Wer den “Gefällt-mir“-Button mit der von Facebook gelieferten Technik unver­ändert auf seiner Website platziert, muss Nutzer darüber informieren, dass schon beim Besuch einer solchen Seite Daten an Facebook über­tragen werden – und sagen, welche Daten das sind. Das hat der Europäische Gerichts­hof (EuGH) entschieden. Geklagt hatte die Verbraucherzentrale Nord­rhein-West­falen gegen den Betreiber eines Onlineshops der Peek-&-Cloppenburg-Gruppe. test.de erklärt, welche weitreichenden Folgen das Urteil haben könnte.

So funk­tionieren die Facebook-Buttons

Nutzer­daten gehen an Facebook. „Gefällt mir“- oder „Teilen“-Buttons von Facebook und anderen sozialen Netz­werken sehen aus, als ob sie zu der jeweiligen Seite gehören. Tatsäch­lich jedoch kommen diese Bedien­elemente direkt von Servern des Netz­werks und werden auf der Seite nur einge­blendet. So erfahren soziale Netz­werke vieles, was auch der Anbieter der Seite selbst über einen ihm bisher unbe­kannten Besucher erfährt – etwa die IP-Adresse des Besuchers sowie zahlreiche tech­nische Daten über das genutzte System und den Browser. Dafür reicht schon der Besuch der Seite. Die Daten fließen sofort und nicht erst beim Klick auf „Gefällt mir“.

Cookies erlauben eindeutige Zuordnung. Außerdem können die Facebook-Server auch Cookies auf dem Rechner der Besucher platzieren. Das sind kleine Pakete mit Daten zum Besuch der Seite. So kann das Netz­werk Besucher wieder­erkennen. Sind sie Teilnehmer des Netz­werks, kann sie das Netz­werk meist auch eindeutig identifizieren. Und ist der Besucher gerade im sozialen Netz­werk einge­loggt, erfahren Facebook und Co ganz konkret, welcher ihrer Nutzer da gerade die fragliche Seite aufgerufen hat.

Nutzer bekommt „passende“ Werbung. Die Folge im konkreten Fall: Facebook erfuhr, welcher seiner Nutzer sich welche Peek- und Cloppenburg-Seiten wie oft angeschaut hatten. So kann das Netz­werk leicht erkennen, wer gerade eine Hose, ein Hemd oder eine Jacke kaufen will – und ihnen die entsprechende Werbung auf den Schirm schi­cken.

Nicht ohne Einverständnis oder berechtigtes Interesse

An dieser Daten­samm­lung durch soziale Netz­werke dürfen sich Unternehmen nach Auffassung des EuGH nur beteiligen, wenn Besucher ihrer Seiten mit der Erhebung und Über­tragung der Daten an Facebook einverstanden sind oder alle beteiligten Unternehmen ein berechtigtes Interesse daran haben. Für die Verarbeitung der Daten bleibt laut EuGH allerdings allein das jeweilige Netz­werk verantwort­lich. Durch die Einbindung des Facebook-Knopfes auf seinen Seiten ermögliche der Anbieter der Seite die Daten­erhebung und -speicherung durch das soziale Netz­werk. Schon das bedürfe nach der Daten­schutz­grund­ver­ordnung der Recht­fertigung. Nur wenn Nutzer der Seite mit der Über­tragung einverstanden sind, oder wenn die beteiligten Unternehmen jeweils eigene berechtigte Interessen wahr­nehmen, ist sie zulässig.

Auch Google und Co spähen die Besucher aus

Nicht nur die Facebook-Buttons sind so zu beur­teilen. Google und andere Dienste platzieren ebenfalls auf fremden Seiten Code, mit dem von dort direkt auf die eigenen Server zugegriffen wird. Wie Nutzer­verfolgung im Netz funk­tioniert und was Sie dagegen tun können, lesen Sie in unserem Special Tracking: Wie unser Surfverhalten überwacht wird – und was dagegen hilft. Auch zahlreiche weitere weit verbreitete Bestand­teile vieler Internet­seiten dürften nicht in Ordnung sein. So stammt beispiels­weise Online-Werbung häufig nicht vom Anbieter der Webseite selbst, sondern von Werbeser­vern. Und auch diese sammeln über den Aufruf von Seiten, auf denen von ihnen gesteuerte Werbung einge­blendet wird, Daten über die Besucher. Hat ein Surfer oft genug Seiten mit solcher Werbung besucht, kann der Werbeanbieter ihm mit hoher Treffer­genauigkeit die zum aktuellen Bedarf passende Werbung auf den Schirm schi­cken.

