30. Juli 2019
Am 29. Juli 2019 hat der Europäische Gerichtshof (EuGH) eine lang erwartete Entscheidung zu den rechtlichen Voraussetzungen der Einbindung von Facebook „Gefällt mir“- Buttons auf Webseiten getroffen (Urteil vom 29.07.2019, Az.: C-40/17). Mit seiner Entscheidung bringt der EuGH Klarheit in die kontrovers geführte Debatte um die Verantwortung von Webseitenbetreibern für die Verarbeitung der Nutzerdaten auf ihrer Webseite. Darüber hinaus nimmt der EuGH Stellung zu Informationspflichten und den Voraussetzungen an eine wirksame datenschutzrechtliche Einwilligung. Obwohl das Urteil des EuGH noch auf den Regelungen der früheren Datenschutzrichtlinie basiert, gelten die Erwägungen gleichermaßen unter Anwendung der Datenschutz-Grundverordnung (DSGVO). Die Entscheidung wird für viele Webseitenbetreiber zur Folge haben, dass ihre Internetpräsenz angepasst werden muss, um Bußgelder und Abmahnungen zu vermeiden.
Durch die Implementierung des Facebook “Gefällt mir“-Buttons auf einer Website ermöglicht der Webseitenbetreiber Facebook Zugriff auf die Daten seiner Nutzer. Bei jedem Zugriff eines Nutzers auf die Website werden Benutzerdaten, wie z.B. IP-Adressen, an Facebook weitergeleitet, unabhängig davon, ob der Nutzer ein Facebook-Konto hat. Obwohl der Webseitenbetreiber keinen Einfluss darauf hat, wie Facebook mit den vom Webseitenbetreiber erhaltenen Benutzerdaten umgeht, hat der Webseitenbetreiber die anschließende Datennutzung durch Facebook ausgelöst, indem er den „Gefällt mir“- Button auf seiner Webseite implementier hat. Bis zum Urteil des EuGH war nicht geklärt, inwieweit der Webseitenbetreiber für die Datenübertragung an und die Datenverarbeitung durch Facebook verantwortlich ist.
Nach der Entscheidung des EuGH können Webseiten-Betreiber ihre Verantwortung nicht mehr mit dem Argument verneinen, dass die Datenverarbeitung im Zusammenhang mit dem „Gefällt mir“- Button ausschließlich von Facebook durchgeführt wird. Das Gericht hat sich klar dahingehend positioniert, dass der Webseitenbetreiber und Facebook gemeinsam für die Datenverarbeitung auf der Webseite im Zusammenhang mit dem „Gefällt mir“-Button verantwortlich sind. Für die Verantwortlichkeit des Webseitenbetreibers hält es der EUGH für ausreichend, dass der Betreiber den „Gefällt mir“-Button auf seiner Website implementiert hat und damit eigene wirtschaftliche Interessen verfolgt. Der EUGH begründet seine Entscheidung damit, dass die Einbettung eines “Gefällt mir“-Buttons es dem Betreiber ermöglicht, sein Angebot auf Facebook besser sichtbar zu machen und so die Werbung zu optimieren.
Die Einordnung als gemeinsamer Verantwortlicher bezieht sich jedoch nicht auf die Weiterverarbeitung durch Facebook nach Erhebung der Daten auf der Webseite. Diese spätere Phase liegt in der alleinigen Verantwortung von Facebook.
Zwar beruhen die Ausführungen des Gerichtshofs auf der Auslegung von Normen aus der vormals geltenden Datenschutzrichtlinie. Das Urteil hat jedoch unter Anwendung der DSGVO gleichermaßen Relevanz. Die relevanten Definitionen zu den Begriffen „Verarbeitung“ und „Verantwortlicher“ haben sich im Rahmen der DSGVO nur unwesentlich geändert, sodass die Erwägungen des EuGH zur Auslegung auf das gegenwärtige Regelungsregime übertragbar sind.
