01.08.2019
EuGH-Urteil zum Like-Button: Was Websitebetreiber jetzt tun und beachten müssen
Inhalt
- Was hat der EuGH zur Verantwortlichkeit entschieden?
- Ist eine Einwilligung jetzt zwingend erforderlich?
- Welche direkten Folgen ergeben sich aus dem Urteil?
- Gilt das Urteil nur für den Facebook Like-Button?
- Was jetzt zu tun ist: Welche Maßnahmen muss ich treffen?
- Ausblick für die Zukunft: Wie geht es weiter?
Jacqueline Neiazy
Director Datenschutz
Am 29.07.2019 hat der Europäische Gerichtshof (EuGH) entschieden, dass ein Websitebetreiber, der einen sog. Like-Button von Facebook einbindet, für die damit verbundene Verarbeitung personenbezogener Daten teilweise gemeinsam zusammen mit Facebook verantwortlich ist. Dieses Urteil (C-40/17, „Fashion ID“) hat Konsequenzen für viele Websitebetreiber. In diesem Beitrag wollen wir klären, was im Urteil entschieden wurde, welche Folgen es hat, welche Plugins und Tools es betrifft und was Websitebetreiber jetzt tun müssen.
Was hat der EuGH zur Verantwortlichkeit entschieden?
Mit dem Like-Button werden Kommunikationsdaten (wie IP-Adressen und Cookie-Kennungen) sofort beim Besuch der Website an Facebook übermittelt. Nun hat der EuGH entschieden, dass die Betreiber von Websites, die den Like-Button durch Facebooks Plugin einbinden, für die Erhebung und Übermittlung der personenbezogenen Daten der Besucher mitverantwortlich sind.
Denn der Websitebetreiber ermöglicht durch die Einbindung des Like-Buttons die Datenübertragung an Facebook und verfolgt damit wirtschaftliche Interessen, insbesondere Marketing und Werbung. Für diesen Teil der Datenverarbeitung haftet der Website-Betreiber gemeinsam mit Facebook. Allerdings ist er nicht verantwortlich für das, was Facebook anschließend mit den Daten macht.
Kostenfreie Expertise im E-Mail-Postfach
Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.
Ist eine Einwilligung jetzt zwingend erforderlich?
Nein, entgegen einer teilweise verbreiteten Interpretation des Urteils urteilte der EuGH nicht, dass eine Einwilligung für den Like-Button zwingend erforderlich ist. Darüber hat nun das Oberlandesgericht (OLG) Düsseldorf im Ausgangsverfahren zu entscheiden.
Hinsichtlich der Rechtsgrundlage für die Datenverarbeitung entschied der EuGH jedoch, dass
- falls eine Einwilligung erforderlich sein sollte, diese (auch) gegenüber dem Website-Betreiber erklärt werden müsse,
- falls die Verarbeitung auf berechtigte Interessen des Websitebetreibers gestützt werden soll, sowohl auf die Interessen des Websitebetreibers als auch auf die von Facebook abgestellt werden müsse.
Welche direkten Folgen ergeben sich aus dem Urteil?
Weil der Websitebetreiber für die Datenverarbeitung durch die Einbindung des Like-Buttons mitverantwortlich ist (Joint Controllership), muss er nach Art. 26 DSGVO mit Facebook in einer Vereinbarung die Verteilung der datenschutzrechtlichen Pflichten festlegen. Man kann davon ausgehen, dass entsprechende Vereinbarungen bald von den Anbietern der sozialen Netzwerke wie Facebook zur Verfügung gestellt werden.
Außerdem muss der Betreiber über die Erhebung und Übermittlung der Daten an Facebook durch das Plugin in seiner Datenschutzerklärung informieren und im Übrigen auf die Datenschutzerklärung von Facebook verweisen. In der Vereinbarung nach Art. 26 DSGVO könnte jedoch auch festgelegt werden, dass Facebook über die Datenverarbeitung informiert und der Websitebetreiber darauf verweist.
Gilt das Urteil nur für den Facebook Like-Button?
Der EuGH entschied in dem konkreten Fall über den Like-Button von Facebook. Die Argumentation des Gerichts kann auch auf andere Plugins und Tools bzw. Drittinhalte übertragen werden, die der Betreiber einer Website oder App einbindet. Diese müssen
- von Dritten angeboten werden und
- auf personenbezogene Besucherdaten zugreifen, sie speichern und/oder übermitteln.
