Die Möglichkeit beispielsweise Facebook Like als Plugin einzubinden, war schon lange Zeit umstritten. Das gilt insbesondere, da Facebook auch Daten von Personen trackt, die gar nicht Mitglied bei dem Netzwerk sind.

Streitig war teilweise eigentlich nur, ob Nutzer auf den Umstand hingewiesen werden mussten und auf welche Weise. Jetzt hat sich auch der Generalanwalt des EuGH in einem aktuellen Rechtsstreit geäußert. Der EuGH folgt in der Regel der Auffassung des Generalanwalts. Dessen Auffassung macht die Nutzung des Facebook-Like Buttons in jeglicher Form zu einer großen Abmahngefahr.

Nach Ansicht von Generalanwalt Bobek ist der Betreiber einer Webseite, auf der ein Plugin eines Dritten wie der Facebook-„Gefällt mir“-Button eingebunden wird, das zur Erhebung und Übermittlung der personenbezogenen Daten des Nutzers führt, für diese Phase der Datenverarbeitung mitverantwortlich. Der Betreiber der Webseite muss den Nutzern hinsichtlich dieser Datenverarbeitungsvorgänge die Informationen zur Verfügung stellen, die sie zumindest erhalten müssen, und, wo dies erforderlich ist, ihre Einwilligung einholen, bevor Daten erhoben und übermittelt werden.

Damit dürfte auch die sogenannte 2-Klick-Lösung, die lange Zeit beispielsweise vom Heise-Verlag propagiert wurde, problematisch und ein Verstoß gegen die DSGVO sein. Bei der 2-Klick-Lösung werden genau dieselben Daten an Facebook übertragen wie bei dem normalen Like-Button. Eben nur einen Klick später.

Das dürfte nun nicht mehr ausreichen und somit nicht zulässig sein.

Bobek empfahl dem EuGH zu entscheiden, dass die Richtlinie einer nationalen Regelung nicht entgegenstehe, die gemeinnützigen Verbänden die Befugnis einräume, zur Wahrung der Interessen der Verbraucher rechtlich gegen den mutmaßlichen Verletzer von Datenschutzrecht vorzugehen.

Ferner schlägt der Generalanwalt vor, zu entscheiden, dass nach der Datenschutzrichtlinie der Betreiber einer Webseite, der in seine Webseite ein von einem Dritten bereitgestelltes Plugin (wie den Facebook-„Gefällt mir“-Button) eingebunden habe, das die Erhebung und Übermittlung der personenbezogenen Daten des Nutzers veranlasse, zusammen mit diesem Dritten (hier Facebook Ireland) als gemeinsamer Verantwortlicher
anzusehen sei.

Diese (gemeinsame) Verantwortlichkeit des für die Verarbeitung Verantwortlichen sollte jedoch auf die Verarbeitungsvorgänge beschränkt sein, für die er tatsächlich einen Beitrag zur Entscheidung über die Mittel und Zwecke der Verarbeitung der personenbezogenen Daten leiste.

Will man also eine solche Verantwortlichkeit ausschleißen, sind wohl nur noch solche Like-Buttons möglich, die einfache (lokal gehostete) Grafiken mit einem Link sind und deren Aussehen einfach nur mit CSS verändert wird.

Gleiches dürfte, spätestens ab sofort übrigens auch für ähnliche Lösungen anderer Anbieter (z.b. zum Tracking) gelten und somit natürlich auch für den Facebook-Conversion Pixel. Sämtliche Daten dürfen erst nach ausdrücklichem Einverständnis durch den Nutzer übertragen werden.