Im Streit über den Datenschutz bei Like-Buttons von Facebook hat sich der zuständige Generalanwalt am Europäischen Gerichtshof (EuGH), Michal Bobek, jetzt festgelegt. Laut seinen am Mittwoch veröffentlichten Schlussanträgen in einer Auseinandersetzung zwischen der Verbraucherzentrale NRW und einem Online-Händler ist der Betreiber einer Webseite, der darauf ein Plugin eines Dritten wie den "Gefällt-mir"-Kopf integriert, teilweise für die dadurch ausgelöste Datenübertragung mitverantwortlich.

Schon wer einen Webauftritt mit einer solchen Schaltfläche von Facebook aufruft, übermittelt damit zwangsweise Informationen über sein Surfverhalten an den Betreiber des sozialen Netzwerks. Bei jedem Besuch würden etwa die IP-Adresse und der Fingerabdruck des Browsers des Nutzers unter anderem über Cookies an Facebook übertragen, schreibt Bobek. Dies geschehe automatisch beim Laden der Seite unabhängig davon, ob der User den Button angeklickt habe oder überhaupt Mitglied der Online-Community sei.

"Webseitenbetreiber haftet mit"

"Wer im Netz nach Reisezielen sucht, eine Konzertkarte kauft oder nach dem passenden Outfit stöbert, geht nicht davon aus, dass diese Aktivitäten sofort auch von Facebook mitgelesen werden", hatte die Verbraucherzentrale zuvor ihre Klage begründet. Dies sieht der Generalanwalt auch so und daher Webseitenbetreiber mit in der Haftung, wenn sie dem Netzwerkbetreiber beim Ausspähen von Nutzern helfen.

Die gemeinsame Verantwortlichkeit sieht Bobek aber auf Vorgänge der Datenverarbeitung beschränkt, für die jemand mit dem Einbinden von Plugins tatsächlich einen Beitrag "zur Entscheidung über die Mittel und Zwecke" der Erhebung persönlicher Informationen leiste.

Konkret soll der Seitenbetreiber demnach nicht für die "Gesamtkette" der Prozesse mit haften, mit denen Facebook mithilfe von Like-Buttons Nutzerinteressen aufzeichnet und zu Profilen verdichtet. Bei dem beklagten Online-Händler geht Bobek aber prinzipiell davon aus, dass dieser "willentlich die Phase der Erhebung und Übermittlung von Daten" eingeleitet habe. Die beiden Partner verfolgten gemeinsam kommerzielle Absichten wie Werbezwecke. Offenbar gehe es dem Anbieter darum, die Sichtbarkeit seiner Produkte über das soziale Netzwerk zu erhöhen. Dies müsse die niedere Instanz aber noch überprüfen.

Beklagt ist in der Rechtssache C-40/17 der Bekleidungshändler Peek & Cloppenburg mit seinem Online-Auftritt "Fashion ID". Das Landgericht Düsseldorf hatte den Bedenken der Verbraucherzentrale weitgehend stattgegeben und geurteilt, dass mit der Integration des Like-Buttons Datenschutzvorschriften verletzt würden und der Nutzer dem Transfer nicht ausdrücklich zustimme. Das Oberlandesgericht Düsseldorf war sich nicht so sicher und legte offene Frage zu dem Fall dem EuGH vor.

Bobek orientiert sich mit seinem Plädoyer an einem Urteil des Gerichtshofs vom Juni, wonach Betreiber von Facebook-Fanseiten für den Datenschutz mitverantwortlich sind. Basis für diese und die aktuelle Auseinandersetzung ist die alte Datenschutzrichtlinie der EU von 1995. Die darin enthaltenen Vorgaben zur Verantwortlichkeit sind aber im wesentlichen identisch mit denen in der neuen Datenschutz-Grundverordnung (DSGVO). Es liegt daher nahe, dass die Luxemburger Richter ihrer Linie treu bleiben und den Anträgen des Generalanwalts folgen. Ausgemacht ist dies aber nicht.

Auf das Fanpage-Urteil hat Facebook mittlerweile reagiert und seine Bestimmungen ergänzt. Auf der Seite von Fashion ID muss der Nutzer inzwischen Social-Media-Dienste explizit aktivieren und damit zustimmen, "dass Daten an die Betreiber der sozialen Netzwerke übertragen werden". heise online hat das Open-Source-Projekt "Embetty" entwickelt, um Webseiten-Besucher vor dem Datenhunger von Social-Media-Sites zu schützen. (anw)