Die „Gefällt-mir“-Funktion für Internetseiten, die nicht zu dem sozialen Netzwerk gehören, überträgt beim Laden einer Homepage die IP-Adresse des Nutzers, Informationen über dessen Webbrowser sowie Datum und Zeit des Aufrufs, auch ohne dass die Schaltfläche angeklickt wird oder der Nutzer einen Facebook-Account hat.

Für die anschließende Verarbeitung der übermittelten Informationen ist allerdings Facebook allein zuständig, betonten die Richter am Montag. Von der Entscheidung dürften neben dem „Gefällt mir“-Knopf von Facebook weitere ähnlich Funktionen, zum Beispiel vom Kurznachrichtendienst Twitter, dem Berufsnetzwerk Linkedin oder von Online-Werbefirmen betroffen sein. Die Einwilligungspflicht dürfte zudem für Facebooks „Teilen“-Schaltfläche gelten.

Der Konzern begrüßte, dass das Urteil mehr Klarheit für Webseiten und Anbieter entsprechender Funktionen bringe. Der deutsche Digitalverband Bitkom kritisierte, die Entscheidung bürde Betreibern von Internetseiten eine enorme Verantwortung auf und steigere für sie den Bürokratie-Aufwand.

Die Richter in Luxemburg befassten sich mit dem „Gefällt-mir“-Knopf wegen eines Streits zwischen der Verbraucherzentrale Nordrhein-Westfalen und dem Mode-Online-Händer Fashion ID der Peek & Cloppenburg KG mit Sitz in Düsseldorf aus dem Jahr 2015. Die Verbraucherzentrale hatte erklärt, die Verwendung der „Gefällt-mir“-Funktion verstoße gegen Datenschutzrecht und reichte eine Unterlassungsklage gegen Fashion ID ein. Das Oberlandesgericht Düsseldorf bat den EuGH im Jahr 2017 um die Auslegung mehrerer Datenschutz-Bestimmungen.

Der Europäische Gerichtshof argumentierte, die Einbindung der Schaltfläche erlaube es Fashion ID, die Werbung für ihre Produkte zu optimieren, damit diese bei Facebook sichtbarer werden. Das sei ein wirtschaftlicher Vorteil, für den Fashion ID „zumindest stillschweigend“ der Erhebung personenbezogener Daten der Webseiten-Besucher zugestimmt habe.

Für die Datenverarbeitung, die Facebook nach der Übermittlung der Daten vornimmt, sei die Webseite aber nicht verantwortlich. Denn Fashion ID entscheide nicht über Zweck und technische Details dieser Vorgänge.

Die Verbraucherzentrale ist mit dem Ausgang des Verfahrens zufrieden. Das Urteil habe Signalwirkung im Bereich der Verbraucher- und Datenschutzrechte, erklärte Vorstand Wolfgang Schuldzinski. „Facebooks Vorgehen, mittels des Like-Buttons Daten ohne Wissen der Nutzer abzugreifen, um sie für weitere Zwecke – etwa für passgenaue Werbung – zu verwenden, wird nun ein Riegel vorgeschoben.“

Nach der Klarstellung durch den EuGH muss sich nun das Oberlandesgericht dazu äußern, ob im Fall Fashion ID eine ausdrückliche Einwilligung der betroffenen Nutzer erforderlich war. Auf dieser Basis will die Verbraucherzentrale NRW dann prüfen, „wie Webseitenbetreiber der geforderten Mitverantwortung beim Datenschutz nachkommen“. Prinzipiell vorgesehen ist die Möglichkeit, Daten mit „berechtigtem Interesse“ als Grundlage zu erheben. Die Nutzer müssten aber in jedem Fall informiert werden.

Der Rechtsanwalt Christian Solmecke empfiehlt Webseiten-Betreibern, „die auf Nummer sicher gehen wollen“, schon jetzt die Einwilligung der Nutzer für die Verwendung der Funktion einzuholen. „Stimmen Nutzer dieser Datenerhebung nicht zu, darf der Like Button nicht auf der Webseite eingebunden werden“, betonte Solmecke. Zugleich sei noch unklar, wie Facebook technisch über die Verwendung der Daten informieren solle. Möglicherweise müsse Facebook die Technologie hinter der „Gefällt-mir“-Funktion grundlegend umgestalten, um nicht selbst in die Haftung zu kommen.

Facebook-Jurist Jack Gilbert erklärte, man werde die Entscheidung analysieren und mit den Webseiten-Betreibern zusammenarbeiten, damit diese rechtskonform weiterhin von Funktionen wie dem „Like“-Button profitieren könnten.

Bitkom-Geschäftsführer Bernhard Rohleder warnte, das Datenschutzniveau werde sich durch die Entscheidung kaum ändern, da bereits heute praktikable Zwei-Klick-Lösungen für solche Funktionen im Einsatz seien, bei denen ein Datentransfer nur dann stattfinde, wenn ein Nutzer diese Funktion vor dem Liken gesondert aktiviere. „Für viele Betreiber von Webseiten sind Like-Buttons wichtig, um Internetnutzer erreichen zu können“, betonte Rohleder und warnte vor „Haftungsfallen“ für sie. Zudem würden schon die bisherigen Informationen etwa zur Datenschutzerklärung und gesammelten Cookies „von den allermeisten nur noch formal zur Kenntnis genommen“.

Der EuGH bestätigte darüber hinaus das Klagerecht von Verbraucherverbänden in Datenschutz-Fragen auf Basis nationaler Gesetzgebung auf europäischer Ebene auch nach der noch 2015 geltenden alten europäischen Richtlinie. Die seit Mai 2018 greifende Datenschutzgrundverordnung (DSGVO) sieht das Klagerecht für Verbände bereits ausdrücklich vor.