Nachdem der Europäische Gerichtshof (EuGH) bereits im letzten Jahr entschieden hatte, dass der Betreiber einer auf Facebook eingerichteten Fanpage gemeinsam mit Facebook Verantwortlicher im Sinne von Art. 2 lit. d) der Richtlinie 94/46/EG für die Verarbeitung personenbezogener Daten der Besucher seiner Fanpage ist (EuGH, Urteil vom 05. Juni 2018 – AZ: C-210/16 -; siehe auch unseren Beitrag in unserem Newsletter 03/2018), folgte aktuell eine Entscheidung des EuGH zur datenschutzrechtlichen Behandlung des „Gefällt mir“-Buttons von Facebook.
Nach den Feststellungen des EuGH handelt es sich bei dem „Gefällt mir“-Button der Facebook Ireland Ltd. (Facebook), der auf einer kommerziellen Website eingebunden war, um ein sog. SocialPlugin, welches den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins (d. h. von Facebook) anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter (d. h. an Facebook) zu übermitteln. Unklar geblieben ist nur, ob mittels des SocialPlugin auch ein Cookie auf dem Endgerät des Besuchers der Website gesetzt wird.
Im Ergebnis stellte der EuGH insbesondere fest, dass der Betreiber einer Website, auf der ein SocialPlugin eingebettet ist,
- Verantwortlicher für die Verarbeitung von personenbezogenen Daten ist, soweit es das Erheben der betreffenden Daten und deren Weitergabe durch Übermittlung an den Anbieter des SocialPlugins betrifft,
- (sofern nicht eine Einwilligung erforderlich ist) mit dem Erheben der betreffenden Daten und deren Weitergabe durch Übermittlung an den Anbieter des SocialPlugins ein berechtigtes Interesse wahrnehmen muss, damit diese Vorgänge gerechtfertigt sind, und
- verpflichtet ist, den Besucher der Website über das Erheben der betreffenden Daten und deren Weitergabe durch Übermittlung an den Anbieter des SocialPlugins zu informieren.
Auch wenn die Entscheidung des EuGH noch die Auslegung Richtlinie 95/46/EG betraf, sind die Feststellungen des EuGH auch auf die Datenschutz-Grundverordnung (DS-GVO) übertragbar. Daher bringt diese Entscheidung für Betreiber von Websites, die den „Gefällt mir“-Button von Facebook oder andere SocialPlugins (bspw. von Instagram, XING oder LinkedIn) eingebunden haben oder zukünftig einbinden wollen, Klarheit über die eigenen datenschutzrechtlichen Pflichten, insbesondere in Bezug auf die Erfüllung der Informationspflichten.
Von besonderer Bedeutung ist darüber hinaus aber eine Frage, die der EuGH nicht abschließend beantwortet hat, nämlich diejenige, ob die Einbindung von SocialPlugins nur auf der Grundlage einer Einwilligung erfolgen darf. So verweist der EuGH auf die Richtlinie 2002/58/EG (sog. Cookie-Richtlinie), nach der die Mitgliedstaaten sicherstellen müssen, „dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer […] seine Einwilligung gegeben hat“, und stellt im Weiteren fest, dass es Aufgabe des vorlegenden Gerichts ist, nachzuprüfen, ob die tatsächlichen Voraussetzungen für die Anwendbarkeit der Richtlinie 2002/58/EG gegeben sind, sprich, ob das SocialPlugin ein Cookie setzt oder nicht. Sollte tatsächlich ein Cookie gesetzt werden, dann wäre – so sind die Ausführungen des EuGH zu verstehen – eine Einwilligung des Besuchers der Website erforderlich (damit greift der EuGH der noch im Entwurfsstadium befindlichen ePrivacy Verordnung vor). Diese Einwilligung müsste in Bezug auf die Erhebung der betreffenden Daten und deren Weitergabe durch Übermittlung an den Anbieter des SocialPlugins vom Betreiber der Website eingeholt werden.
TIPP: Eine datenschutzkonforme Einbindung von SocialPlugins erfordert die Beachtung und Umsetzung der vorstehend skizzierten Entscheidung des EuGH. Hierbei unterstützen wir Sie gerne.