Webseitenbetreiber wissen nicht, was Facebook mit Daten macht
Das Problem der beklagten Seitenbetreiber mit dem Like-Button war, dass sie wussten, was Facebook mit den Daten macht. Das wiederum macht eine umfassende Information über die Datenverarbeitung und das Einholen einer etwaigen Einwilligung unmöglich. Der Europäische Gerichtshof hat im Verfahren der Verbraucherzentrale NRW gegen Fashion ID mit seinem Urteil etwas mehr Klarheit geschaffen.
Datenschutzrechtliche Pflichten nur im eigenen Einflussbereich
Benutzen Website-Betreiber den Facebook-Like-Button, so tragen sie durch die Übermittlung der Daten eine Mitverantwortung für die Erhebung und Weitergabe und müssen alle datenschutzrechtlichen Pflichten erfüllen. Die Verantwortung für die weitere Verarbeitung der Daten liegt aber allein bei Facebook. Facebook-Betreiber sind also nur dort verantwortlich, wo sie auch Einfluss haben. Die Nutzer müssen über diese Verwendung der personenbezogenen Daten informiert werden, was über die Datenschutzerklärung erfolgen kann.
Verantwortlichkeit für das Einholen einer Nutzereinwilligung ebenfalls nach Einflussbereichen getrennt
Entgegen vieler Medienberichte hat der EuGH nicht explizit entschieden hat, dass das Einholen der Nutzereinwilligung bei Verwendung des Like-Buttons für Webseitenbetreiber verpflichtend ist. Das EuGH hat sich allerdings auch nicht dazu geäußert, ob nach dem früheren Datenschutzrecht (dieser Fall lag vor Anwendbarkeit der DSGVO) eine explizite vorherige Einwilligung des Nutzers nötig war oder nicht. Das ist vom Oberlandesgericht Düsseldorf zu klären. Es wurde allerdings die Frage der Verantwortlichkeit geklärt. Ist eine Einwilligung erforderlich, so muss der Webseiten-Betreiber diese nur für seinen Einflussbereich einholen und Facebook für die anschließende Verarbeitung. Im Fall einer Interessenabwägung muss jeder Verantwortliche ein eigenes berechtigtes Interesse haben.
Cookie-Richtlinie erfordert vorherige Einwilligung des Nutzers
Der EuGH hat in seinem Urteil auch eine Entscheidung zur E-Privacy-Richtlinie (Cookie-Richtlinie) getroffen. Demzufolge erfordert das Setzen von Cookies immer eine vorherige Nutzer-Einwilligung. Das Gericht hat das Oberlandesgericht Düsseldorf damit beauftragt zu prüfen, ob der Facebook-Like-Button automatisch Cookies setzt. Ob Webseiten-Betreiber nun die Einwilligung der Nutzer für das Setzen von Cookies brauchen oder nicht, ist noch unklar. Aktuell werden die Nutzer meist nur unter Berufung auf das berechtigte Interesse der Website-Betreiber über Cookies informiert. Das Oberlandesgericht Düsseldorf muss die Relevanz der Aussagen des EuGH zur Cookie-Richtlinie für Deutschland prüfen, da diese Richtlinie in Deutschland nie richtig umgesetzt wurde.
Änderungen für Website-Betreiber noch unklar
Wie die künftigen Auswirkungen für Website-Betreiber aussehen, ist noch unklar, denn zu der nun geltenden DSGVO hat der EuGH sich nicht geäußert. Während auch die DSGVO Website-Betreiber und Facebook vermutlich als gemeinsam verantwortlich betrachten wird, sind die Konsequenzen daraus anders im alten Recht. Die Frage, ob der Facebook-Like-Button eine Nutzereinwilligung braucht oder nicht ist hingegen noch offen, weil es noch juristische Streitfragen zur Cookie-Richtlinie gibt und die Entscheidung des OLG Düsseldorf zum alten Datenschutzrecht noch aussteht. Aber die Entscheidungen des OLG Düsseldorf zum alten Datenschutzrecht werden definitiv auf die DSGVO übertragbar sein. Wenn das OLG eine Einwilligung für den Facebook-Like-Button fordert, muss der Website-Betreiber diese laut EuGH-Urteil einholen. Website-Betreiber sollten daher weiterhin die Zwei-Klick-Lösung nutzen, sodass zuerst nur ein Bild des Buttons eingebunden wird und nach erteilter Einwilligung der Facebook-Like-Button nachgeladen wird.