Wer den “Gefällt-mir“-Button mit der von Facebook gelieferten Technik unverändert auf seiner Website platziert, muss Nutzer darüber informieren, dass schon beim Besuch einer solchen Seite Daten an Facebook übertragen werden – und sagen, welche Daten das sind. Das hat der Europäische Gerichtshof (EuGH) entschieden. Geklagt hatte die Verbraucherzentrale Nordrhein-Westfalen gegen den Betreiber eines Onlineshops der Peek-&-Cloppenburg-Gruppe. test.de erklärt, welche weitreichenden Folgen das Urteil haben könnte.
So funktionieren die Facebook-Buttons
Nutzerdaten gehen an Facebook. „Gefällt mir“- oder „Teilen“-Buttons von Facebook und anderen sozialen Netzwerken sehen aus, als ob sie zu der jeweiligen Seite gehören. Tatsächlich jedoch kommen diese Bedienelemente direkt von Servern des Netzwerks und werden auf der Seite nur eingeblendet. So erfahren soziale Netzwerke vieles, was auch der Anbieter der Seite selbst über einen ihm bisher unbekannten Besucher erfährt – etwa die IP-Adresse des Besuchers sowie zahlreiche technische Daten über das genutzte System und den Browser. Dafür reicht schon der Besuch der Seite. Die Daten fließen sofort und nicht erst beim Klick auf „Gefällt mir“.
Cookies erlauben eindeutige Zuordnung. Außerdem können die Facebook-Server auch Cookies auf dem Rechner der Besucher platzieren. Das sind kleine Pakete mit Daten zum Besuch der Seite. So kann das Netzwerk Besucher wiedererkennen. Sind sie Teilnehmer des Netzwerks, kann sie das Netzwerk meist auch eindeutig identifizieren. Und ist der Besucher gerade im sozialen Netzwerk eingeloggt, erfahren Facebook und Co ganz konkret, welcher ihrer Nutzer da gerade die fragliche Seite aufgerufen hat.
Nutzer bekommt „passende“ Werbung. Die Folge im konkreten Fall: Facebook erfuhr, welcher seiner Nutzer sich welche Peek- und Cloppenburg-Seiten wie oft angeschaut hatten. So kann das Netzwerk leicht erkennen, wer gerade eine Hose, ein Hemd oder eine Jacke kaufen will – und ihnen die entsprechende Werbung auf den Schirm schicken.
Nicht ohne Einverständnis oder berechtigtes Interesse
An dieser Datensammlung durch soziale Netzwerke dürfen sich Unternehmen nach Auffassung des EuGH nur beteiligen, wenn Besucher ihrer Seiten mit der Erhebung und Übertragung der Daten an Facebook einverstanden sind oder alle beteiligten Unternehmen ein berechtigtes Interesse daran haben. Für die Verarbeitung der Daten bleibt laut EuGH allerdings allein das jeweilige Netzwerk verantwortlich. Durch die Einbindung des Facebook-Knopfes auf seinen Seiten ermögliche der Anbieter der Seite die Datenerhebung und -speicherung durch das soziale Netzwerk. Schon das bedürfe nach der Datenschutzgrundverordnung der Rechtfertigung. Nur wenn Nutzer der Seite mit der Übertragung einverstanden sind, oder wenn die beteiligten Unternehmen jeweils eigene berechtigte Interessen wahrnehmen, ist sie zulässig.
Auch Google und Co spähen die Besucher aus
Nicht nur die Facebook-Buttons sind so zu beurteilen. Google und andere Dienste platzieren ebenfalls auf fremden Seiten Code, mit dem von dort direkt auf die eigenen Server zugegriffen wird. Wie Nutzerverfolgung im Netz funktioniert und was Sie dagegen tun können, lesen Sie in unserem Special Tracking: Wie unser Surfverhalten überwacht wird – und was dagegen hilft. Auch zahlreiche weitere weit verbreitete Bestandteile vieler Internetseiten dürften nicht in Ordnung sein. So stammt beispielsweise Online-Werbung häufig nicht vom Anbieter der Webseite selbst, sondern von Werbeservern. Und auch diese sammeln über den Aufruf von Seiten, auf denen von ihnen gesteuerte Werbung eingeblendet wird, Daten über die Besucher. Hat ein Surfer oft genug Seiten mit solcher Werbung besucht, kann der Werbeanbieter ihm mit hoher Treffergenauigkeit die zum aktuellen Bedarf passende Werbung auf den Schirm schicken.