Der Betreiber der Website/App muss
- gemeinsame Interessen/Zwecke mit dem Anbieter des Plugins/Tools verfolgen und
- den Zugriff, das Speichern und/oder die Übermittlung der Daten durch Einbindung des Plugins/Tools ermöglichen.
Es ist also in einem ersten Schritt zu prüfen, welche Plugins und Tools in Ihren Websites und Apps genutzt und eingebunden werden. Wenn die oben genannten Voraussetzungen vorliegen, liegt ein Fall der gemeinsamen Verantwortlichkeit vor. Große Anbieter werden den in diesen Fällen nach Art. 26 DSGVO erforderlichen Vertrag wahrscheinlich zum Bestandteil ihrer AGB machen, sodass kein separater Vertrag geschlossen werden muss. Jedenfalls sollten Sie die Rechtsprechung zu vergleichbaren Fällen und die Meinung der Aufsichtsbehörden genau verfolgen.
Nicht betroffen sind Plugins und Tools, die auf dem eigenen Server betrieben werden und deren Daten man selbst verarbeitet. So funktioniert beispielsweise das Analysetool Matomo (ehemals Piwik). Darüber hinaus liegt keine gemeinsame Verantwortlichkeit, sondern eine Auftragsverarbeitung vor, wenn der Dritte einem Daten-Nutzungsverbot unterliegt und weisungsgebunden ist.
Ihre Strategie für den besten Schutz
Die Grundlage jeder guten Geschäftsbeziehung ist Vertrauen. Stärken Sie die Beziehung zu Ihren Kunden mit unserer Expertise im Datenschutz und der Informationssicherheit. Damit sichern Sie Ihrer Unternehmung einen starken Wettbewerbsvorteil und können sich voll auf Ihr Geschäft konzentrieren.
Was jetzt zu tun ist: Welche Maßnahmen muss ich treffen?
- Prüfen Sie, welche Plugins und Tools Sie auf Ihrer Website nutzen. Achten Sie dabei explizit auf Social-Media-Plugins, die Sie auf Ihrer Website oder App einbinden und die personenbezogene Daten verarbeiten.
- Informieren Sie sich bei den Anbietern der Social-Media-Plugins ob diese künftig Ihnen eine Vereinbarung nach Art. 26 DSGVO zur Verfügung stellen werden.
- Stellen Sie Informationen über die Datenverarbeitung bei diesen Social-Media-Plugins in Ihrer Datenschutzerklärung bereit und informieren Sie dabei über die Phasen der Datenverarbeitung in gemeinsamer Verantwortlichkeit (Erhebung und Übermittlung).
- Prüfen Sie, ob Sie ein berechtigtes Interesse an der Einbindung der Social-Media-Plugins haben, die Datenverarbeitung erforderlich ist und die schutzwürdigen Interessen der Besucher an der Nichtübermittlung ihrer Daten nicht überwiegen. Wenn Sie sicher gehen wollen, greifen Sie auf die sog. 2-Klick-Lösung mit Einwilligung oder datenschutzfreundliche Alternativen wie die entwickelte Open-Source-Lösung „Embetty/Shariff“ zurück, die keine personenbezogenen Daten beim Seitenaufruf übertragen.
- Hinterfragen Sie Ihre Nutzung von Plugins und sonstiger Tools, die personenbezogene Daten an Dritte übermitteln und/oder Drittanbieter-Cookies anlegen. Sind diese Tools erforderlich? Informieren Sie in Ihrer Datenschutzerklärung über die Nutzung der Tools? Können Sie die Tools durch datenschutzfreundlichere Alternativen ersetzen?
- Behalten Sie im Hinterkopf, dass die rechtliche Bewertung des EuGH auch auf andere Plugins und Tools übertragen werden könnte. Beachten Sie aber auch, dass die Aufsichtsbehörden bisher noch keine Stellungnahme abgegeben haben und das OLG Düsseldorf erst einmal im Ausgangsverfahren über die Nutzung des Like-Buttons entscheiden muss.
Ausblick für die Zukunft: Wie geht es weiter?
Aktuell herrscht in Deutschland die besondere Situation, dass nicht alle Vorgaben aus der sog. ePrivacy-Richtlinie ins deutsche Recht übernommen wurden. Deswegen gilt nach wie vor:
- Ein genereller Einwilligungszwang für Cookies und vergleichbare Technologien besteht nicht.
- Die sog. ePrivacy-Richtlinie, insbesondere Art. 5 Abs. 3, ist nicht unmittelbar anwendbar.
