Nach der im vergangenen Jahr ergangenen Entscheidung zum Thema Facebook-Fanpages (vgl. die Newsblogbeiträge unserer Beratungsgesellschaft TIGGES DCO aus April 2019 und September 2018) hat der EuGH nun eine weitere Entscheidung in Sachen Facebook getroffen. Dieses Mal ging es um den sog. Facebook Like-Button. Es handelt sich um eine Grundsatzentscheidung – die gerichtlichen Vorgaben entfalten letztlich Wirkung für Websites und Apps sowie für alle Social Plug-Ins und Trackingtools.
Am 29. Juli 2019 hat der EuGH im Rechtsstreit zwischen der Fashion ID GmbH & Co. KG (EuGH C-40/17) und der Verbraucherzentrale Nordrhein-Westfalen entschieden: Wer für eine Website Social Plug-Ins von Facebook nutzt, ist gemeinsam mit Facebook für die Datenverarbeitung verantwortlich. Ob eine vorherige, ausdrückliche Einwilligung erforderlich ist, ist nach wie vor offen.
Worum geht es in der Entscheidung?
Fashion ID, ein Online-Händler für Modeartikel, band in seine Website das Social Plug-In „Gefällt mir" ein („Like Button"). Mit jedem Aufruf der Website wurden personenbezogene Daten jedes Nutzers der Website an Facebook in Irland übermittelt, ohne dass die Nutzer einwilligten, hierüber den gesetzlichen Vorgaben entsprechend informiert wurden und unabhängig davon, ob die Nutzer einen Account bei Facebook hatten oder nicht. Die Verbraucherzentrale Nordrhein-Westfalen nahm Fashion ID deshalb vor dem LG Düsseldorf auf Unterlassung in Anspruch und gewann teilweise (Urteil vom 9.3.2016 – 12 O 151/15). Hiergegen ging Fashion ID vor dem OLG Düsseldorf in Berufung, welches den EuGH um Klärung verschiedener Rechtsfragen bat (Beschluss vom 19.1.2017 – I-20 U 40/16).
Was hat der EuGH entschieden?
Der EuGH hat mit seinem Urteil über gleich mehrere entscheidende Aspekte entschieden:
- Webseitenbetreiber, die den Facebook Like-Button einbinden, sind gemeinsam mit Facebook „gemeinsam Verantwortliche" (Joint Controller).
- Eine „gemeinsame Verantwortlichkeit" (Joint Control) erstreckt sich immer nur auf die „Phasen" der Verarbeitung, die auch wirklich unter gemeinsamer Kontrolle stehen. Im konkreten Fall war dies die Phase der Datenerhebung auf der Webseite. Für die (Weiter-) Verarbeitung der Daten durch Facebook ist der Webseitenbetreiber dann aber nicht mehr (Mit-)Verantwortlicher. Dies ist positiv zu bewerten, da gerade auf Unternehmen wie Facebook & Co. eine Einflussnahme auf weitere Verarbeitungsprozesse praktisch unmöglich ist.
- In den Phasen, in denen eine „gemeinsame Verantwortlichkeit" vorliegt, muss jeder Verantwortliche sicherstellen, dass er die Anforderungen der DSGVO erfüllt. Auch der Webseitenbetreiber muss also sicherstellen, dass (1.) eine wirksame Rechtsgrundlage für die Datenerhebung vorliegt, und (2.) die Betroffenen der Datenverarbeitung ausreichend informiert werden.
- Der EuGH deutet an, dass als Rechtsgrundlage der Datenerhebung nur die Einwilligung in Frage komme, weil insofern Art. 5 Abs. 3 der ePrivacy-Richtlinie einschlägig sei. Die Frage wurde an das vorlegende Gericht zurückverwiesen. Das OLG Düsseldorf hat dies nun zu prüfen
Was bedeutet das für die Praxis?