Mangels Entscheidungsrelevanz musste der EUGH nicht entscheiden, ob die Implementierung des „Gefällt mir“-Buttons der Einwilligung des Nutzers bedarf. Die Klärung dieser Frage obliegt dem Vorlagegericht (Oberlandesgericht Düsseldorf, Beschluss vom 19.01.2017, Az.: I-20 U 40/16). Nach Ansicht des EuGH bedeutet die Einordnung als gemeinsamer Verantwortlicher jedoch, dass die Verarbeitung der Daten auf der Website sowohl für Facebook als auch für den Betreiber der Website durch eine Rechtsgrundlage gerechtfertigt sein muss. Für den Fall, dass die Einwilligung als Rechtsgrundlage herangezogen wird, erklärte das Gericht, dass eine rechtmäßige Einwilligung durch den Betreiber der Website eingeholt werden müsse und es nicht ausreiche, sich in dieser Hinsicht auf Facebook zu verlassen.
Nach Ansicht des EuGH erfordert die Informationspflicht über die Datenverarbeitung, dass der Webseitenbetreiber die Nutzer über die Datenübertragung zu und die Nutzung der Daten durch Facebook auf der Webseite informiert. Der jeweilige Hinweis, der in die Datenschutzerklärung der Website eingebettet werden kann, muss zumindest Informationen über den Umstand der Datenerhebung, die Datenkategorien und den Zweck der Verarbeitung enthalten. Informationen über die nachfolgenden Verarbeitungen müssen von Facebook zur Verfügung gestellt werden.
Die Entscheidung des Gerichtshofs betraf Fragen zur Umsetzung des Facebook „Gefällt mir“-Buttons. Der EuGH wies jedoch darauf hin, dass seine Ausführungen auch für andere Social Media Plug-Ins gelten. Damit ist die Entscheidung auch für Webseiten-Betreiber relevant, die z.B. Plug-Ins für Twitter oder LinkedIn integriert haben.
Darüber hinaus dürfte die Entscheidung des EuGH Auswirkungen auf die Einbettung von Inhalten Dritter im Allgemeinen haben wird, z.B. Tools für Tracking- oder Analysezwecke. Daher sollten Betreiber prüfen, ob und in welcher Weise Inhalte von Dritten implementiert sind. Zusätzlich ist zu prüfen, ob die entsprechenden technischen und rechtlichen Voraussetzungen für eine solche Einbindung erfüllt sind.
Verstöße gegen die Vorgaben zur Einbindung von Social Media Plugins können zu Geldbußen im Rahmen der DSGVO führen. Darüber hinaus kam der EuGH zu dem Schluss, dass Verbraucherschutzverbände und andere Dritte im Rahmen der früheren Datenschutzrichtlinie 95/46/EG berechtigt waren, im Namen einer betroffenen Person mögliche Verstöße gegen das Datenschutzrecht geltend zu machen. Nationale Vorschriften, die solche Ansprüche zulassen, stünden nicht im Widerspruch zu den harmonisierten Vorschriften der Richtlinie. Der Gerichtshof betonte auch, dass dies die Absicht des europäischen Gesetzgebers widerspiegele, wie sie in der DSGVO dargelegt sei, so dass die Ausführungen des EuGH auch diesbezüglich unter DSGVO fortgelten sollten. Dies ist besonders relevant, da Verbraucherschutzverbände oft aggressiver sind als Datenschutzbehörden und die Verbände mit der Durchsetzung von Verbraucherschutzvorschriften vor Gericht vertraut sind.
Wir erwarten daher in Zukunft zunehmende Aktivitäten dieser Verbände und eine stärkere Fokussierung auf Datenschutzverletzungen. Daher empfehlen wir Ihnen zu überprüfen, ob Ihre Website den Anforderungen der DSGVO entspricht.
Die Einordnung als gemeinsamer Verantwortlicher bedeutet nicht, dass sich ein Verantwortlicher auf die Einhaltung der gesetzlichen Vorgaben durch den jeweils anderen verlassen kann, sondern dass beide Parteien sicherstellen müssen, dass die Verpflichtungen aus der DSGVO eingehalten werden. Daher sollten folgende Punkte durch Webseitenbetreiber berücksichtigt werden:
von Dr. Paul Voigt, Lic. en Derecho, CIPP/E und Wiebke Reuter, LL.M. (London)