Es gibt saubere Lösungen
Für die Knöpfe von Facebook und anderen sozialen Netzwerken gibt es durchaus saubere Lösungen, die mit der Datenschutzgrundverordnung konform sind. Erste Idee damals nach den ersten Urteilen zu Facebook-Buttons: Es erschien nicht mehr der Knopf selbst auf der Webseite, sondern eine Vorstufe davon. Auch test.de verwendete diese Zwei-Klicks-Lösung. Inzwischen gibt es fortgeschrittene Lösungen. Sie alle haben gemeinsam: Personenbezogene Daten werden erst an Facebook übertragen, wenn Nutzer das durch Klick auf einen Knopf ausdrücklich anfordern – wie zum Beispiel: „f teilen“ hier auf test.de. Details zur von uns verwendeten „Shariff“-Methode finden Sie bei heise.de.*
Dramatische Folgen
Facebook muss Nutzer informieren. Weitreichende Folge der Entscheidung des EuGH aus Sicht der test.de-Rechtsexperten: Direkte Zugriffe auf fremde Webangebote dürfen nur stattfinden, wenn Besucher der jeweiligen Webseite, auf der ein entsprechender Button verbaut ist, darüber informiert werden. Der Aufwand ist gewaltig.
Beispiel Peek & Cloppenburg: Zwar finden sich die ursprünglich von der Verbraucherzentale angegriffenen „Gefällt-mir“-Buttons schon seit Jahren nicht mehr auf den Webseiten des Unternehmens, bei einem Aufruf der Seite am Tag der Verkündung des EuGH-Urteils fand test.de jedoch noch vor dem Klick auf das OK für die Cookie-Einwilligung den Zugriff auf mindestens 25 weitere Internetadressen, darunter Facebook, Google und zahlreiche Werbe-Server. Im Klartext: Wenn der Nutzer die Website von Peek & Cloppenburg besucht, kommuniziert diese – wie bei zahlreichen anderen kommerziellen Webseiten auch – im Hintergrund mit mindestens 25 weiteren Internetadressen. Dabei werden jeweils die für jeden Internetzugriff nötigen Daten übertragen: IP-Adresse, Betriebssystem, Browser-Version, Bildschirmauflösung und noch einige Daten mehr. Über jeden einzelnen dieser direkten Zugriffe auf fremde Server muss das Unternehmen deshalb informieren, um die EuGH-Auflagen zu erfüllen. Außerdem bedarf jede dieser Datenerhebungen und –übertragungen der Einwilligung des Nutzers – es sei denn, sowohl Peek & Cloppenburg als auch der Anbieter, auf dessen Server zugegriffen wird, können ein berechtigtes Interesse nachweisen, das stärker wiegt als die Interessen des Nutzers.
Schutz gegen die Datensammlung. Wer keine besonderen Datenschutz-Vorkehrungen trifft, macht es Google, Facebook & Co leicht, ihn schon nach dem Besuch einer einzigen Website wiederzuerkennen, sofern dort entsprechende Elemente eingebaut sind. Da zahllose Webseiten bei jedem Besuch automatisch auf deren Server zugreifen, können die Internet-Giganten zumindest einen großen Teil der Seitenbesuche einzelner Nutzer sammeln und daraus Rückschlüsse auf ihre Interessen ziehen. Tracking nennt die Branche das.
Tipp: Sie können es den Datensammlern aber erschweren, Sie auszuspähen. Wie Sie virtuelle Verfolger abschütteln, zeigen wir in unserem Special Privatsphäre im Netz
Politisch brisant. Aktuell vor allem von Interesse: Welche Produkte schauen Internetnutzer sich in Online-Shops an und auf welche Werbung könnten sie anspringen? Darüber hinaus ist es aber auch möglich, Daten zu sammeln, die Rückschlüsse auf die politische Meinung, den Gesundheitszustand, die sexuelle Neigung oder andere höchstpersönliche Dinge mehr erlauben (Tracking).
