Einsatz von Social Media-Buttons auf Webseiten

Erhöhte Datenschutzrisiken aufgrund aktuellem EuGH-Urteil zum Facebook-Like-Button.

Thomas Göhrig, Berater Informationssicherheit und Datenschutz, FCH Compliance GmbH und

Dr. Dorothea Baranyai, Datenschutzberaterin

Das jüngste Urteil des Europäischen Gerichtshofs zur Nutzung der „Gefällt mir“-Schaltfläche von Facebook (stellvertretend für alle Social Media-Plattformen wie XING, Linkedin, Twitter, Instagram, YouTube etc.) führt dazu, dass auch Webseitenbetreiber bei der Nutzung von Social Media-Schnittstellen haftbar gemacht werden können.

Bei Zuwiderhandlungen besteht ein hohes Risiko eines Bußgeldes, zum einen da die Nutzung von Social Media-Schaltflächen mit nur einem Klick auf Ihre Webseite nachzuprüfen ist, aber zum anderen aber auch da die Auslegung des Sachverhalts mit dem Urteil des EuGH bereits bis in die oberste rechtliche Instanz klar definiert wurde und es keinen Interpretationsspielraum mehr gibt.

BERATUNGSTIPPS

Quick-Check Datenschutz.

Auslagerung Datenschutz.

Beratung Datenschutz.

Nutzen Sie auf Ihren Webseiten eingebettete Social Media-Schaltflächen, besteht ggf. Anpassungsbedarf. Eine Hilfestellung sollten die folgenden Handlungsempfehlungen geben.

Aktuelle Rechtslage nach neuem EuGH-Urteil

Bindet ein Betreiber einer Webseite Social Media-Kanäle wie die Facebook-„Gefällt mir“-Schaltfläche, YouTube-Videos, Twitter, Linkedin, XING, Instagramm oder Google + ein, führt oft allein das Aufrufen der Webseite zu einer Erhebung und Übermittlung personenbezogener Daten wie der IP-Adresse oder lokal abgelegten Cookies an die sozialen Dienste, und das, ohne dass der Webseitenbesucher ein Nutzerkonto bei Facebook und Co. haben oder mit seinem Profil angemeldet sein muss.

Zu diesem Themenkomplex gibt es bereits zwei Urteile des EuGH:

• EuGH, Urt. v. 05.06.2018, Az. C-210/16 (Urteil zu Facebook-Fanpages)
• EuGH, Urt. v. 29.07.2019, Az. C-40/17 (Urteil zu „Gefällt mir“-Button)

Das jüngste EuGH-Urteil unterstreicht die klare gemeinsame Verantwortlichkeit von Webseitenbetreibern und Facebook (stellvertretend für alle Social Media-Plattformen), schränkt jedoch ein, dass jeder nur für seine Handlungen bzgl. personenbezogener Daten verantwortlich ist. Damit haftet der Seitenbetreiber bei der Erhebung personenbezogener Daten beim Besuch des Internetauftritts und bei der Weiterleitung der Daten an z. B. Facebook Irland gemeinsam mit dem Anbieter des Social Media-Plugins. Dabei sei es im konkreten Urteil auch unerheblich, dass der Seitenbetreiber nach der Übermittlung an Facebook gar keinen Zugriff mehr auf die personenbezogenen Daten habe. Es reiche bereits aus, dass er durch Einbindung des „Gefällt mir“-Buttons die Datenübermittlung an Facebook ermögliche und selbst von der durch den Klick auf den „Gefällt mir“-Button generierten Werbung profitiere.

Nach der Datenübermittlung tragen Facebook und Co. die alleinige Verantwortung für alles Weitere, also Datenverarbeitung/-speicherung/-sicherung/-löschung etc.

Überprüfen Sie den Ist-Zustand Ihrer Webseite inklusive aller Unterseiten

Zunächst einmal gilt zu unterscheiden, ob Sie tatsächlich Social Media-Plugins oder nur eine reine Verlinkung auf Ihre Social Media-Profile wie Facebook, Linkedin, XING, YouTube o. ä. verwenden bzw. verwenden möchten. Hier kommt es teilweise zu Missverständnissen.

Durch Social Media-Plugins, z. B. die Facebook-„Gefällt mir“-Schaltfläche oder ein eingebettetes „YouTube-Video“, können Nutzer mit einem Klick ein „Gefällt mir“ auf Facebook hinterlassen oder ein YouTube-Video schauen, ohne Ihre Webseite verlassen zu müssen.