Das Urteil bezieht sich konkret auf den Like-Button von Facebook und dessen Einbindung in Websites. Es gilt damit primär für dessen Nutzung, aber eben nicht nur: Die gerichtlichen Vorgaben greifen vielmehr für alle Plug-Ins und Tools, bei denen die Voraussetzungen aus dem Urteil vorliegen. Sie sind auch nicht auf Websites beschränkt, sondern auf alle Telemedien anwendbar, insbesondere auf Apps.
Was sind die Voraussetzungen?
- Das Plug-In/Tool wird von einem Dritten angeboten.
- Das Plug-In/Tool wird vom Anbieter in seine Website oder App eingebunden, um wie vom Plug-In/Tool vorgesehen Informationen von den Nutzern der Website/App zu erlangen und diese Informationen an den Anbieter des Plug-Ins/Tools zu übermitteln.
- Das Plug-In/Tool speichert Informationen, insb. personenbezogene Daten, auf dem Endgerät des Nutzers der Website oder App, z.B. auf einem Smartphone, Tablet oder Notebook. Meist werden die Informationen in Cookies gespeichert. Alternativ reicht es aus, wenn das Plug-In/Tool zwar keine Informationen auf dem Endgerät speichert, aber auf bereits auf dem Endgerät gespeicherte Informationen zugreift, z.B. auf Fremd-Cookies oder Angaben zum Endgerät, z.B. eine Device-ID.
- Der Anbieter des Plug-Ins/Tools und der Betreiber der Website/App verfolgen mit dem Anbieten/Einbinden des Plug-Ins/Tools gleichartige, in der Regel kommerzielle oder werbliche Zwecke und fördern wechselseitig deren Erreichung. Eine völlige Übereinstimmung oder Identität der Zwecke ist nicht erforderlich.
Hiervon erfasst werden damit neben dem Like-Button von Facebook nahezu alle Plug-Ins der sozialen Netzwerke, z.B. Facebook Pixel, LinkedIn Insight-Tag, Analyse-Tools wie Google Analytics und viele mehr. Ebenso darunter fallen wohl Tools, die etwa zur Ermöglichung von Push-Funktionalitäten Geräte-Kennziffern (Device-IDs) oder andere Informationen von Endgeräten auslesen.
Aus dem Anwendungsbereich fallen nur solche Plug-Ins/Tools heraus, bei denen eine der obigen Voraussetzungen nicht gegeben ist. Werden Plug-Ins/Tools z.B. auf einem eigenen Server ohne Zugriffsrechte für den Plug-In-/Tool-Anbieter betrieben (z.B. das Analyse-Tool Matomo), entfällt zwar die gemeinsame Verantwortlichkeit. Ob eine Einwilligung des Nutzers erforderlich ist, ist im Einzelfall zu prüfen.
Sie sollten aktiv werden!
Da die Entscheidung weit über den Facebook Like-Button hinaus Wirkung entfaltet, sollten nicht nur Nutzer des Like-Buttons aktiv werden.
Treffen nachfolgende Aussagen auf Ihre Website/App zu, sind konkrete Maßnahmen zu veranlassen:
- Meine Website/App nutzt Plug-Ins/Tools (Häufig werden entsprechende Tools von dem IT-Dienstleister/der Agentur, die die Website „gebaut" hat, vorgesehen. Fragen Sie hier nach, sollten Sie sich unsicher sein.)
- Die Plug-Ins/Tools speichern Informationen auf den Endgeräten Ihrer Nutzer, insbesondere in Cookies, und übermitteln diese Informationen an den Anbieter.
- oder: Die Plug-Ins/Tools greifen auf bereits auf dem Endgerät Ihrer Nutzer gespeicherte Informationen zu und übermitteln diese dann an den Anbieter des Plug-Ins/Tools.
