Am 29.07.2019 hat der Europäische Gerichtshof (EuGH) entschieden, dass ein Websitebetreiber, der einen sog. Like-Button von Facebook einbindet, für die damit verbundene Verarbeitung personenbezogener Daten teilweise gemeinsam zusammen mit Facebook verantwortlich ist. Dieses Urteil (C-40/17, „Fashion ID“) hat Konsequenzen für viele Websitebetreiber. In diesem Beitrag wollen wir klären, was im Urteil entschieden wurde, welche Folgen es hat, welche Plugins und Tools es betrifft und was Websitebetreiber jetzt tun müssen.

Was hat der EuGH zur Verantwortlichkeit entschieden?

Mit dem Like-Button werden Kommunikationsdaten (wie IP-Adressen und Cookie-Kennungen) sofort beim Besuch der Website an Facebook übermittelt. Nun hat der EuGH entschieden, dass die Betreiber von Websites, die den Like-Button durch Facebooks Plugin einbinden, für die Erhebung und Übermittlung der personenbezogenen Daten der Besucher mitverantwortlich sind.

Denn der Websitebetreiber ermöglicht durch die Einbindung des Like-Buttons die Datenübertragung an Facebook und verfolgt damit wirtschaftliche Interessen, insbesondere Marketing und Werbung. Für diesen Teil der Datenverarbeitung haftet der Website-Betreiber gemeinsam mit Facebook. Allerdings ist er nicht verantwortlich für das, was Facebook anschließend mit den Daten macht.

Ist eine Einwilligung jetzt zwingend erforderlich?

Nein, entgegen einer teilweise verbreiteten Interpretation des Urteils urteilte der EuGH nicht, dass eine Einwilligung für den Like-Button zwingend erforderlich ist. Darüber hat nun das Oberlandesgericht (OLG) Düsseldorf im Ausgangsverfahren zu entscheiden.

Hinsichtlich der Rechtsgrundlage für die Datenverarbeitung entschied der EuGH jedoch, dass

  • falls eine Einwilligung erforderlich sein sollte, diese (auch) gegenüber dem Website-Betreiber erklärt werden müsse,
  • falls die Verarbeitung auf berechtigte Interessen des Websitebetreibers gestützt werden soll, sowohl auf die Interessen des Websitebetreibers als auch auf die von Facebook abgestellt werden müsse.

Welche direkten Folgen ergeben sich aus dem Urteil?

Weil der Websitebetreiber für die Datenverarbeitung durch die Einbindung des Like-Buttons mitverantwortlich ist (Joint Controllership), muss er nach Art. 26 DSGVO mit Facebook in einer Vereinbarung die Verteilung der datenschutzrechtlichen Pflichten festlegen. Man kann davon ausgehen, dass entsprechende Vereinbarungen bald von den Anbietern der sozialen Netzwerke wie Facebook zur Verfügung gestellt werden.

Außerdem muss der Betreiber über die Erhebung und Übermittlung der Daten an Facebook durch das Plugin in seiner Datenschutzerklärung informieren und im Übrigen auf die Datenschutzerklärung von Facebook verweisen. In der Vereinbarung nach Art. 26 DSGVO könnte jedoch auch festgelegt werden, dass Facebook über die Datenverarbeitung informiert und der Websitebetreiber darauf verweist.

Gilt das Urteil nur für den Facebook Like-Button?

Der EuGH entschied in dem konkreten Fall über den Like-Button von Facebook. Die Argumentation des Gerichts kann auch auf andere Plugins und Tools bzw. Drittinhalte übertragen werden, die der Betreiber einer Website oder App einbindet. Diese müssen

  • von Dritten angeboten werden und
  • auf personenbezogene Besucherdaten zugreifen, sie speichern und/oder übermitteln.

Der Betreiber der Website/App muss

  • gemeinsame Interessen/Zwecke mit dem Anbieter des Plugins/Tools verfolgen und
  • den Zugriff, das Speichern und/oder die Übermittlung der Daten durch Einbindung des Plugins/Tools ermöglichen.

Es ist also in einem ersten Schritt zu prüfen, welche Plugins und Tools in Ihren Websites und Apps genutzt und eingebunden werden. Wenn die oben genannten Voraussetzungen vorliegen, liegt ein Fall der gemeinsamen Verantwortlichkeit vor. Große Anbieter werden den in diesen Fällen nach Art. 26 DSGVO erforderlichen Vertrag wahrscheinlich zum Bestandteil ihrer AGB machen, sodass kein separater Vertrag geschlossen werden muss. Jedenfalls sollten Sie die Rechtsprechung zu vergleichbaren Fällen und die Meinung der Aufsichtsbehörden genau verfolgen.

Nicht betroffen sind Plugins und Tools, die auf dem eigenen Server betrieben werden und deren Daten man selbst verarbeitet. So funktioniert beispielsweise das Analysetool Matomo (ehemals Piwik). Darüber hinaus liegt keine gemeinsame Verantwortlichkeit, sondern eine Auftragsverarbeitung vor, wenn der Dritte einem Daten-Nutzungsverbot unterliegt und weisungsgebunden ist.