Das Urteil des EuGH kann ändert diese Grundsätze nicht. Solange nicht der Gesetzgeber oder ein deutsches Gericht verbindliche Aussagen zur Rechtsgrundlage bei der Nutzung von Cookies (mit personenbezogenen Daten) macht, richtet sich die Rechtmäßigkeit ihrer Verarbeitung nach Art. 6 Abs. 1 DSGVO. Danach kann die Verarbeitung neben den Rechtsgrundlagen „Einwilligung“ und „Vertragsdurchführung“ auch auf „berechtigte Interessen“ gestützt werden, solange die Datenverarbeitung erforderlich ist und die Interessen der betroffenen Personen nicht überwiegen. Die zuvor genannte Position wird auch von den deutschen Aufsichtsbehörden vertreten, vgl. Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien, Stand: März 2019, S. 7.
Bei der Interessenabwägung kommt insbesondere auch zum Tragen, welche Maßnahmen man zugunsten des Nutzers ergreift, etwa die
- einfache Bereitstellung eines Opt-Out vom Tracking,
- Einflussnahme auf die vernünftigen Erwartungen der betroffenen Personen,
- Reduzierung der Speicherdauer der Daten,
- Reduzierung des Datenumfangs und
- Pseudonymisierung.
Gleichwohl machen die deutschen Aufsichtsbehörden in der erwähnten Stellungnahme für Anbieter von Telemedien auch deutlich, dass sie bei besonders weitreichenden Datenverarbeitungsvorgängen, insbesondere bei Cookies für Tracking wie bei Facebook Pixel, eine Einwilligung für erforderlich halten.
Insgesamt gibt es weiterhin keine gesetzliche oder höchstrichterliche einheitliche Linie. Gesetzlich wird diese Problematik zu Cookies erst die sog. ePrivacy-Verordnung regeln. Diese wird anders als ihr Vorgänger, die bereits erwähnte ePrivacy-Richtlinie, unmittelbar in Deutschland gelten. Bis dahin könnten jedoch noch Entscheidungen deutscher Gerichte Fälle in diesem Bereich konkretisieren und regeln.
Unsere erfahrenen Datenschutz-Experten beraten Sie gerne in Hinblick auf alle Neuigkeiten im Datenschutzrecht! Dies gilt insbesondere auch in Bezug auf die datenschutzkonforme Gestaltung von Websites trotz der bestehenden Rechtsunsicherheiten.
Weitere Neuigkeiten
28.11.2024
BGH-Urteil zu Kontrollverlust über Daten: So schützen sich Unternehmen vor Klagewellen
Am 18. November 2024 hat der Bundesgerichtshof (BGH) ein wegweisendes Urteil zu Datenschutzverstößen gefällt. Das Urteil birgt neue Risiken für Unternehmen, denn es bietet spezialisierten Klägervertretern einen mächtigen Hebel, um bei Datenschutzvorfällen Klagewellen auszulösen. Wir erklären, was das Urteil bedeutet, welche Konsequenzen es für Unternehmen hat und wie sie sich schützen können.
Weiterlesen … BGH-Urteil zu Kontrollverlust über Daten: So schützen sich Unternehmen vor Klagewellen
21.11.2024
Die 5 Gründe für IT-Penetrationstest (Pentests) in Ihrem Unternehmen
Eine der proaktivsten und effektivsten Maßnahmen, um Cyber-Gefahren vorzubeugen, ist der Einsatz von Penetrationstests. Diese Methode, auch „Pentests“ genannt, simuliert Cyberangriffe auf die Systeme eines Unternehmens, um Schwachstellen aufzudecken, bevor sie von Angreifern ausgenutzt werden können. Dieser Artikel beleuchtet, warum Penetrationstests für Organisationen unerlässlich sind, die ihre Cybersicherheitsstrategie stärken und ihre wertvollen Vermögenswerte schützen wollen.
Weiterlesen … Die 5 Gründe für IT-Penetrationstest (Pentests) in Ihrem Unternehmen
13.11.2024
IT Risikomanagement: Risiken identifizieren, bewerten und steuern
Datenverlust, Cyberangriffe oder Systemausfälle können den Geschäftsbetrieb massiv beeinträchtigen und Vertrauen zerstören. Wenn Sie als Unternehmensinhaber Verantwortung für IT-Infrastrukturen tragen, wissen Sie: Die richtige Strategie zur Absicherung Ihrer IT-Systeme ist entscheidend. Unser Beitrag führt Sie durch alle Fragen zum IT Risikomanagement und erklärt welche Rolle das für Ihre IT-Sicherheit spielt.
Weiterlesen … IT Risikomanagement: Risiken identifizieren, bewerten und steuern