EuGH Urteil zu Facebook Like Buttons auf Webseiten

Am 29. Juli 2019 hat der Europäische Gerichtshof (EuGH) eine lang erwartete Entscheidung zu den rechtlichen Voraussetzungen der Einbindung von Facebook „Gefällt mir“- Buttons auf Webseiten getroffen (Urteil vom 29.07.2019, Az.: C-40/17). Mit seiner Entscheidung bringt der EuGH Klarheit in die kontrovers geführte Debatte um die Verantwortung von Webseitenbetreibern für die Verarbeitung der Nutzerdaten auf ihrer Webseite. Darüber hinaus nimmt der EuGH Stellung zu Informationspflichten und den Voraussetzungen an eine wirksame datenschutzrechtliche Einwilligung. Obwohl das Urteil des EuGH noch auf den Regelungen der früheren Datenschutzrichtlinie basiert, gelten die Erwägungen gleichermaßen unter Anwendung der Datenschutz-Grundverordnung (DSGVO). Die Entscheidung wird für viele Webseitenbetreiber zur Folge haben, dass ihre Internetpräsenz angepasst werden muss, um Bußgelder und Abmahnungen zu vermeiden.

Hintergrund

Durch die Implementierung des Facebook “Gefällt mir“-Buttons auf einer Website ermöglicht der Webseitenbetreiber Facebook Zugriff auf die Daten seiner Nutzer. Bei jedem Zugriff eines Nutzers auf die Website werden Benutzerdaten, wie z.B. IP-Adressen, an Facebook weitergeleitet, unabhängig davon, ob der Nutzer ein Facebook-Konto hat. Obwohl der Webseitenbetreiber keinen Einfluss darauf hat, wie Facebook mit den vom Webseitenbetreiber erhaltenen Benutzerdaten umgeht, hat der Webseitenbetreiber die anschließende Datennutzung durch Facebook ausgelöst, indem er den „Gefällt mir“- Button auf seiner Webseite implementier hat. Bis zum Urteil des EuGH war nicht geklärt, inwieweit der Webseitenbetreiber für die Datenübertragung an und die Datenverarbeitung durch Facebook verantwortlich ist.

Gemeinsame Verantwortlichkeit

Nach der Entscheidung des EuGH können Webseiten-Betreiber ihre Verantwortung nicht mehr mit dem Argument verneinen, dass die Datenverarbeitung im Zusammenhang mit dem „Gefällt mir“- Button ausschließlich von Facebook durchgeführt wird. Das Gericht hat sich klar dahingehend positioniert, dass der Webseitenbetreiber und Facebook gemeinsam für die Datenverarbeitung auf der Webseite im Zusammenhang mit dem „Gefällt mir“-Button verantwortlich sind. Für die Verantwortlichkeit des Webseitenbetreibers hält es der EUGH für ausreichend, dass der Betreiber den „Gefällt mir“-Button auf seiner Website implementiert hat und damit eigene wirtschaftliche Interessen verfolgt. Der EUGH begründet seine Entscheidung damit, dass die Einbettung eines “Gefällt mir“-Buttons es dem Betreiber ermöglicht, sein Angebot auf Facebook besser sichtbar zu machen und so die Werbung zu optimieren.

Die Einordnung als gemeinsamer Verantwortlicher bezieht sich jedoch nicht auf die Weiterverarbeitung durch Facebook nach Erhebung der Daten auf der Webseite. Diese spätere Phase liegt in der alleinigen Verantwortung von Facebook.

Zwar beruhen die Ausführungen des Gerichtshofs auf der Auslegung von Normen aus der vormals geltenden Datenschutzrichtlinie. Das Urteil hat jedoch unter Anwendung der DSGVO gleichermaßen Relevanz. Die relevanten Definitionen zu den Begriffen „Verarbeitung“ und „Verantwortlicher“ haben sich im Rahmen der DSGVO nur unwesentlich geändert, sodass die Erwägungen des EuGH zur Auslegung auf das gegenwärtige Regelungsregime übertragbar sind.

Rechtliche Grundlagen für die Datenverarbeitung

Mangels Entscheidungsrelevanz musste der EUGH nicht entscheiden, ob die Implementierung des „Gefällt mir“-Buttons der Einwilligung des Nutzers bedarf. Die Klärung dieser Frage obliegt dem Vorlagegericht (Oberlandesgericht Düsseldorf, Beschluss vom 19.01.2017, Az.: I-20 U 40/16). Nach Ansicht des EuGH bedeutet die Einordnung als gemeinsamer Verantwortlicher jedoch, dass die Verarbeitung der Daten auf der Website sowohl für Facebook als auch für den Betreiber der Website durch eine Rechtsgrundlage gerechtfertigt sein muss. Für den Fall, dass die Einwilligung als Rechtsgrundlage herangezogen wird, erklärte das Gericht, dass eine rechtmäßige Einwilligung durch den Betreiber der Website eingeholt werden müsse und es nicht ausreiche, sich in dieser Hinsicht auf Facebook zu verlassen.

