Paragraphenzeichen

EuGH Urteil C‑40/​17 zu Face­books Like Button

Am Mon­tag, 29.07.2019 ver­kün­de­te der EuGH in sei­nem Urteil C‑40/​17 eigent­lich wenig Über­ra­schen­des. Das ein­fa­che Ein­bin­den von akti­ven Social Media Kom­po­nen­ten wie dem Face­book Like But­ton (um den ging es hier kon­kret), ist dann doch nicht so ein­fach, wie es sich manch Web­sei­ten­be­trei­ber erhofft.

Die Crux am Face­book Like Button

Als akti­ver Inhalt über­trägt der Face­book Like But­ton bereits beim Öff­nen der Web­sei­te Daten des Sei­ten­be­su­chers an Face­book. Dies geschieht, wenn kei­ne wei­te­ren Vor­keh­run­gen sei­tens des Web­sei­ten­be­trei­bers getrof­fen wer­den, noch bevor der Sei­ten­be­su­cher über die­se Art der Daten­wei­ter­ga­be infor­miert wur­de oder (und hier bleibt ein wei­te­res Urteil abzu­war­ten) in die Wei­ter­ga­be ein­ge­wil­ligt hat.

Ursprüng­lich als kom­for­ta­ble Mög­lich­keit gedacht, Inhal­te der besuch­ten Web­sei­te schnell in Face­books Netz­werk durch den Besu­cher tei­len zu las­sen und damit eine höhe­re Reich­wei­te für die eige­ne Web­sei­te zu erzie­len, bringt die­se Kom­fort­funk­ti­on jetzt Mehr­auf­wand für den Betrei­ber der Web­sei­te mit sich.

Emp­feh­lung zur Umset­zung bzw. Ein­bin­dung des Face­book Like But­ton in die eige­ne Webseite

Orga­ni­sa­tio­nen, die bereits den akti­ven Face­book Like But­ton auf der Web­sei­te nut­zen oder dies in naher Zukunft pla­nen, soll­ten als Reak­ti­on auf das EuGH Urteil zum Face­book Like But­ton nun reagie­ren. So gilt es, die Anga­ben zu den Infor­ma­ti­ons­pflich­ten bzw. die Daten­schutz­er­klä­rung um die Punk­te Erhe­bung und Wei­ter­lei­tung von Besu­cher­da­ten an Face­book zu ergän­zen, sofern noch nicht erfolgt.

Noch offen ist bzw. dis­ku­tiert wird die Fra­ge, ob eine Ein­wil­li­gung des Besu­chers für die Erhe­bung und Wei­ter­ga­be an Face­book not­wen­dig ist oder ob (zumin­dest nicht-öffent­li­che Stel­len) auf das sog. berech­tig­te Inter­es­se abstel­len kön­nen. In den aktu­el­len Dis­kus­sio­nen kris­tal­li­siert sich hier jedoch eine Mehr­heits­mei­nung her­aus, die eine akti­ve Ein­wil­li­gung wie z.B. bei den bereits gut ver­brei­te­ten 2‑Klick-Lösun­gen bevor­zugt bzw. voraussetzt.

2‑Klick-Lösun­gen für die eige­ne Webseite

Wer also so gar nicht ohne Face­books Like But­ton auf der eige­nen Web­sei­te aus­kom­men kann, dem ste­hen mit die­sen Lösun­gen prak­ti­sche Hel­fer­lein zur Ver­fü­gung. Bekannt sind z.B. die bei­den c’t Pro­jek­te Embet­ty und Shariff. Für zahl­rei­che Con­tent Manage­ment Sys­te­me wie Wor­d­Press ste­hen fer­ti­ge Plugins zur Ver­fü­gung, die rela­tiv ein­fach in die Web­sei­te ein­zu­bin­den sind und den her­kömm­li­chen Like But­ton erset­zen. Optisch durch­aus an das Ori­gi­nal ange­lehnt, ver­fügt die­ser erst mal über kei­ne akti­ven Inhal­te. Erst nach einem ers­ten Klick auf den But­ton, der Anzei­ge und Bestä­ti­gung durch einen wei­tern Klick, um die akti­ven Inhal­te zu star­ten, beginnt die Erhe­bung und Wei­ter­ga­be an Face­book. Die meis­ten 2‑Klick-Lösun­gen kön­nen ent­spre­chend auch mit ande­ren akti­ven Con­nec­to­ren zu wei­te­ren sozia­len Netz­wer­ken umgehen.

Das Urteil des EuGH fußt noch auf der frü­he­ren EU Daten­schutz-Richt­li­nie 96/​45. Da die Grund­sät­ze in der DSGVO jedoch nicht son­der­lich abwei­chen, dürf­te sich in der Anwen­dung des EuGH Urteils wenig ändern.

