Am 29. Juli 2019 hat der EuGH im Rechtsstreit zwischen der Fashion ID GmbH & Co. KG (EuGH C-40/17) und der Verbraucherzentrale Nordrhein-Westfalen entschieden: Wer für eine Website Social Plug-Ins von Facebook nutzt, ist gemeinsam mit Facebook für die Datenverarbeitung verantwortlich. Ob eine vorherige, ausdrückliche Einwilligung erforderlich ist, ist nach wie vor offen.
Worum geht es in der Entscheidung?
Fashion ID, ein Online-Händler für Modeartikel, band in seine Website das Social Plug-In „Gefällt mir“ ein („Like Button“). Mit jedem Aufruf der Website wurden personenbezogene Daten jedes Nutzers der Website an Facebook in Irland übermittelt, ohne dass die Nutzer einwilligten, hierüber den gesetzlichen Vorgaben entsprechend informiert wurden und unabhängig davon, ob die Nutzer einen Account bei Facebook hatten oder nicht. Die Verbraucherzentrale Nordrhein-Westfalen nahm Fashion ID deshalb vor dem LG Düsseldorf auf Unterlassung in Anspruch und gewann teilweise (Urteil vom 9.3.2016 – 12 O 151/15). Hiergegen ging Fashion ID vor dem OLG Düsseldorf in Berufung, welches den EuGH um Klärung verschiedener Rechtsfragen bat (Beschluss vom 19.1.2017 – I-20 U 40/16).
Was hat der EuGH entschieden?
Der EuGH hat mit seinem Urteil über gleich mehrere entscheidende Aspekte entschieden:
- Webseitenbetreiber, die den Facebook Like-Button einbinden, sind gemeinsam mit Facebook „gemeinsam Verantwortliche“ (Joint Controller).
- Eine „gemeinsame Verantwortlichkeit“ (Joint Control) erstreckt sich immer nur auf die „Phasen“ der Verarbeitung, die auch wirklich unter gemeinsamer Kontrolle stehen. Im konkreten Fall war dies die Phase der Datenerhebung auf der Webseite. Für die (Weiter-) Verarbeitung der Daten durch Facebook ist der Webseitenbetreiber dann aber nicht mehr (Mit-)Verantwortlicher. Dies ist positiv zu bewerten, da gerade auf Unternehmen wie Facebook & Co. eine Einflussnahme auf weitere Verarbeitungsprozesse praktisch unmöglich ist.
- In den Phasen, in denen eine „gemeinsame Verantwortlichkeit“ vorliegt, muss jeder Verantwortliche sicherstellen, dass er die Anforderungen der DSGVO erfüllt. Auch der Webseitenbetreiber muss also sicherstellen, dass (1.) eine wirksame Rechtsgrundlage für die Datenerhebung vorliegt, und (2.) die Betroffenen der Datenverarbeitung ausreichend informiert werden.
- Der EuGH deutet an, dass als Rechtsgrundlage der Datenerhebung nur die Einwilligung in Frage komme, weil insofern Art. 5 Abs. 3 der ePrivacy-Richtlinie einschlägig sei. Die Frage wurde an das vorlegende Gericht zurückverwiesen. Das OLG Düsseldorf hat dies nun zu prüfen
Was bedeutet das für die Praxis?
Das Urteil bezieht sich konkret auf den Like-Button von Facebook und dessen Einbindung in Websites. Es gilt damit primär für dessen Nutzung, aber eben nicht nur: Die gerichtlichen Vorgaben greifen vielmehr für alle Plug-Ins und Tools, bei denen die Voraussetzungen aus dem Urteil vorliegen. Sie sind auch nicht auf Websites beschränkt, sondern auf alle Telemedien anwendbar, insbesondere auf Apps.
Was sind die Voraussetzungen?
- Das Plug-In/Tool wird von einem Dritten angeboten.
- Das Plug-In/Tool wird vom Anbieter in seine Website oder App eingebunden, um wie vom Plug-In/Tool vorgesehen Informationen von den Nutzern der Website/App zu erlangen und diese Informationen an den Anbieter des Plug-Ins/Tools zu übermitteln.
- Das Plug-In/Tool speichert Informationen, insb. personenbezogene Daten, auf dem Endgerät des Nutzers der Website oder App, z.B. auf einem Smartphone, Tablet oder Notebook. Meist werden die Informationen in Cookies gespeichert. Alternativ reicht es aus, wenn das Plug-In/Tool zwar keine Informationen auf dem Endgerät speichert, aber auf bereits auf dem Endgerät gespeicherte Informationen zugreift, z.B. auf Fremd-Cookies oder Angaben zum Endgerät, z.B. eine Device-ID.
- Der Anbieter des Plug-Ins/Tools und der Betreiber der Website/App verfolgen mit dem Anbieten/Einbinden des Plug-Ins/Tools gleichartige, in der Regel kommerzielle oder werbliche Zwecke und fördern wechselseitig deren Erreichung. Eine völlige Übereinstimmung oder Identität der Zwecke ist nicht erforderlich.
Hiervon erfasst werden damit neben dem Like-Button von Facebook nahezu alle Plug-Ins der sozialen Netzwerke, z.B. Facebook Pixel, LinkedIn Insight-Tag, Analyse-Tools wie Google Analytics und viele mehr. Ebenso darunter fallen wohl Tools, die etwa zur Ermöglichung von Push-Funktionalitäten Geräte-Kennziffern (Device-IDs) oder andere Informationen von Endgeräten auslesen.
Aus dem Anwendungsbereich fallen nur solche Plug-Ins/Tools heraus, bei denen eine der obigen Voraussetzungen nicht gegeben ist. Werden Plug-Ins/Tools z.B. auf einem eigenen Server ohne Zugriffsrechte für den Plug-In-/Tool-Anbieter betrieben (z.B. das Analyse-Tool Matomo), entfällt zwar die gemeinsame Verantwortlichkeit. Ob eine Einwilligung des Nutzers erforderlich ist, ist im Einzelfall zu prüfen.
Sie sollten aktiv werden!
Da die Entscheidung weit über den Facebook Like-Button hinaus Wirkung entfaltet, sollten nicht nur Nutzer des Like-Buttons aktiv werden.
Treffen nachfolgende Aussagen auf Ihre Website/App zu, sind konkrete Maßnahmen zu veranlassen:
Für jedes Plug-In/Tool, für das die vorstehenden Fragen alle mit „ja“ beantwortet werden, sind folgende Punkte zu beachten:
Fazit:
Das aktuelle Urteil zeigt erneut: die Anforderungen an Website-/App-Betreiber steigen. Setzen Sie ein Plug-In/Tool ein, ohne die sich aus dem Datenschutzrecht ergebenden Anforderungen berücksichtigt zu haben, drohen Ihnen Maßnahmen der Aufsichtsbehörden. Diese reichen von der Untersagung der Nutzung bis zur Geldbuße. Es gilt mehr denn je, praxisorientierte Lösungen zu finden, die eine rechtskonforme Nutzung moderner Web-Technologien erlauben.
Autor: Yvonne Quad
Sie benötigen Unterstützung bei der Prüfung, ob und inwieweit Sie etwas tun müssen? Sie möchten auf neue Web-Technologien nicht verzichten? Wir unterstützen Sie gern.