“Die Fest­stel­lung der gemein­sa­men Ver­ant­wort­lich­keit von Web­site­be­trei­ber und Face­book Ire­land hat nun vor allem für den Web­site­be­trei­ber zur Fol­ge, dass die daten­schutz­recht­li­che Umge­bung bei Ein­bin­dung eines Like-Buttons an das Urteil ange­passt wer­den muss. ” – Eileen Binder

Mit Urteil vom 29.07.2019 hat der EuGH vor­ab eine Ent­schei­dung getrof­fen, wie Fir­men­web­site­be­trei­ber zukünf­tig mit der Ein­bin­dung des Facebook-Like-Buttons umzu­ge­hen haben. Erwar­tet wur­de, dass der EuGH zwi­schen Face­book Ire­land und Web­site­be­trei­bern eine gemein­sa­me Ver­ant­wor­tung anneh­men wird.

Daten­schutz­recht­li­che Beden­ken bei der Ein­bin­dung des Facebook-Like-Buttons auf Web­sei­ten bestehen dar­in, dass per­so­nen­be­zo­ge­ne Daten der Nut­zer allein bei Betre­ten der Web­site an Face­book über­mit­telt wer­den. Das geschieht unab­hän­gig davon, ob der Nut­zer den „Gefällt mir“-Button anklickt oder ob er in die­sem Moment mit sei­nem Facebook-Konto ein­ge­loggt ist. Daten wer­den sogar dann über­mit­telt, wenn der Nut­zer nicht ein­mal ein Kon­to bei Face­book hat.

Der EuGH hat nun den all­ge­mei­nen Erwar­tun­gen ent­spro­chen und ent­schie­den, dass bei der Ein­bin­dung des Like-Buttons durch den Betrei­ber einer Web­site die­ser eben­falls als Ver­ant­wort­li­cher nach Art. 4 Nr. 7 DSGVO anzu­se­hen ist, mit­hin eine gemein­sa­me Ver­ant­wor­tung zwi­schen Face­book und dem Web­site­be­trei­ber besteht. Die­se Ver­ant­wort­lich­keit ist jedoch auf den Vor­gang oder die Vor­gän­ge der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten beschränkt, für den bzw. für die er tat­säch­lich über die Zwe­cke und Mit­tel ent­schei­det, d. h. das Erhe­ben der in Rede ste­hen­den Daten und deren Wei­ter­ga­be durch Über­mitt­lung. Die Ent­schei­dung wird damit begrün­det, dass der Web­site­be­trei­ber es Face­book ermög­licht per­so­nen­be­zo­ge­ne Daten zu erhal­ten. So wird der Social Media-Plugin in dem Wis­sen ein­ge­bun­den, dass die­ser als Werk­zeug zum Erhe­ben und zur Über­mitt­lung von per­so­nen­be­zo­ge­nen Daten der Besu­cher die­ser Sei­te dient, unab­hän­gig davon, ob es sich dabei um Mit­glie­der von Face­book han­delt oder nicht (= Mit­tel). Was die Zwe­cke die­ser Vor­gän­ge der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten betrifft, so ermög­licht es der Betrei­ber der Web­site Face­book die Wer­bung für ihre Pro­duk­te zu opti­mie­ren, indem die­se für Face­book sicht­ba­rer gemacht wer­den, wenn ein Besu­cher ihrer Web­site den But­ton anklickt. Um den dar­aus ent­ste­hen­den wirt­schaft­li­chen Vor­teil nut­zen zu kön­nen, der in einer sol­chen ver­bes­ser­ten Wer­bung für den Web­site­an­bie­ter besteht, scheint die­ser mit der Ein­bin­dung eines sol­chen But­tons in sei­ne Web­site zumin­dest still­schwei­gend in das Erhe­ben per­so­nen­be­zo­ge­ner Daten der Nut­zer der Web­site und deren Wei­ter­ga­be durch Über­mitt­lung ein­ge­wil­ligt zu haben. Dabei wer­den die­se Ver­ar­bei­tungs­vor­gän­ge im wirt­schaft­li­chen Inter­es­se sowohl vom Web­site­be­trei­ber als auch von Face­book Ire­land durch­ge­führt, für die die Tat­sa­che, über die­se Daten für ihre eige­nen wirt­schaft­li­chen Zwe­cke ver­fü­gen zu kön­nen, die Gegen­leis­tung für den dem Web­site­be­trei­ber gebo­te­nen Vor­teil dar­stellt. Ledig­lich auf die Ver­ar­bei­tun­gen, die Face­book im Anschluss mit den Daten durch­führt, habe der Web­site­be­trei­ber kei­nen Ein­fluss mehr. Ent­spre­chend kann er nicht dafür ver­ant­wort­lich gemacht werden.

Die Fest­stel­lung der gemein­sa­men Ver­ant­wort­lich­keit von Web­site­be­trei­ber und Face­book Ire­land hat nun vor allem für den Web­site­be­trei­ber zur Fol­ge, dass die daten­schutz­recht­li­che Umge­bung bei Ein­bin­dung eines Like-Buttons an das Urteil ange­passt wer­den muss. Der Nut­zer muss erst über die Daten­über­mitt­lung nach den Grund­sät­zen des Art. 13 DSGVO infor­miert wer­den, ins­be­son­de­re über die gemein­sa­me Ver­ant­wor­tung. Die Infor­ma­ti­on hat sich auf die Zwe­cke zu beschrän­ken, für die der Web­site­be­trei­ber tat­säch­lich ver­ant­wort­lich ist. Wei­ter offen ist hin­ge­gen, auf wel­che Rechts­grund­la­ge sich die Daten­über­mitt­lung stützt. Ob Web­site­be­trei­ber künf­tig eine Ein­wil­li­gung der Nut­zer ein­ho­len müs­sen oder ob sich die Daten­wei­ter­ga­be auf das berech­tig­te Inter­es­se stüt­zen lässt, wur­de dem EuGH nicht zur Vor­ab­ent­schei­dung vorgelegt.