Stellen Sie jedoch lediglich eine Verlinkung Ihrer Social Media-Profile bereit, ist dies unkritisch, da das Aufrufen Ihrer Hauptwebseite durch Verlinkung keine personenbezogenen Daten an die Social Media-Anbieter versendet. Der Nutzer wird erst durch Anklicken des Links weitergeleitet.

Hierbei gilt: Verzichten Sie möglichst auf Social Media-Schaltflächen und setzen Sie auf reine Verlinkungen.

Social Media-Plugins – aber wie?

Möchten Sie aus wirtschaftlichem Interesse nicht auf Social Media-Plugins verzichten, gilt folgendes:

• Treffen Sie mit dem Social Media-Anbieter eine schriftliche Vereinbarung zur gemeinsamen Verantwortlichkeit gem. Art. 26 DSGVO. Bisher gilt z. B. die von Facebook verfügbare Standardvereinbarung nur für Fanpages, nicht aber für z. B. „Gefällt mir“-Schaltflächen Da die meisten der Dienste aktuell keine Vereinbarungen für gemeinsame Verantwortlichkeit gem. Art. 26 DSGVO anbieten, wäre deren Nutzung illegal.
• Für die Weiterleitung der Daten an das soziale Netzwerk benötigen Sie eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Die Datenschutzbehörden haben sich hinsichtlich Tracking-Daten in kürzlichen Veröffentlichungen hierzu sehr restriktiv geäußert. Hierfür können neben einem Pop-Up-Banner auch anderweitige technische Lösungen (z. B. „Shariff“ oder „Embetty“) helfen. Durch diese Lösungen wird die automatische Weitergabe personenbezogener Daten bereits beim Besuch Ihrer Webseite blockiert, gleichzeitig muss der Seitenbesucher aber nicht auf die direkte Nutzung der Social Media-Plugins verzichten.
• Aktualisieren Sie – sofern nicht schon geschehen – Ihre Datenschutzhinweise bzgl. der gemeinsamen Verantwortlichkeit von Ihnen (Datenerhebung/-weiterleitung) und dem Social Media-Anbieter (Datenverarbeitung/-speicherung/-löschung etc.). Fügen Sie hinzu welche Social Media-Plugins eingebunden sind, welche technischen Vorkehrungen zum Schutz der personenbezogenen Daten Sie getroffen haben und verweisen Sie auf die Datenschutzhinweise des Social Media-Kanals.

Technische Lösungen

Durch die Einbettung der Social-Media-Kanäle als „iframe“ werden bereits beim Laden der Webseite Daten an das soziale Medium übermittelt. Kostenfreie Lösungen bieten die Zweiklick-Lösung von Heise (https://www.heise.de/ct/artikel/2-Klicks-fuer-mehr-Datenschutz-1333879.html): Erster Klick zum Aktivieren der ausgegrauten Social Media Buttons, zweiter Klick für das eigentliche Nutzen des Social Media Buttons. Nachteilig hier ist die unauffällige Optik der verlinkten sozialen Medien und damit weniger Klicks und weniger Sichtbarkeit und die Weiterentwicklung als Antwort auf das aktuelle Urteil des EuGH, die Einklick-Lösung von Heise (Shariff https://www.heise.de/ct/ausgabe/2014-26-Social-Media-Buttons-datenschutzkonform-nutzen-2463330.html): Sie ermöglicht die Einbettung des Social Media-Plugins als HTML-Link. Dadurch sind „iframes“ nicht mehr nötig, der Nutzer muss nur einmal kicken, um z. B. etwas zu „liken“ und auch die Buttons können im gewohnt auffälligen Design auf der Webseite eingebettet werden, was deren Nutzung und den damit gewünschten Effekt der Sichtbarkeit der Webseite gewährt.

PRAXISTIPPS

• Überprüfen Sie Ihre Webseiten und Unterseiten auf eingebundene Social Media-Plugins.
• Bewerten Sie, ob der Einsatz von Social Media-Plugins sinnvoll ist oder ob eine reine Verlinkung ausreicht.
• Prüfen Sie die Umsetzung technischer Lösungen zur Umsetzung der Einwilligungserfordernis.
• Aktualisieren Sie ggf. die Datenschutzhinweise der betroffenen Webseite.