Seit Inkrafttreten der DSGVO im Mai 2018 sehen sich viele Unternehmen mit vermehrter Rechtsunsicherheit konfrontiert. Dies liegt zum einen an weit gefassten Vorschriften in der DSGVO, zum anderen aber auch daran, dass bisher wenige höchstrichterliche Entscheidungen existieren. Eine solche hat der EuGH nun in der Rechtsache Fashion ID (Urteil vom 29.07.2019, C-40/17) zur Einbindung des Facebook „Gefällt-mir“-Buttons auf einer Unternehmenshomepage getroffen. Gegenstand der Entscheidung ist zwar noch die der DSGVO vorausgegangenen EU-Richtlinie 95/46/EG; das Urteil lässt sich jedoch aufgrund weitgehend ähnlicher Vorschriften auf die DSGVO übertragen.
Der Fall
Der Betreiber des Onlineshops von Peek & Cloppenburg Düsseldorf implementierte den „Gefällt mir“-Button in seiner Webseite. Dies hat zur Folge, dass bereits bei Aufrufen der Homepage und ohne jegliche Aktivität des Besuchers personenbezogene Daten ohne Hinweis an die Facebook Ireland Ltd. („Facebook“) übertragen werden. Dies geschieht in technischer Hinsicht unter Einbindung eines Verweises in die Webseite, der dazu führt, dass der Browser des Benutzers dem Verweis folgt und Inhalte des Drittanbieters (in diesem Fall Facebook) anfordert. Im Zuge dessen werden Informationen des Benutzers an den Drittanbieter weitergeleitet. Dazu gehören etwa die IP-Adresse und Cookies, die personenbezogene Daten der Nutzer enthalten, selbst wenn diese nicht bei Facebook eingeloggt oder gar kein Mitglied sind. Welche Informationen weitergeleitet werden, kann vom Anbieter der besuchten Webseite nicht gesteuert werden, sondern liegt in den Händen des Drittanbieters, also von Facebook.
Verantwortlichkeit für die Datenverarbeitung – es darf aufgeatmet werden
Zunächst stellte sich die Frage, ob bereits das Implementieren des „Gefällt-mir“-Buttons mit der daran geknüpften Weiterleitung von Daten zu einer Verantwortlichkeit des Betreibers der Webseite führt (vgl. Art. 4 Nr. 7 DSGVO).
Der EuGH stellt zunächst klar, dass auch mehrere (natürliche oder juristische) Personen für denselben Verarbeitungsvorgang verantwortlich sein können. Die Verantwortlichkeit sei für jede Phase der Datenverarbeitung (Erhebung, Weiterleitung, Speicherung, Verwendung etc.) einzeln zu beurteilen und richte sich danach, ob die vermeintlich verantwortliche Person über Zweck und Mittel der Verarbeitung entscheiden könne. Für Betreiber von Webseiten, die den „Gefällt-mir“-Button integrieren, bedeutet dies, dass die Verantwortlichkeit lediglich für die Erhebung und Weiterleitung der Daten besteht. Nur diese Entscheidung ist für den Betreiber steuerbar, denn er trifft sie mit der Entscheidung für die Implementierung des „Gefällt-mir“-Buttons. Eine darüberhinausgehende Verantwortlichkeit für die persönlichen Daten lehnte der EuGH mangels Einflussmöglichkeiten seitens des Webseitenbetreibers ab. Mit anderen Worten: Alles, was Facebook sodann mit diesen Daten unternimmt, liegt im Verantwortungsbereich von Facebook.
Dies kann als Klarstellung zum Urteil des EuGH in der Rechtssache Wirtschaftsakademie Schleswig-Holstein verstanden werden, in der der EuGH die gemeinsame Verantwortlichkeit von Facebook sowie der Wirtschaftsakademie für im Rahmen einer Fanpage auf Facebook erhobenen Daten annahm (EuGH, 05.06.2018 – C-210/16 – Wirtschaftsakademie Schleswig-Holstein). Diese nach dem Wortlaut des Urteils unbeschränkte Haftung für die erhobenen Daten wird nun deutlich dahingehend eingeschränkt, dass die Verantwortlichkeit nur so weit geht, wie der Datenerhebende Entscheidungsgewalt über die Daten innehat.
Informationspflicht und Einwilligung
Praktisch in höchstem Maße relevant ist indessen die Frage der einzuholenden Einwilligung sowie der Pflicht, den Betroffenen zu informieren. Hier entschied der EuGH konsequenterweise dahingehend, dass die Einwilligung von dem für den konkreten Schritt der Datenverarbeitung Verantwortlichen einzuholen ist. Bei Verwendung des „Gefällt-mir“-Buttons auf einer Homepage wird immer der Betreiber der Homepage bereits die Einwilligung einholen müssen, da der Verarbeitungsprozess der personenbezogenen Daten dadurch ausgelöst wird, dass ein Besucher die Webseite aufruft.
Folgen für die Praxis
Die Entscheidung des EuGH birgt einerseits gute Nachrichten für Unternehmen, andererseits allerdings auch konkrete Vorgaben für die Verwendung von Plug-ins sozialer Netzwerke.
Positiv ist, dass die potentiell grenzenlose Verantwortlichkeit für Daten, die zusammen mit Facebook erhoben wurden, deutlich eingeschränkt wird. Diese besteht nur noch für die Datenverarbeitungsschritte, auf die das Unternehmen auch Zugriff hat. Jede darüber hinausgehende Verwendung, fällt in den Verantwortungsbereich von Facebook.
Zu beachten ist jedoch, dass es Sache der Webseitenbetreiber ist, die nötige Einwilligung für die Datenverarbeitung über den „Gefällt-mir“-Button einzuholen. Auch hier gilt jedoch die Einschränkung, dass der Webseitenbetreiber nur für die Vorgänge eine Einwilligung einholen muss, die er auch tatsächlich kontrolliert, sprich die Datenerhebung und Übermittlung an Facebook. Erfolgen kann diese Einwilligung entweder durch die mittlerweile verbreiteten Pop-Up-Warnungen, bei denen auf die datenschutzrechtlichen Bestimmungen hingewiesen wird, oder durch so genannten „Zwei-Klick-Lösungen“; bei letzteren werden in der Regel deaktivierte Buttons eingebettet, die keinen Kontakt mit den Servern von Facebook & Co herstellen. Erst wenn der Anwender diese aktiviert und damit seine Zustimmung zur Kommunikation mit Facebook, Google, Twitter etc. erklärt, werden die Buttons aktiv und stellen die Verbindung her.
Bei Rückfragen zum Datenschutz steht Ihnen Rechtsanwalt Dr. Daniel Weisert unter daniel.weisert@rittershaus.net jederzeit zur Verfügung.