Die Vor­ab­ent­schei­dung geht nun an das vor­le­gen­de Gericht OLG Düs­sel­dorf zur end­gül­ti­gen Ent­schei­dung zurück. Das OLG Düs­sel­dorf hat das Ver­fah­ren aus­ge­setzt, dem ein Rechts­streit zwi­schen der Ver­brau­cher­schutz­zen­tra­le NRW und Fashion ID, einer Mar­ke von Peek & Clop­pen­burg,  zugrun­de liegt. Fashion ID hat­te auf ihrer Web­site den Like-Button inte­griert und damit Face­book  per­so­nen­be­zo­ge­ne Daten ohne Ein­wil­li­gung des jewei­li­gen Nut­zers übermittelt.

Fazit

Soll­ten Web­site­be­trei­ber einen Facebook-Like-Button auf ihrer Web­site ein­ge­bun­den haben, so emp­fiehlt sich bis zur end­gül­ti­gen Ent­schei­dung durch das OLG fol­gen­des Vorgehen:

• Der But­ton über­trägt kei­ne Daten an Face­book, wenn der Besu­cher die Web­site betritt
• Der Besu­cher muss in die Daten­über­tra­gung ein­wil­li­gen. Zur Umset­zung bie­tet sich die Shariff-Methode an. Erst mit Klick auf den But­ton beginnt die Daten­über­mitt­lung an Facebook.
• Die Daten­schutz­er­klä­rung muss ange­passt wer­den und über die Zwe­cke sowie die gemein­sa­me Ver­ant­wor­tung informieren.

Ande­re Social Media Plugin- und Werbecookie-Anbieter sind von der Vor­ab­ent­schei­dung des EuGHs aus­ge­nom­men. Es ist jedoch zu erwar­ten, dass auch hier in Zukunft eine gemein­sa­me Ver­ant­wort­lich­keit zwi­schen Fir­men­web­site­be­trei­ber und dem jewei­li­gen Social Media Plugin-Betreiber/Werbecookie-Anbieter anzu­neh­men ist.

__________________________________________________________________________________________

10. Janu­ar 2019

Noch mehr gemein­sa­me Ver­ant­wor­tung? – Der Facebook-„Gefällt mir“-Button

Nach­dem der EuGH in sei­nem Urteil vom  05.06.2018 (Az. C‑210/16) bereits fest­ge­stellt hat, dass eine gemein­sa­me Ver­ant­wort­lich­keit nach Art. 26 DSGVO zwi­schen Facebook-Fanpage-Betreibern und Face­book vor­liegt, berät sich der Gerichts­hof gera­de erneut zu der Fra­ge um eine gemein­sa­me Ver­ant­wort­lich­keit im Online-Bereich. In der Rechts­sa­che (Az. C‑40/17) geht es dar­um, ob Web­site­be­trei­ber durch Ein­bin­dung eines von einem Drit­ten ange­bo­te­nen Plug­ins, wie z.B. dem Facebook-„Gefällt mir“-Button oder Drittanbieter-Cookies, gemein­sam mit dem jewei­li­gen Dritt­an­bie­ter (in die­sem Fall Face­book Ire­land) ver­ant­wort­lich für die Daten­ver­ar­bei­tung sind. 

Unter dem Gesichts­punkt, dass bereits im Facebook-Fanpage-Fall eine gemein­sa­me Ver­ant­wort­lich­keit bejaht wur­de und auch der Gene­ral­an­walt des EuGH die Fra­ge in sei­nen Schluss­an­trä­gen bejaht hat, scheint es wahr­schein­lich, dass der EuGH der Auf­fas­sung fol­gen wird. Ein posi­ti­ves Urteil hät­te zur Fol­ge, dass der Betrei­ber der Web­sei­te künf­tig die Auf­ga­be hät­te, den Nut­zern hin­sicht­lich die­ser Daten­ver­ar­bei­tungs­vor­gän­ge die Infor­ma­tio­nen zur Ver­fü­gung stel­len, die sie zumin­dest erhal­ten müs­sen, und, wo dies erfor­der­lich ist, ihre Ein­wil­li­gung ein­ho­len, bevor Daten erho­ben und über­mit­telt werden.

Das Urteil könn­te rich­tungs­wei­send sein und ent­schei­den­de Wei­chen im Online-Bereich neu stel­len. Es liegt nahe, dass sich die höchst­rich­ter­li­che Ent­schei­dung auch auf Plug­ins und Coo­kies ande­rer Anbie­ter aus­wir­ken wird.

Die Rich­ter am EuGH sind der­zeit in der Bera­tung. Das Urteil selbst wird noch eini­ge Zeit auf sich war­ten las­sen. Selbst­ver­ständ­lich wer­den wir wei­te­re Infor­ma­tio­nen bereit­stel­len, sobald das Urteil gefal­len ist.