Von Daniel Rücker und Alexander Brandt *)Wenig überraschend hat der Gerichtshof der Europäischen Union (EuGH) am 29.7.2019 entschieden, dass Websitebetreiber, die den Facebook-Like-Button (“Gefällt mir”-Button) auf ihrer Website einbinden, datenschutzrechtlich (zumindest teilweise) gemeinsam mit Facebook verantwortlich sind (C-40/17 – “Fashion ID”). Die Entscheidung hat weitreichende Signalwirkung auch für die Einbindung anderer Drittanbieter-Technologien. Der Einsatz solcher Technologien bedarf eines wirkungsvollen Datenschutzmanagements und der Sensibilisierung der für die Onlineangebote zuständigen Unternehmensabteilungen und externen Dienstleister.Bei der von Facebook vorgesehenen Einbindungsweise des Like-Buttons nimmt ein Websitebetreiber einen Verweis auf den Button in seine Website auf. Der Browser des Nutzers kann damit eine Verbindung zu Facebook-Servern herstellen und von diesen bestimmte Informationen herunterladen. Dadurch erhält Facebook beim Aufruf einer solchen Website Informationen über deren Nutzer (zum Beispiel die IP-Adresse). Zumindest solche Nutzer, die gleichzeitig auf demselben Gerät in ihrem Facebook-Account eingeloggt sind, kann Facebook namentlich identifizieren. So kann Facebook etwa feststellen, welche Webseiten, in die der Like-Button implementiert ist, diese Nutzer wann und wie oft aufgerufen haben.Laut EuGH führt die Einbindung des Like Buttons zu einer (zumindest teilweisen) Mitverantwortlichkeit des Websitebetreibers für die Datenverarbeitung durch Facebook. Der EuGH betont aber zu Gunsten der Websitebetreiber, dass die gemeinsame Verantwortlichkeit nur insoweit bestehe, als der Websitebetreiber tatsächlich Einfluss auf die Verarbeitung bei Facebook hat. Das betreffe zumindest die Erhebung der Daten durch den Like Button sowie die Übermittlung an Facebook. Für nachgelagerte, vollkommen eigenständige Verarbeitungsvorgänge von Facebook (z. B. etwaige Analysen) wäre Facebook demnach alleine verantwortlich.Damit hat der EuGH klargestellt, dass das Risiko beim Einsatz des Like-Buttons eindeutig (auch) beim jeweiligen Websitebetreiber liegt. Ob und wie sich das datenschutzrechtlich rechtmäßig gestalten lässt, hat der EuGH nicht entschieden. Rechtsgrundlage erforderlichWebsitebetreiber müssen Nutzer transparent und gemäß den Vorgaben der DSGVO vergleichsweise detailliert über die Einzelheiten der Datenverarbeitung informieren, insbesondere über Verarbeitungsvorgänge im Zusammenhang mit einem eingesetzten Like-Button und die gemeinsame Verantwortlichkeit mit Facebook. Der Einsatz des Buttons setzt außerdem voraus, dass der Websitebetreiber mit Facebook eine Vereinbarung über die gemeinsame Verantwortlichkeit schließt, die gewisse Mindestregelungsinhalte berücksichtigen muss.Die Einbindung des Like Buttons bedarf zudem wie jede andere Verarbeitung personenbezogener Daten einer Rechtsgrundlage. Ob hier eine Einwilligung der Nutzer erforderlich ist oder ob der Einsatz des Buttons auch ohne Einwilligung auf Grundlage einer sogenannten Interessenabwägung zulässig ist, hat der EuGH ausdrücklich offen gelassen. In Betracht zu ziehen ist auch die Implementierung von in der Praxis bereits heute etablierten “Zwei-Klick-Lösungen” (oder ähnlichen Technologien), bei denen der Like-Button erst auf ausdrückliche Anforderung des Nutzers aktiviert wird.Der Like-Button steht exemplarisch für eine Vielzahl verschiedener Drittanbieter-Technologien, für die sich vergleichbare datenschutzrechtliche Fragen stellen. Neben Social-Media-Plug-ins, wie dem Like-Button, betrifft das auch die Einbindung von Analyse- und Tracking-Werkzeugen (zum Beispiel Adobe Analytics), von Online-Karten-Plug-ins (zum Beispiel Google Maps), oder von extern gehosteten Schrift- und Programmbibliotheken (Google Fonts, jQuery etc.).Die datenschutzrechtliche Rechenschaftspflicht zwingt Unternehmen dazu, Drittanbieter-Technologien datenschutzkonform einzubinden sowie eine geeignete Dokumentation zum Nachweis der Datenschutz-Compliance vorzuhalten. Schon das Fehlen dieser Dokumentation und damit ein Verstoß gegen diese Rechenschaftspflicht kann mit einem Bußgeld geahndet werden.Der datenschutzkonforme Betrieb von Websites bedarf daher eines wirkungsvollen Datenschutzmanagements. Insbesondere ist durch geeignete Governance-Strukturen und Datenschutzprozesse im Unternehmen sicherzustellen, dass Drittanbieter-Technologien nicht ohne sorgfältige Prüfung und Datenschutz-Dokumentation implementiert werden. Details beachtenDas beginnt bei der Schaffung des nötigen “Problembewusstseins” bei den zuständigen Unternehmensabteilungen und externen Agenturen. Zudem sind interne Prozesse zu schaffen, die eine datenschutzkonforme Implementierung sicherstellen. Andernfalls laufen Unternehmen Gefahr, dass gerade die Einbindung von Drittanbieter-Technologien, die nicht im eigentlichen User-Interface sichtbar sind, am unternehmensinternen Datenschutzmanagement völlig vorbeiläuft. Verstöße gegen die Datenschutzgrundverordnung (DSGVO) wären in solchen Fällen programmiert. *) Dr. Daniel Rücker ist Partner, Alexander Brandt Senior Associate von Noerr.