Coo­kie Opt-In wird Pflicht — Abmahn­ri­si­ko steigt

Für viel weit­rei­chen­der als die kon­kre­ten Anmer­kun­gen zu Face­books Like But­ton hal­ten wir die Aus­sa­ge des EuGH, das Coo­kies ein­wil­li­gungs­pflich­tig sind. Damit setzt der EuGH hier ein deut­li­ches Signal zu den bis­he­ri­gen Unsi­cher­hei­ten aus der Coo­kie Richt­li­nie. Die Rand­be­mer­kun­gen 88–90 haben es hier deut­lich in sich. Details hier­zu lesen Sie aus kom­pe­ten­ter Feder des RA Tho­mas Schwen­ke in sei­nem Blog­bei­trag. Und neh­men Sie das The­ma bit­te nicht auf die leich­te Schulter.

Unse­re Bestands­kun­den haben wir zum The­ma Coo­kies im Rah­men eines Pakets mit wei­te­ren Infor­ma­tio­nen zur Umset­zung aus­ge­stat­tet. Lesern unse­res Blogs emp­feh­len wir den oben ver­link­ten Bei­trag von Schwenke.

 

aboutpixel.de / Roter gehts nicht © Rainer Sturm

Der Auf­re­ger

Ende 2014 war die Auf­re­gung groß. Face­book kün­dig­te eine Ände­rung sei­ner Datennut­zungsschutz­richt­li­nie für 2015 an. Der Stein des Ansto­ßes fin­det sich gleich zu Beginn

“Du gibst uns eine nicht-exklu­si­ve, über­trag­ba­re, unter­li­zen­sier­ba­re, gebüh­ren­freie, welt­wei­te Lizenz zur Nut­zung jeg­li­cher IP-Inhal­te, die du auf oder im Zusam­men­hang mit Face­book pos­tet („IP-Lizenz“). Die­se IP-Lizenz endet, wenn du dei­ne IP-Inhal­te oder dein Kon­to löscht, außer dei­ne Inhal­te wur­den mit ande­ren Nut­zern geteilt und die­se haben die Inhal­te nicht gelöscht.“

Kurz: alles, was Du als Nut­zer pos­test, wird von uns ver­wer­tet. Oder wie es unser Part­ner­blog daten​schutz​be​auf​trag​ter​-info​.de so pas­send for­mu­liert: “Friss oder stirb”

Das Laby­rinth des Minotaurus

Wer die Funk­ti­ons- und Vor­ge­hens­wei­se von Face­book kennt, der weiß, wie schwie­rig es ist, sein Pro­fil dort zu löschen. Regel­mä­ßig ändern sich die Menü­struk­tu­ren und sol­che “unwich­ti­gen” Funk­tio­nen ver­schwin­den zuun­terst am Ende in The­men­be­rei­chen, wo sie Otto Nor­mal­ver­brau­cher im Zwei­fel nicht sucht oder fin­det. Und wenn der Nut­zer dabei ver­se­hent­lich noch die eine oder ande­re Ein­stel­lung zu Pri­vat­sphä­re und Daten­schutz falsch inter­pre­tiert, gibt er noch mehr über sich preis, statt sein Pro­fil loszuwerden.

Time to say good bye

Für die­je­ni­gen, die nun wirk­lich genug haben, von der Daten­sam­mel­wut und der Igno­ranz deut­scher und euro­päi­scher Geset­ze, der kann sein Face­book Pro­fil schnell und ein­fach löschen. Unse­re Schritt-für-Schritt Anlei­tung, wie Sie Ihren Account bei Face­book los­wer­den können:

  1. Letzt­ma­lig bei Face­book einloggen
  2. Den Link https://​www​.face​book​.com/​h​e​l​p​/​c​o​n​t​a​c​t​.​p​h​p​?​s​h​o​w​_​f​o​r​m​=​d​e​l​e​t​e​_​a​c​c​o​unt aufrufen
  3. Die Opti­on “Kon­to löschen” auswählen
  4. Jetzt müs­sen Sie noch mal Ihr Pass­wort ein­ge­ben und die Cap­t­cha Sicher­heits­ab­fra­ge bestä­ti­gen. Ein Schelm, wer böses dabei denkt, wie­so das Cap­t­cha so schlecht les­bar ist und man im Zwei­fel meh­re­re Anläu­fe benötigt
  5. Geschafft

Vor­sicht Falle

Face­book geht davon aus, dass Sie Ihr Pro­fil eigent­lich gar nicht löschen woll­ten. Daher wird Ihr Account erst mal nur für 14 Tage deak­ti­viert, sprich nie­man­dem mehr ange­zeigt. Sobald Sie sich in die­sem Zeit­raum noch mal ein­log­gen, und sei es nur um Nach­zu­schau­en, ob das Face­book Pro­fil wirk­lich gelöscht ist, schwupp ist es wie­der aktiv. Also Geduld haben.