Informationspflichten

Nach Ansicht des EuGH erfordert die Informationspflicht über die Datenverarbeitung, dass der Webseitenbetreiber die Nutzer über die Datenübertragung zu und die Nutzung der Daten durch Facebook auf der Webseite informiert. Der jeweilige Hinweis, der in die Datenschutzerklärung der Website eingebettet werden kann, muss zumindest Informationen über den Umstand der Datenerhebung, die Datenkategorien und den Zweck der Verarbeitung enthalten. Informationen über die nachfolgenden Verarbeitungen müssen von Facebook zur Verfügung gestellt werden.

Relevanz über „Gefällt mir“-Button hinaus

Die Entscheidung des Gerichtshofs betraf Fragen zur Umsetzung des Facebook „Gefällt mir“-Buttons. Der EuGH wies jedoch darauf hin, dass seine Ausführungen auch für andere Social Media Plug-Ins gelten. Damit ist die Entscheidung auch für Webseiten-Betreiber relevant, die z.B. Plug-Ins für Twitter oder LinkedIn integriert haben.

Darüber hinaus dürfte die Entscheidung des EuGH Auswirkungen auf die Einbettung von Inhalten Dritter im Allgemeinen haben wird, z.B. Tools für Tracking- oder Analysezwecke. Daher sollten Betreiber prüfen, ob und in welcher Weise Inhalte von Dritten implementiert sind. Zusätzlich ist zu prüfen, ob die entsprechenden technischen und rechtlichen Voraussetzungen für eine solche Einbindung erfüllt sind.

Durchsetzung

Verstöße gegen die Vorgaben zur Einbindung von Social Media Plugins können zu Geldbußen im Rahmen der DSGVO führen. Darüber hinaus kam der EuGH zu dem Schluss, dass Verbraucherschutzverbände und andere Dritte im Rahmen der früheren Datenschutzrichtlinie 95/46/EG berechtigt waren, im Namen einer betroffenen Person mögliche Verstöße gegen das Datenschutzrecht geltend zu machen. Nationale Vorschriften, die solche Ansprüche zulassen, stünden nicht im Widerspruch zu den harmonisierten Vorschriften der Richtlinie. Der Gerichtshof betonte auch, dass dies die Absicht des europäischen Gesetzgebers widerspiegele, wie sie in der DSGVO dargelegt sei, so dass die Ausführungen des EuGH auch diesbezüglich unter DSGVO fortgelten sollten. Dies ist besonders relevant, da Verbraucherschutzverbände oft aggressiver sind als Datenschutzbehörden und die Verbände mit der Durchsetzung von Verbraucherschutzvorschriften vor Gericht vertraut sind.

Wir erwarten daher in Zukunft zunehmende Aktivitäten dieser Verbände und eine stärkere Fokussierung auf Datenschutzverletzungen. Daher empfehlen wir Ihnen zu überprüfen, ob Ihre Website den Anforderungen der DSGVO entspricht.

Zusammenfassung

Die Einordnung als gemeinsamer Verantwortlicher bedeutet nicht, dass sich ein Verantwortlicher auf die Einhaltung der gesetzlichen Vorgaben durch den jeweils anderen verlassen kann, sondern dass beide Parteien sicherstellen müssen, dass die Verpflichtungen aus der DSGVO eingehalten werden. Daher sollten folgende Punkte durch Webseitenbetreiber berücksichtigt werden:

• Social Media Plug-Ins sollten so integriert werden, dass die Kommunikation mit dem Social Media Provider nur dann stattfindet, wenn der Nutzer auf das entsprechende Plug-In klickt (z.B. über eine "2-Klick-Lösung" oder den "Shariff" Button).
• Sind Social Media Plug-Ins in eine Website eingebettet, muss der Webseitenbetreiber seine Nutzer über die Datenverarbeitung durch den Plug-In-Anbieter informieren. Daher können Aktualisierungen der Webseiten-Datenschutzerklärung erforderlich sein.
• Facebook wird voraussichtlich eine Vereinbarung über die gemeinsame Verantwortlichkeit zur Erfüllung der in Art. 26 DSGVO normierten Pflichten erstellen, um eine rechtskonforme Nutzung des „Gefällt mir“-Buttons zu ermöglichen (ähnlich wie dies bereits bei Facebook Insights geschehen ist). In diesem Fall müsste der Betreiber der Website die Nutzer über die wesentlichen Punkte dieser Vereinbarung informieren (z.B. in der Datenschutzerklärung der Webseite).
• Die Entscheidung des EuGH könnte sich auf eingebettete Inhalte Dritter im Allgemeinen auswirken. Daher ist es ratsam, diese Inhalte genau zu überprüfen und gegebenenfalls die jeweiligen Implementierungsmechanismen zu ändern.
• Das breite Verständnis von gemeinsamer Verantwortung wird dazu führen, dass die gemeinsame Verantwortung in Zukunft häufiger angenommen wird, als bisher; dementsprechend werden auch häufiger entsprechende „Joint Control Vereinbarungen“ geschlossen werden müssen.
• Auch wenn der EuGH keine Entscheidung hinsichtlich der Notwendigkeit einer Einwilligung bezüglich der Plug-Ins getroffen hat, ist es – auch vor dem Hintergrund aktueller Stellungnahmen der deutschen Datenschutzaufsichtsbehörden – eher wahrscheinlich, dass das Oberlandesgericht Düsseldorf eine Einwilligung für erforderlich halten wird.