EuGH zur gemeinsamen Verantwortlichkeit bei Social Media-Plugins und Inhalten Dritter
In seinem Urteil vom 29.7.19 entschied der EuGH, dass Websitebetreiber, die ein Plugin, wie den Facebook Like-Button, auf ihre Website einbinden, gemeinsam mit den Anbietern der Plugins verantwortlich für die Datenverarbeitung sein können. Daher treffen den Websitebetreiber für mitverantwortliche Vorgänge entsprechende zusätzliche Verpflichtungen (Rs. C-40/17). Gleichzeitig schränkte der EuGH (wohl) seine bisherige Rechtsprechung zur gemeinsamen Verantwortlichkeit ein und erleichtert Verantwortlichen den organisatorischen Umgang. Zudem bestätigte der EuGH, dass Verbraucherschutzverbände schon vor Geltung der DSGVO – und jetzt erst Recht – Verstöße gegen Datenschutzrecht abmahnen durften. Nachfolgend stellen wir das Urteil und seine Folgen für Website-Betreiber dar.
Der Sachverhalt
Ausgangspunkt ist der Rechtsstreit zwischen der Fashion ID GmbH & Co. KG, einem Onlinehändler für Kleidung, und der Verbraucherschutzzentrale NRW, in welchem das OLG Düsseldorf dem EuGH die Frage, noch auf Basis der vor der DSGVO geltenden Richtlinie 95/46/EG (sog. Datenschutz-Richtlinie) zur Vorabentscheidung vorlegte. Die Verbraucherschutzzentrale beanstandete, dass der Onlinehändler den Facebook „Like-Button“ auf seiner Website eingebunden hatte, wodurch Daten erhoben und an Facebook übermittelt wurden, ohne dass die Nutzer zuvor eingewilligt hatten oder informiert wurden. Die Erhebung und Übermittlung der beim Besuch der Website anfallenden Daten geschah unabhängig davon, ob der Button angeklickt wurde oder ein Nutzeraccount bei Facebook bestand.
Gemeinsame Verantwortlichkeit des Websitebetreibers und Plugin-Anbieters
Der EuGH entschied nun, dass Websitebetreiber, die Plugins einbinden und deren Anbieter gemeinsame Verantwortliche im Sinne der Datenschutz-Richtlinie sind. Der Websitebetreiber könne jedoch nur für Verarbeitungsvorgänge verantwortlich gemacht werden, für die er tatsächlich die Zwecke und Mittel festlegen kann. Somit beschränkt sich die Verantwortlichkeit auf die Datenerhebung und die Datenübermittlung an den Plugin-Anbieter. Die Verantwortung nach Übermittlung der Daten trifft allein den Plugin-Anbieter.
Folgen für Website-Betreiber: Absicherung über 2-Klick-Lösung und Informationserteilung
Was bedeutet dies nun konkret für Website-Betreiber, die Social Plugins einsetzen? Der EuGH lässt es offen, ob eine Einwilligung der Nutzer erforderlich ist oder eine Interessenabwägung ausreichend sein kann (das OLG Düsseldorf muss dies nach näherer Ermittlung des Sachverhalts entscheiden). Daher stellt sich die Frage, wie das Urteil in der Praxis berücksichtigt werden muss:
Eine Datenverarbeitung auf Basis der Interessenabwägung wird nicht möglich sein in Fällen, in denen dem Website-Besucher nicht bekannt ist, dass seine Daten an die Social Media-Anbieter übertragen werden. Der Einbau von Plugins auf einer Website, die die Daten aller Besucher an die Betreiber der Plugins weiterleitet, kann nicht pauschal gerechtfertigt sein, insbesondere wenn die nähere Verarbeitung nicht bekannt ist. Daher wird es grundsätzlich erforderlich sein, eine bestätigende Handlung von den Besuchern einzuholen, also eine aktive Bestätigung der Websitenutzer.
Websitebetreiber sollten also selbst eine Bestätigung in die Datenübertragung an den Social-Media-Anbieter einholen. Dafür empfehlen sich zwei Varianten:
- Eine Einwilligung kann durch Einsatz der 2-Klick-Lösung eingeholt werden, durch welche erst Daten erhoben werden, sobald der Nutzer das Plugin anklickt. Die Lösung ist bekannt und bewährt (siehe die Entwicklungen von Heise) und wird bereits vielfach eingesetzt. So wird bereits eine weite Absicherung erreicht. Aufgrund des neuen Urteils zum Like Button empfiehlt sich die Ergänzung, dass dem Nutzer vor dem Klick auf den Button verdeutlich wird, in welche Datenverarbeitung er einwilligt. Diese Transparenz kann über ein zusätzliches Kästchen mit Informationen oder eine vorgeschaltete Bestätigungsseite erreicht werden.
- Eine andere Möglichkeit dürfte es sein, die Einwilligung bei Beginn des Website-Besuchs über ein Cookie-Banner einzuholen. Der Cookie-Banner muss sowieso auf der Website enthalten sein, so dass eine Ergänzung in Bezug auf die Social Media-Plug-ins durchgeführt werden könnte. Voraussetzung wäre aber eine transparente Darstellung der Plug-ins und Datenverarbeitung, zudem getrennt von den sonstigen Cookie-Arten.
Gleiches gilt für die Informationspflicht des Websitebetreibers. Die Nutzer müssen alle Informationen aus Art. 13 DSGVO erhalten. Dazu zählen unter anderem die Identität des Verantwortlichen und die Zweckbestimmung der Verarbeitung. Diese sind in der Datenschutzerklärung der Website darzustellen. Zudem sollte neben den Like Buttons eine Information zu den Folgen des Klicks erfolgen.
Auswirkungen
Die Entscheidung des EuGH hat – obwohl sie noch zur Datenschutz-Richtlinie ergangen ist – große Bedeutung für die aktuelle Rechtslage, da die Regelungen der (gemeinsamen) Verantwortlichkeit in der DSGVO grundsätzlich vergleichbar bewertet werden können. Die Entscheidung des EuGH findet Anwendung auf sämtliche Einbindungen von Drittanbietern, wie beispielsweise Videos und Karten. Die Vorgaben beschränken sich nicht lediglich auf Websites, sondern gelten genauso auch z.B. für Apps.
Für Websitebetreiber empfiehlt es sich zu prüfen, inwieweit Inhalte von Drittanbietern auf der eigenen Website zu finden sind. Bei Einbindung solcher Plug-ins sollten diese nur durch aktives Tun des Nutzers geladen bzw. aktiviert werden. Dafür empfiehlt sich die 2-Klick-Lösung oder das Abfragen der Einwilligung mit Aufrufen der Website bevor Daten erhoben oder übermittelt werden.
Die Auslegung der gemeinsamen Verantwortlichkeit durch den EuGH macht außerdem in Zukunft entsprechende Vereinbarungen zur Erfüllung der Anforderungen erforderlich, die an sich die Anbieter der Social Media-Tools bereitstellen müssen. Websitebetreiber müssen ihre Nutzer dann über die wesentlichen Bestandteile der Vereinbarung informieren, was in der angepassten Datenschutzerklärung erfolgen kann.