Es gibt saubere Lösungen

Für die Knöpfe von Facebook und anderen sozialen Netz­werken gibt es durch­aus saubere Lösungen, die mit der Datenschutzgrundverordnung konform sind. Erste Idee damals nach den ersten Urteilen zu Facebook-Buttons: Es erschien nicht mehr der Knopf selbst auf der Webseite, sondern eine Vorstufe davon. Auch test.de verwendete diese Zwei-Klicks-Lösung. Inzwischen gibt es fort­geschrittene Lösungen. Sie alle haben gemein­sam: Personenbezogene Daten werden erst an Facebook über­tragen, wenn Nutzer das durch Klick auf einen Knopf ausdrück­lich anfordern – wie zum Beispiel: „f teilen“ hier auf test.de. Details zur von uns verwendeten „Shariff“-Methode finden Sie bei heise.de.*

Dramatische Folgen

Facebook muss Nutzer informieren. Weitreichende Folge der Entscheidung des EuGH aus Sicht der test.de-Rechts­experten: Direkte Zugriffe auf fremde Webangebote dürfen nur statt­finden, wenn Besucher der jeweiligen Webseite, auf der ein entsprechender Button verbaut ist, darüber informiert werden. Der Aufwand ist gewaltig.

Beispiel Peek & Cloppenburg: Zwar finden sich die ursprüng­lich von der Verbraucherzentale angegriffenen „Gefällt-mir“-Buttons schon seit Jahren nicht mehr auf den Webseiten des Unter­nehmens, bei einem Aufruf der Seite am Tag der Verkündung des EuGH-Urteils fand test.de jedoch noch vor dem Klick auf das OK für die Cookie-Einwilligung den Zugriff auf mindestens 25 weitere Internet­adressen, darunter Facebook, Google und zahlreiche Werbe-Server. Im Klar­text: Wenn der Nutzer die Website von Peek & Cloppenburg besucht, kommuniziert diese – wie bei zahlreichen anderen kommerziellen Webseiten auch – im Hintergrund mit mindestens 25 weiteren Internet­adressen. Dabei werden jeweils die für jeden Internet­zugriff nötigen Daten über­tragen: IP-Adresse, Betriebs­system, Browser-Version, Bild­schirm­auflösung und noch einige Daten mehr. Über jeden einzelnen dieser direkten Zugriffe auf fremde Server muss das Unternehmen deshalb informieren, um die EuGH-Auflagen zu erfüllen. Außerdem bedarf jede dieser Daten­erhebungen und –über­tragungen der Einwilligung des Nutzers – es sei denn, sowohl Peek & Cloppenburg als auch der Anbieter, auf dessen Server zugegriffen wird, können ein berechtigtes Interesse nach­weisen, das stärker wiegt als die Interessen des Nutzers.

Schutz gegen die Daten­samm­lung. Wer keine besonderen Daten­schutz-Vorkehrungen trifft, macht es Google, Facebook & Co leicht, ihn schon nach dem Besuch einer einzigen Website wieder­zuerkennen, sofern dort entsprechende Elemente einge­baut sind. Da zahllose Webseiten bei jedem Besuch auto­matisch auf deren Server zugreifen, können die Internet-Giganten zumindest einen großen Teil der Seiten­besuche einzelner Nutzer sammeln und daraus Rück­schlüsse auf ihre Interessen ziehen. Tracking nennt die Branche das.
Tipp: Sie können es den Daten­samm­lern aber erschweren, Sie auszuspähen. Wie Sie virtuelle Verfolger abschütteln, zeigen wir in unserem Special Privatsphäre im Netz

Politisch brisant. Aktuell vor allem von Interesse: Welche Produkte schauen Internetnutzer sich in Online-Shops an und auf welche Werbung könnten sie anspringen? Darüber hinaus ist es aber auch möglich, Daten zu sammeln, die Rück­schlüsse auf die politische Meinung, den Gesund­heits­zustand, die sexuelle Neigung oder andere höchst­persönliche Dinge mehr erlauben (Tracking).

