussetzt. Diese Entscheidung kam nicht überraschend – sie hat jedoch Folgen für alle, die andere externe Dienste wie Tracking-Tools nutzen. Wir fassen kurz zusammen, was Shopbetreiber darüber wissen sollten, und was sie nun tun müssen.

Worum ging es in dem Rechtsstreit?

Geklagt hatte die Verbraucherzentrale NRW und zwar gegen den Betreiber des Onlineshops Fashion ID, in dem die “Gefällt mir”-Schaltfläche von Facebook, der sogenannte Like-Button, eingebunden war. Der strittige Punkt lag darin, dass Besucher beim ersten Seitenaufruf nicht über die Erfassung und Übertragung personenbezogener Daten an Facebook (unabhängig von der Nutzung des Buttons oder von Facebook) informiert wurden und ihr Einverständnis dafür auch nicht eingeholt wurde. Facebook beteiligte sich auf der Seite von Fashion ID an dem Verfahren, konnte die umfassende Niederlage in Luxemburg aber auch nicht abwenden.

Und was bedeutet das Urteil?

Das Urteil des EuGH vom 29.07.2019 ist eindeutig: Betreiber von Websites und Onlineshops müssen Nutzer zwingend aufklären und das Einverständnis für das Erheben und die Übermittlung von Daten einholen, wenn sie Like-Buttons von Facebook oder andere Social Plugins, die personenbezogene Daten sammeln und übertragen, einsetzen. Denn, so der EuGH weiter, als Anbieter von Websites und Shops sind die Betreiber mitverantwortlich für die Erhebung und Übermittlung dieser Daten – nicht jedoch für deren Weiterverarbeitung durch den Anbieter des externen Dienstes wie Facebook. Wie schon in seinem Urteil zu Facebook Fanpages im Jahr 2018 nimmt der EuGH Website- und Shopbetreiber auch im Hinblick auf Like-Buttons also noch einmal ausdrücklich in die Pflicht. Bei Verstößen drohen Abmahnungen.

Das Urteil gilt nicht nur für die “Gefällt mir”-Schaltfläche und andere Social-Plugins, sondern darüber hinaus, so die herrschende Meinung, für alle anderen Dienste und Tools, deren Verhalten juristisch entsprechend zu beschreiben ist. Das heißt: Immer wenn ein externer Dienst eingebunden ist, der schon beim bloßen Aufruf einer Seite personenbezogene Daten von Nutzern erhebt und übermittelt, muss der Betreiber der Website, des Shops oder der App die Nutzer im Vorfeld darüber informieren und ihre Einwilligung dafür einholen. Eine vollständige Datenschutzerklärung ist natürlich Pflicht – aber sie reicht nicht aus. Das hat der EuGH jetzt noch einmal festgestellt – und da es sich um ein älteres Verfahren handelte, argumentierte er dabei sogar noch nicht einmal auf der Grundlage der EU-Datenschutzgrundverordnung (DSGVO) von 2018, sondern legte noch die Vorgängerrichtlinie 95/46/EG aus dem Jahr 1995 zugrunde.

Was ist daran neu und heikel?

Selbstverständlich müssen sich Websitebetreiber, Onlinehändler und App-Anbieter längst an die seit über einem Jahr rechtlich bindende DSGVO halten. Mit dem jüngsten EuGH-Urteil zum Datenschutz im Internet ist nun lediglich noch einmal gerichtlich klargestellt worden, was in der stellenweise etwas unscharf formulierten Gesetzgebung bislang zwar noch nicht in letzter Konsequenz eindeutig, aber letztlich doch allen schon ziemlich klar war: Es führt wirklich kein Weg an der Informationspflicht und am Einholen des Einverständnisses der Nutzer vorbei, sobald personenbezogene Daten erhoben, übertragen und weiterverarbeitet werden. Jetzt, da auf europäischer Ebene das Urteil in einem Präzedenzfall gesprochen worden ist, sollten Shopbetreiber noch genauer als zuvor Acht geben, nicht in datenschutzbezogene Rechtsstreitigkeiten hineingezogen zu werden.

Was müssen Shopbetreiber jetzt tun?

Pragmatisch lässt sich nach dem EuGH Urteil zu Facebooks Like-Button für Onlinehändler zusammenfassen: Wer auf Social Plugins nicht verzichten möchte, sollte unbedingt auf eine sogenannte 2-Klick-Lösung setzen. Aber Vorsicht ist auch in vielen anderen Fällen geboten, nämlich immer dann, wenn personenbezogene Daten schon beim Seitenaufruf gesammelt und übertragen werden (zum Beispiel beim Einsatz von Tracking-Tools wie Google Analytics und Google Tag Manager beziehungsweise durch eingebettete YouTube Videos, Google Maps oder Webfonts). In allen diesen Fällen müssen im Lichte des EuGH Urteils nun wirklich alle das umsetzen, was wir in unserer Auflistung von technischen Änderungen zur Anpassung von Websites und Shops an die DSGVO bereits im vergangenen Jahr empfohlen haben. Die Zeit des Abwartens ist mit dem Urteil nun endgültig vorbei und auch die letzten Nachzügler müssen sich einen Cookie-Banner zulegen, in dem nicht nur über den Einsatz von Cookies informiert, sondern dafür auch das explizite Einverständnis des Nutzers eingeholt wird.

Dieser Beitrag wurde am von Splendid Internet veröffentlicht/zuletzt bearbeitet.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.