Wider­spruch per Time­li­ne zwecklos

Wie ein Virus gras­siert regel­mä­ßig ein Bild und /​ oder Text in den Time­li­nes zahl­rei­cher Nut­zer mit der Auf­for­de­rung, dies zahl­reich zu tei­len. Sinn­ge­mäß soll damit der Daten­nut­zung durch Face­book wider­spro­chen wer­den. Recht­lich unwirk­sam, daher sinnlos.

Am Ende des Tages bleibt es also beim “Friss oder Stirb” .…

 

 

 

 

Face­book selbst, nennt den Vor­gang “ärger­lich und pein­lich”. Der eine oder ande­re fand ihn viel­leicht sogar recht nützlich.

Die Grund­la­ge

Eines der “Kom­fort-Fea­tures” von Face­book besteht aus der Mög­lich­keit, das vor­han­de­ne Adress­buch samt der dar­in ent­hal­te­nen per­so­nen­be­zo­ge­nen Daten auf Ser­ver des Unter­neh­mens hoch­zu­la­den. Alter­na­tiv kann man auch sei­ne Online-Adress­bü­cher für den direk­ten Zugriff durch das ame­ri­ka­ni­sche Unter­neh­men frei­schal­ten. Um nicht selbst nach Freun­den und Bekann­ten suchen zu müs­sen, ver­glich Face­book nun die hoch­ge­la­de­nen Anga­ben mit Daten vor­han­de­ner Nut­zer. Wer all­zu sorg­los die Ein­la­den-Funk­ti­on für noch nicht auf Face­book bekann­te Kon­tak­te klick­te, sorg­te zusätz­lich für eine Flut von auf­mun­tern­den Ein­la­dun­gen per Email in hoher Takt­zahl in das Post­fach mit der Email-Adres­se des betrof­fe­nen Kon­takts. Gera­de bei geschäft­li­chen Kon­tak­ten oder auch Pati­en­ten und Kun­den von Arzt­pra­xen und Anwalts­kanz­lei­en sorg­te das regel­mä­ßig für Erheiterung.

Die Pan­ne

Kam man als Face­book Nut­zer nun auf die Idee, sei­ne Daten wie­der von den Ser­vern des Unter­neh­mens abzu­ru­fen, waren die­se fein säu­ber­lich ergänzt. Wo mög­li­cher­wei­se Lücken bei Email-Adres­sen oder Tele­fon­num­mern klaff­ten, waren die­se nun aku­rat durch die Anga­ben von ande­ren Nut­zern und deren hoch­ge­la­de­nen Adress­bü­chern ver­voll­stän­digt. Kom­for­ta­bler ist die Pfle­ge der eige­nen Kon­takt­da­ten­bank doch kaum zu haben.

Was sagt Face­book dazu?

Mitt­ler­wei­le ist die­ses “Fea­ture” beho­ben. Das Unter­neh­men reagiert etwas ver­schnupft auf den Vor­wurf der Nach­läs­sig­keit mit der Aus­sa­ge, dass selbst eine “enga­gier­te Sicher­heits­ab­tei­lung tech­ni­sche Pan­nen nicht hun­dert­pro­zen­tig aus­schlie­ßen kann”.

Ob die Zusam­men­füh­rung der per­so­nen­be­zo­ge­nen Daten­samm­lun­gen eine tech­ni­sche Pan­ne gewe­sen ist, mag dahin­ge­stellt sein. Ein Schelm, wer dabei an Absicht und Pro­filing denkt. Die Mög­lich­keit des Down­loads war jedoch bestimmt so nicht vorgesehen.

In die­sem Sin­ne “I like” 🙂

Das Ver­wal­tungs­ge­richt Schles­wig hat ent­schie­den: die Klar­na­men­pflicht für Face­book-Nut­zer aus Deutsch­land bleibt (vor­erst) bestehen! Das Unab­hän­gi­ge Lan­des­da­ten­schutz­zen­trum Schles­wig-Hol­stein (ULD)  hat­te gegen die­se Ver­pflich­tung geklagt.  Dem­nach wäre eine Pseud­ony­mi­sie­rung der Nut­zer­na­men auf­grund deut­scher Rechts­vor­schrif­ten not­wen­dig. Deut­sches Recht sei anzu­wen­den, da Face­book eine GmbH mit Sitz in Ham­burg habe.

