Ein Beitrag von Rechtsanwalt Igor Rudolph, BvM Berlin
In dem entschiedenen Fall klagte die Verbraucherzentrale NRW gegen die Peek & Cloppenburg Tochter und Webseitenbetreiberin Fashion ID. Fashion-ID nutze das „Like-Button“-Plug-In. Durch das „Like-Button“-Plug-In werden bereits durch den Besuch der Seite und nicht erst durch die Nutzung des „Like-Buttons“ personenbezogene Daten erhoben und an Facebook Irland übermittelt, ohne das der jeweilige Besucher einen Facebook-Account haben müsste. Die Verbraucherzentrale NRW warf Fashion ID vor, dass hierdurch gegen das Datenschutzrecht verstoßen werde, da die Webseitenbesucher zum einen nicht ausreichend über die Datenverarbeitung informiert wurden und es zum anderen an der Einwilligung in die Datenverarbeitung und der Möglichkeit diese zu widerrufen fehlte.
Der europäische Gerichtshof hat dazu entschieden, dass der Webseitenbetreiber für die Datenverarbeitung mitverantwortlich sei. Dies jedoch nur in Bezug auf die Erhebung der Daten und deren Übermittlung an Facebook Irland, da der Webseitenbetreiber dies durch die Einbindung des Buttons überhaupt erst ermöglicht. Nicht verantwortlich ist der Webseitenbetreiber jedoch für die Datenverarbeitung durch Facebook nach der Übermittlung nach Irland. Diese liege gänzlich außerhalb der Sphäre des Webseitenbetreibers, weswegen hierfür keine Verantwortlichkeit erkennbar sei.
Problematisch bleibt dabei, dass Facebook bisher nicht die vollumfänglichen Informationen nach Art. 13 DSGVO hinsichtlich der Datenerhebung bei der Einbindung des "Like-Button"-Plug-Ins zur Verfügung stellt. Selbst wenn man also seiner Informationspflicht nachkommen wollte, dürfte dies im vollem Umfang derzeit nur schwer möglich sein, selbst wenn sich die Verantwortlichkeit nur auf die Datenerhebung beschränkt.
Denkbar bleibt es, statt des Plug-Ins einfache Verlinkungen oder die Shariff-Lösung von Heise zu verwenden. Letztere verhindert den Kontakt zwischen dem Facebook Server und dem Besucher bis dieser den Button drückt. In letzterem Fall muss dennoch eine entsprechende Aufklärung in der Datenschutzerklärung erfolgen, an die jedoch geringere Anforderungen zu stellen sein dürften.
Bis auf weiteres gilt es daher vorsichtig mit der Einbindung von fremden Skripten auf der eigenen Webseite umzugehen, da die Rechtsprechung von einer Verantwortung des Betreibers der Webseite für die Datenerhebung des Dritten ausgeht.