Rätsel um „berechtigte Interessen“
Oft müssen Seitenbesucher zustimmen, bevor auf ihren Rechner Cookies platziert werden. Allenfalls ausnahmsweise holen Webseiten von ihren Besuchern aber die Zustimmung zum Zugriff auf Drittangebote ein. Der datenschutzrechtlich entscheidende Punkt ist daher: Ist das zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich? Und: Überwiegen nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person?
Eine Frage der Auslegung. Wie diese Regeln der Datenschutzgrundverordnung zu interpretieren sind, ist noch nicht klar. Die deutschen Datenschutzbehörden sind streng. Sie halten die Verfolgung des Surfverhaltens von Internetnutzern nur mit dessen Einwilligung für zulässig, ein berechtigtes Interesse daran, alle Seitenbesuche von Nutzern zu sammeln, könne die Rechte der Nutzer nie überwiegen. Europarechtler sind oft großzügiger. Danach können berechtigte Interessen schon vorliegen, wenn die Datenerhebung und -übertragung für den Seitenbetreiber konkrete Vorteile hat – zumindest im Einzelfall wäre somit denkbar, dass dies das Recht der Besucher überwiegt. Immerhin steht nach den aktuellen Ansagen des EuGH fest: Beim Zugriff auf fremde Angebote müssen sowohl der Inhaber der Seite als auch der Fremdanbieter berechtigte Interessen haben, die die Interessen der Betroffenen überwiegen.
Fazit: Viele Webseiten verstoßen gegen Datenschutzregeln
So viel halten die Rechtsexperten der Stiftung Warentest für sicher: Der Wunsch, möglichst umfangreiche und zielgenaue Online-Werbung zu machen, ist kein hinreichender Grund dafür, Internetnutzer auf Schritt und Tritt zu verfolgen. Zahlreiche Webseiten auch renommierter und großer Anbieter dürften nach den Maßstäben des aktuellen Urteils gegen die Datenschutzgrundverordnung verstoßen.
Tipp: Was Amazon, Facebook und Co über ihre Kunden wissen, haben wir in unserem Test Datenauskunft untersucht.
Schon seit Jahren Streit
Der Streit um die Facebook-Buttons ist schon viele Jahre alt. Bereits im Jahr 2011 hatte Schleswig-Holsteins Datenschutzbeauftragter von der eigenen Landesregierung verlangt, alle Facebook-Knöpfe zu löschen (siehe Soziale Netzwerke und Datenschutz: Was Facebook alles erfährt). Die Verbraucherzentrale Nordrhein-Westfalen hatte die Klage gegen den Peek-&-Cloppenburg-Shop bereits im Jahr 2015 erhoben. Das Landgericht Düsseldorf gab der Klage im Frühjahr 2016 statt. Doch das Unternehmen legte Berufung ein.
Im Januar 2017 entschied das Oberlandesgericht Düsseld–orf: Es fragt beim EuGH in Luxemburg nach, wie die Vorschriften der Datenschutzgrundverordnung zu verstehen sind. Nachdem die Richter dort jetzt geantwortet haben, muss das Oberlandesgericht den Fall unter Beachtung der Vorgaben des EuGH entscheiden. Gegen dieses Urteil wird womöglich noch die Revision zum Bundesgerichtshof zulässig sein.
Landgericht Düsseldorf, Urteil vom 09.03.2016
Aktenzeichen: 12 O 151/15 (nicht rechtskräftig)
Oberlandesgericht Düsseldorf, Beschluss vom 19.01.2017
Aktenzeichen: I-20 U 40/16
Europäischer Gerichtshof, Urteil vom 29.07.2019 (Presseerklärung dazu)
Aktenzeichen: C-40/17
Diese Meldung ist erstmals am 10. März 2016 auf test.de erschienen, sie wurde am 29. Juli und 2. August 2019 aus Anlass des EuGH-Urteils umfassend aktualisiert.
* Korrigiert am 2. August 2019.
