Seit es den Like-Button bei Facebook – und später andere Plugins anderer Netzwerke – gibt, warnen Datenschützer vor ihnen. Warum? Weil das Netzwerk Daten der Internetnutzer abgreift, ohne zu informieren, welche das sind und wo sie letztendlich landen. Was ändert sich 2018 mit der neuen DSGVO?

Social Media
© Lemon Tree Images / Shutterstock.com

Dislike von der deutschen Rechtsprechung

Die Nutzung von Social Plugins (z. B. Facebook-“Like“- oder „Gefällt mir“-Button) auf Webseiten bewirkt einen vom Besucher unbemerkten Datentransfer von Daten (insbesondere der IP-Adresse) mit den Servern des sozialen Netzwerks – meist an einen unbekannten Ort. Die Verwendung solcher Social Plugins ist daher derzeit rechtlich äußerst riskant, weil der Internetnutzer weder weiß, welche Daten übertragen werden, noch was mit ihnen geschieht.

Datenschützer kritisieren die Social Plugins daher scharf. Alle Webseitenbetreiber, die Page-Plugins im Einsatz haben, haben deshalb laut der aktuellen Rechtsprechung (LG Düsseldorf, Urteil vom 09.03.2016, Az.: 12 O 151/15) wohl eine Aufklärungs- und Einwilligungspflicht gegenüber den Besuchern. Dies nicht nur innerhalb der Datenschutzerklärung, sondern schon bevor die Daten überhaupt erhoben werden. Ergo: Webseiten dürfen den "Gefällt mir“-Button nicht (mehr) ohne ausdrückliche, vor Einlass auf die Webseite erfolgte Einwilligung auf ihren Webseiten integrieren. Ob Ausweichmöglichkeiten wie die 2-Klick-Lösung oder der Shariff-Button des Rätsels Lösung sind, kann nicht mit Sicherheit gesagt werden. Kritik an diesen Varianten gibt es jedenfalls.

Weniger als ein Jahr später wusste auch das OLG Düsseldorf keine Lösung und legte den Rechtsstreit dem EuGH vor. Bisher gibt es jedoch noch keine Entscheidung. Dass diese noch vor Inkrafttreten der neuen DSGVO erwartet werden kann, ist nicht garantiert. 

Rote Karte auch von der DSGVO?

Die DSGVO zielt darauf ab, die Datenschutzvorschriften anzupassen auf eine digitale Welt. Ausdrückliche Erwähnung finden die Plugins aber im Verordnungstext nicht. Wohl oder übel werden daher die allgemeinen Grundsätze auch auf die Social Plugins übertragen werden.

Konkret bedeutet das: Personenbezogene Daten von Internet-Surfern dürfen nur verarbeitet werden, wenn der Betroffene darin einwilligt oder eine andere gesetzliche Grundlage besteht. Dass Daten über ein Plugin abgefangen und an unbekannte Server weitergeleitet werden, unterliegt daher einer der folgenden Voraussetzungen:

  1. die betroffene Person hat ihre Einwilligung gegeben,
  2. die Verarbeitung der Daten ist für die Erfüllung eines Vertrages erforderlich,
  3. die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich,
  4. die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betreffenden Person zu schützen,
  5. die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öf­fentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt,
  6. die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortli­chen oder eines Dritten erforderlich.

Die Varianten zwei bis sechs lassen sich kaum auf die Datennutzung durch Social Plugins anwenden, da Like-Button & Co. weder für die Erfüllung eines Vertrages notwendig sind, noch zur Erfüllung einer rechtlichen Verpflichtung. Erst recht geht es nicht um den Schutz lebenswichtiger Daten oder um die Wahrnehmung öffentlicher Interessen.

Auch ein berechtigtes Interesse wird man kaum konstruieren können. Beispiele für einen Datennutzung ohne Einwilligung, aber mit „berechtigtem Interesse“ können sein: die Betrugsbekämpfung, die Verbesserung der IT-Sicherheit, Direktmarketing oder die Durchsetzung von Ansprüchen (z.B. Forderungen). Social Plugins dürften darunter jedoch nicht fallen.

Plugins nur noch mit Einwilligung

Ergo: Es bleibt nur Variante eins, die Einholung einer Einwilligung des Webseitenbesuchers, bevor die Datenerhebung beginnen kann und das Plugin zum Einsatz kommen darf. Der Betroffene kann durch eine explizite Erklärung einwilligen (z.B. An­klicken eines Kästchens) oder durch eine andere eindeutige bestätigende Handlung (z.B. die Vorauswahl von Browser-Einstellungen). Dass der Betroffene eingewilligt hat, ist vom Verantwortlichen nachzuweisen.

Jedoch könnte der Einsatz von Plugins auch künftig, wie jetzt schon, an ausreichenden Informationen scheitern. Wie bislang auch muss der Betroffene informiert werden, in was genau er einwilligt. Vor seinem Mausklick muss also bekannt gegeben werden, wer genau die Daten erhebt, speichert und nutzt, aus welchem Grund dies getan wird und dass der Internet-User ein Widerrufsrecht hat. Da die sozialen Netzwerke nur in begrenztem Umfang Auskunft geben, welche Daten sie erheben und wohin sie gelangen, wird auch künftig kein sorgenloser Einsatz von Plugins möglich sein. Daher werden auch ab 2018 die Behelfsmöglichkeiten Shariff-Button oder 2-Klick-Lösung nicht verschwinden.

 

Die Themenreihe zur Datenschutzgrundverordnung (DSGVO)

Einführung

Teil 1: Newsletterversand

Teil 2: Informationspflichten

Teil 3: Auskunftspflichten

Teil 4: Betroffenenrechte

Teil 5: Umgang mit Datenpannen

Teil 6: Neuerungen beim Umgang mit Kundendaten

Teil 7: Übermittlung von Daten ins Ausland

Teil 8: Auftragsdatenverarbeitung

Teil 9: Der Einsatz von Cookies

Teil 10: Social Plugins

Teil 11: Der Datenschutzbeauftragte

Teil 12: Verfahrensverzeichnis, Vorabkontrolle und Folgenabschätzung

Teil 13: Aufsichtsbehörden

Teil 14: Befugnisse und Sanktionsmaßnahmen

Teil 15: Praxisteil - Maßnahmen zur Vorbereitung (Checkliste)

Teil 16: Glossar

 

Der DSGVO-Countdown: Wie plane ich die nächsten 157 Tage? (Teil 1)

Der DSGVO-Countdown: Wie plane ich die nächsten 135 Tage? (Teil 2)

 

Der Händlerbund hat Online-Händler zur DSGVO befragt. Die Infografik zeigt, wie Händler sich auf die DSGVO vorbereitet fühlen und was sich bisher bei der Umsetzung getan hat.