- Sie nutzen Sie die im Zusammenhang mit dem Plug In/ dem Tool erhobenen oder sonst verarbeiteten Informationen und verfolgen ähnliche Zwecke wie der Plug In-/Tool-Anbieter (z.B. Nutzung der Daten zu Werbezwecken).
Für jedes Plug-In/Tool, für das die vorstehenden Fragen alle mit „ja" beantwortet werden, sind folgende Punkte zu beachten:
- Abschluss einer Vereinbarung über die gemeinsame Verantwortlichkeit
Stellt der Anbieter keine solche Vereinbarung zur Verfügung und ist auch nicht bereit, eine von Ihnen vorgeschlagene Vereinbarung zu akzeptieren, ist die Nutzung des Plug-Ins/Tools datenschutzrechtswidrig.
Soweit ersichtlich bietet Facebook einen solchen Vertrag für das Plug-In derzeit noch nicht an. Die Implementierung des Like Buttons ist schon deshalb derzeit mit datenschutzrechtlichen Risiken behaftet. - Erfüllung der Informationspflichten
In seinen Datenschutzinformationen hat der Website-Betreiber die Besucher seiner Website/App transparent über die Details der Verarbeitung personenbezogener Daten zu informieren. Das schließt auch die gemeinsame Verantwortlichkeit mit ein. - Datenschutzkonforme Implementierung auf der Website
Die Einbindung und die aktive Nutzung eines Plug-Ins/Tools setzte eine datenschutzrechtliche Rechtsgrundlage voraus.
Ob hier eine (vorherige) gegenüber dem Website-Betreiber zu erklärende Einwilligung der Nutzer erforderlich ist, oder ob der Einsatz des Plug-Ins/Tools auch ohne Einwilligung bereits auf Grundlage einer sog. Interessenabwägung zulässig ist, hat der EuGH ausdrücklich offengelassen. Es besteht weiterhin eine gewisse Rechtsunsicherheit, die andererseits auch Argumentationsspielräume eröffnet.
Wollen Sie derartige Unsicherheiten vermeiden, bleibt nur die Einholung einer vorherigen ausdrücklichen Einwilligung. Beachte Sie hierfür Folgendes:
Dokumentieren Sie den von Ihnen hierfür implementierten Prozess sowie die technischen Vorgänge im Zusammenhang mit der Einholung der Einwilligung. Es dürfen erst dann Informationen auf dem Endgerät gespeichert oder von dort abgerufen werden, wenn die Einwilligung des Nutzers vorliegt. Das ist nur möglich, wenn beim ersten Aufruf der Website mit einem Cookie-Overlay oder einer speziellen Landingpage zunächst die Einwilligung abgefragt wird, bevor die Datenverarbeitungen beginnen.
Bei Social-Media-Plug-Ins kann alternativ auf sog. „Zwei-Klick-Lösungen" (z.B. Shariff) zurückgegriffen werden.
Fazit
Das aktuelle Urteil zeigt erneut: die Anforderungen an Website-/App-Betreiber steigen. Setzen Sie ein Plug-In/Tool ein, ohne die sich aus dem Datenschutzrecht ergebenden Anforderungen berücksichtigt zu haben, drohen Ihnen Maßnahmen der Aufsichtsbehörden. Diese reichen von der Untersagung der Nutzung bis zur Geldbuße. Es gilt mehr denn je, praxisorientierte Lösungen zu finden, die eine rechtskonforme Nutzung moderner Web-Technologien erlauben.
Autor: Yvonne Quad
Sie benötigen Unterstützung bei der Prüfung, ob und inwieweit Sie etwas tun müssen? Sie möchten auf neue Web-Technologien nicht verzichten? Wir unterstützen Sie gern.
Sie suchen kompetente Beratung oder haben Fragen zu unserer Kanzlei?
Rufen Sie uns gerne unter der Nummer 0211 8687-0 an.
Sie suchen kompetente Beratung oder haben Fragen zu unserer Kanzlei?
Kontaktieren Sie uns gerne.
Kontaktformular