Das Gericht ist der Argu­men­ta­ti­on des ULD nicht gefolgt. Nach des­sen Sicht­wei­se sei die euro­päi­sche Nie­der­las­sung in Irland aus­schlag­ge­bend und somit gel­te iri­sches Recht. Damit stell­te das Gericht gene­rell die Zustän­dig­keit deut­scher Daten­schutz­be­hör­den in Fra­ge. Das iri­sche Daten­schutz­recht kennt kein sol­ches Anrecht auf Pseudonyme.

Thi­lo Wei­chert, Lei­ter des ULD zeigt sich über­rascht: “Die Ent­schei­dun­gen sind mehr als ver­blüf­fend und gehen in der Argu­men­ta­ti­on über das Vor­brin­gen von Face­book hin­aus, das die Nicht­an­wend­bar­keit des deut­schen Daten­schutz­rech­tes damit begrün­de­te, Face­book Inc. in den USA sei nur der Auf­trags­da­ten­ver­ar­bei­ter der Face­book Ire­land Ltd. Sie sind in sich wider­sprüch­lich, wenn sie die feh­len­de recht­li­che Rele­vanz von Face­book Ger­ma­ny damit erklä­ren, dass dort kei­ne Daten ver­ar­bei­tet wür­den, zugleich aber das Unter­neh­men in Irland für zustän­dig erklä­ren, obwohl dort auch kei­ne Daten ver­ar­bei­tet wer­den.” Die Ent­schei­dung sei auch im Hin­blick auf das euro­päi­sche Daten­schutz­recht wenig nachvollziehbar.

Quel­le:

 

Face­book hat sei­nen Sitz, wie die meis­ten Anbie­ter sozia­ler Netz­wer­ke, außer­halb von Deutsch­land oder des euro­päi­schen Rechts­raums. Der Fir­men­sitz in den USA hat recht­lich für die Betrei­ber eini­ge Vor­tei­le.  Nicht von unge­fähr gel­ten die USA als nicht­si­cher, was Daten­schutz angeht. Dies wirkt sich schnell auf die Pra­xis aus. Wer hat für den Fir­men­auf­tritt in Face­book nicht schon mal ver­geb­lich ein pas­sen­des und recht­kon­for­mes Feld für das Impres­sum gesucht? Doch jetzt kommt ein neu­es Risi­ko für gewerb­li­che Betrei­ber von Auf­trit­ten in sozia­len Netz­wer­ken hinzu.

Face­book gene­riert für geteil­te Inhal­te ein „Thumb­nail“ – ein klei­nes Vor­schau­bild­chen – und schmückt den Ein­trag auf der Pinn­wand mit die­ser Miniaturvorschau.

Sieht schick aus! Spricht an! Ist brandgefährlich!

Eine Ber­li­ner Rechts­an­walts­kanz­lei hat einen gewerb­li­chen Face­book-Betrei­ber abge­mahnt. Grund: auf sei­ner Pinn­wand fand sich die Mini­vor­schau eines urhe­ber­recht­lich geschütz­ten Bil­des. Das gelang­te auf­grund der viel­fach genutz­ten „Teilen“-Funktion an die­sen Platz. Die Urhe­ber­rechts­in­ha­be­rin, eine Foto­gra­fin, ver­lang­te die sofor­ti­ge Ent­fer­nung, die Abga­be einer straf­be­wehr­ten Unter­las­sungs­er­klä­rung und zusätz­lich Scha­dens­er­satz in Höhe von 1.200 Euro. Hin­zu kom­men noch die Anwalts­ge­büh­ren in Höhe von 546 Euro.

Der Rechts­ver­tre­ter des abge­mahn­ten Unter­neh­mens bejaht den Rechts­ver­stoß, der in die­sem Fal­le nicht abge­strit­ten wer­den kann. An der Höhe der For­de­rung äußer­te er jedoch Zwei­fel. Nichts­des­to­trotz wird ein ent­spre­chen­der Betrag zu zah­len sein.

Unse­re Tipps:

  • „Tei­len“ Sie immer ohne Miniaturbild
  • Bil­den Sie zur Sicher­heit eine Rück­stel­lung für Abmah­nun­gen und die Abwehr sol­cher Risi­ken. Es ist prak­tisch kaum mög­lich, sozia­le Netz­wer­ke und Medi­en zu nut­zen, ohne Urhe­ber­rechts­ver­stö­ße zu begehen
  • Besu­chen Sie eines unse­rer Semi­na­re „Social Media für Unter­neh­men — Chan­cen und Risi­ken im Web 2.0“ und sichern Sie Ihr Unter­neh­men gegen zahl­rei­che Risi­ken von vorn­her­ein ab