Was jetzt zu tun ist: Welche Maßnahmen muss ich treffen?

  1. Prüfen Sie, welche Plugins und Tools Sie auf Ihrer Website nutzen. Achten Sie dabei explizit auf Social-Media-Plugins, die Sie auf Ihrer Website oder App einbinden und die personenbezogene Daten verarbeiten.
  2. Informieren Sie sich bei den Anbietern der Social-Media-Plugins ob diese künftig Ihnen eine Vereinbarung nach Art. 26 DSGVO zur Verfügung stellen werden.
  3. Stellen Sie Informationen über die Datenverarbeitung bei diesen Social-Media-Plugins in Ihrer Datenschutzerklärung bereit und informieren Sie dabei über die Phasen der Datenverarbeitung in gemeinsamer Verantwortlichkeit (Erhebung und Übermittlung).
  4. Prüfen Sie, ob Sie ein berechtigtes Interesse an der Einbindung der Social-Media-Plugins haben, die Datenverarbeitung erforderlich ist und die schutzwürdigen Interessen der Besucher an der Nichtübermittlung ihrer Daten nicht überwiegen. Wenn Sie sicher gehen wollen, greifen Sie auf die sog. 2-Klick-Lösung mit Einwilligung oder datenschutzfreundliche Alternativen wie die entwickelte Open-Source-Lösung „Embetty/Shariff“ zurück, die keine personenbezogenen Daten beim Seitenaufruf übertragen.
  5. Hinterfragen Sie Ihre Nutzung von Plugins und sonstiger Tools, die personenbezogene Daten an Dritte übermitteln und/oder Drittanbieter-Cookies anlegen. Sind diese Tools erforderlich? Informieren Sie in Ihrer Datenschutzerklärung über die Nutzung der Tools? Können Sie die Tools durch datenschutzfreundlichere Alternativen ersetzen?
  6. Behalten Sie im Hinterkopf, dass die rechtliche Bewertung des EuGH auch auf andere Plugins und Tools übertragen werden könnte. Beachten Sie aber auch, dass die Aufsichtsbehörden bisher noch keine Stellungnahme abgegeben haben und das OLG Düsseldorf erst einmal im Ausgangsverfahren über die Nutzung des Like-Buttons entscheiden muss.

Ausblick für die Zukunft: Wie geht es weiter?

Aktuell herrscht in Deutschland die besondere Situation, dass nicht alle Vorgaben aus der sog. ePrivacy-Richtlinie ins deutsche Recht übernommen wurden. Deswegen gilt nach wie vor:

  • Ein genereller Einwilligungszwang für Cookies und vergleichbare Technologien besteht nicht.
  • Die sog. ePrivacy-Richtlinie, insbesondere Art. 5 Abs. 3, ist nicht unmittelbar anwendbar.

Das Urteil des EuGH kann ändert diese Grundsätze nicht. Solange nicht der Gesetzgeber oder ein deutsches Gericht verbindliche Aussagen zur Rechtsgrundlage bei der Nutzung von Cookies (mit personenbezogenen Daten) macht, richtet sich die Rechtmäßigkeit ihrer Verarbeitung nach Art. 6 Abs. 1 DSGVO. Danach kann die Verarbeitung neben den Rechtsgrundlagen „Einwilligung“ und „Vertragsdurchführung“ auch auf „berechtigte Interessen“ gestützt werden, solange die Datenverarbeitung erforderlich ist und die Interessen der betroffenen Personen nicht überwiegen. Die zuvor genannte Position wird auch von den deutschen Aufsichtsbehörden vertreten, vgl. Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien, Stand: März 2019, S. 7.

Bei der Interessenabwägung kommt insbesondere auch zum Tragen, welche Maßnahmen man zugunsten des Nutzers ergreift, etwa die

  • einfache Bereitstellung eines Opt-Out vom Tracking,
  • Einflussnahme auf die vernünftigen Erwartungen der betroffenen Personen,
  • Reduzierung der Speicherdauer der Daten,
  • Reduzierung des Datenumfangs und
  • Pseudonymisierung.

Gleichwohl machen die deutschen Aufsichtsbehörden in der erwähnten Stellungnahme für Anbieter von Telemedien auch deutlich, dass sie bei besonders weitreichenden Datenverarbeitungsvorgängen, insbesondere bei Cookies für Tracking wie bei Facebook Pixel, eine Einwilligung für erforderlich halten.

Insgesamt gibt es weiterhin keine gesetzliche oder höchstrichterliche einheitliche Linie. Gesetzlich wird diese Problematik zu Cookies erst die sog. ePrivacy-Verordnung regeln. Diese wird anders als ihr Vorgänger, die bereits erwähnte ePrivacy-Richtlinie, unmittelbar in Deutschland gelten. Bis dahin könnten jedoch noch Entscheidungen deutscher Gerichte Fälle in diesem Bereich konkretisieren und regeln.

Unsere erfahrenen Datenschutz-Experten beraten Sie gerne in Hinblick auf alle Neuigkeiten im Datenschutzrecht! Dies gilt insbesondere auch in Bezug auf die datenschutzkonforme Gestaltung von Websites trotz der bestehenden Rechtsunsicherheiten.