Rätsel um „berechtigte Interessen“

Oft müssen Seiten­besucher zustimmen, bevor auf ihren Rechner Cookies platziert werden. Allenfalls ausnahms­weise holen Webseiten von ihren Besuchern aber die Zustimmung zum Zugriff auf Dritt­angebote ein. Der daten­schutz­recht­lich entscheidende Punkt ist daher: Ist das zur Wahrung der berechtigten Interessen des Verantwort­lichen erforderlich? Und: Über­wiegen nicht die Interessen oder Grund­rechte und Grund­freiheiten der betroffenen Person?

Eine Frage der Auslegung. Wie diese Regeln der Daten­schutz­grund­ver­ordnung zu interpretieren sind, ist noch nicht klar. Die deutschen Daten­schutz­behörden sind streng. Sie halten die Verfolgung des Surf­verhaltens von Internetnutzern nur mit dessen Einwilligung für zulässig, ein berechtigtes Interesse daran, alle Seiten­besuche von Nutzern zu sammeln, könne die Rechte der Nutzer nie über­wiegen. Europarechtler sind oft groß­zügiger. Danach können berechtigte Interessen schon vorliegen, wenn die Daten­erhebung und -über­tragung für den Seiten­betreiber konkrete Vorteile hat – zumindest im Einzel­fall wäre somit denk­bar, dass dies das Recht der Besucher über­wiegt. Immerhin steht nach den aktuellen Ansagen des EuGH fest: Beim Zugriff auf fremde Angebote müssen sowohl der Inhaber der Seite als auch der Fremdanbieter berechtigte Interessen haben, die die Interessen der Betroffenen über­wiegen.

Fazit: Viele Webseiten verstoßen gegen Daten­schutz­regeln

So viel halten die Rechts­experten der Stiftung Warentest für sicher: Der Wunsch, möglichst umfang­reiche und zielgenaue Online-Werbung zu machen, ist kein hinreichender Grund dafür, Internetnutzer auf Schritt und Tritt zu verfolgen. Zahlreiche Webseiten auch renommierter und großer Anbieter dürften nach den Maßstäben des aktuellen Urteils gegen die Daten­schutz­grund­ver­ordnung verstoßen.

Tipp: Was Amazon, Facebook und Co über ihre Kunden wissen, haben wir in unserem Test Datenauskunft untersucht.

Schon seit Jahren Streit

Der Streit um die Facebook-Buttons ist schon viele Jahre alt. Bereits im Jahr 2011 hatte Schleswig-Holsteins Daten­schutz­beauftragter von der eigenen Landes­regierung verlangt, alle Facebook-Knöpfe zu löschen (siehe Soziale Netzwerke und Datenschutz: Was Facebook alles erfährt). Die Verbraucherzentrale Nord­rhein-West­falen hatte die Klage gegen den Peek-&-Cloppenburg-Shop bereits im Jahr 2015 erhoben. Das Land­gericht Düssel­dorf gab der Klage im Früh­jahr 2016 statt. Doch das Unternehmen legte Berufung ein.

Im Januar 2017 entschied das Ober­landes­gericht Düsseld–orf: Es fragt beim EuGH in Luxemburg nach, wie die Vorschriften der Daten­schutz­grund­ver­ordnung zu verstehen sind. Nachdem die Richter dort jetzt geant­wortet haben, muss das Ober­landes­gericht den Fall unter Beachtung der Vorgaben des EuGH entscheiden. Gegen dieses Urteil wird womöglich noch die Revision zum Bundes­gerichts­hof zulässig sein.

Land­gericht Düssel­dorf, Urteil vom 09.03.2016
Aktenzeichen: 12 O 151/15 (nicht rechts­kräftig)
Ober­landes­gericht Düssel­dorf, Beschluss vom 19.01.2017
Aktenzeichen: I-20 U 40/16
Europäischer Gerichts­hof, Urteil vom 29.07.2019 (Presseerklärung dazu)
Aktenzeichen: C-40/17

Diese Meldung ist erst­mals am 10. März 2016 auf test.de erschienen, sie wurde am 29. Juli und 2. August 2019 aus Anlass des EuGH-Urteils umfassend aktualisiert.

* Korrigiert am 2. August 2019.

Dieser Artikel ist hilfreich. 41 Nutzer finden das hilfreich.