EuGH: Betreiber von Webseiten mit Facebooks “Gefällt mir”-Button für Datenerhebung mitverantwortlich

Mit Urteil vom 29.7.2019 hat der Europäische Gerichtshof (EuGH) eine wegweisende Entscheidung für Betreiber von Webseiten und Apps getroffen (EuGH, 29.07.2019 – C-40/17 “Fashion ID”, Pressemitteilung). Der Betreiber einer Website, der Plugins und Drittinhalte eingebunden hat, z.B. den „Gefällt mir“-Button von Facebook, kann für die Verarbeitung der personenbezogenen Daten der Besucher seiner Website gemeinsam mit dem Drittanbieter verantwortlich sein. Zugleich hat der EuGH entschieden, dass der Einsatz des “Gefällt mir”-Buttons de facto einer Einwilligung und vollständiger Datenschutzinformationen bedarf. Dies gilt auch für andere Plugins-, Online-Marketing und Tracking-Tools. Zum anderen wurde die Frage bejaht, ob Datenschutzverstöße nach dem Gesetz gegen unlauteren Wettbewerb (UWG) durch Verbraucherschutzverbände abgemahnt werden können.

Ausgangsverfahren Fashion-ID

Ausgangspunkt ist ein Verfahren der Verbraucherzentrale NRW gegen Fashion ID, ein deutscher Online-Händler für Modeartikel. Die Verbraucherzentrale hat beanstandet, dass der Händler auf der eigenen Webseite den Facebook-Like-Button eingebunden hat, ohne dass die Benutzer der Webseite in die Datenübermittlung zu Facebook einwilligen mussten (PopUp-Fenster mit Opt-In Einwilligung) und über die weitere Verarbeitung aufgeklärt wurden (Datenschutzerklärung der Webseite).

Datenschutzrechtliche Verantwortlichkeit im Online-Bereich

Mit der vorliegenden Entscheidung führt der EuGH seine Rechtsprechung zu Facebook-Fanpages (C-210/16) fort und konkretisiert diese.  Im Facebook-Fanpage Urteil erklärte der EuGH, dass die Wirtschaftsakademie Schleswig-Holstein als Betreiberin einer Fanpage zusammen mit Facebook für die Verarbeitung der Besucherdaten verantwortlich ist. Diese uferlose gemeinsame Verantwortlichkeit beschränkt der EuGH nun mit der vorliegenden Entscheidung. Die datenschutzrechtliche Verantwortlichkeit im Online-Bereich lässt sich mit der Fashion-ID-Entscheidung wie folgt zusammenfassen:

  • Anbieter von Online-Diensten, die Dritten die Erhebung personenbezogener Daten auf ihren Webseiten oder Apps ermöglichen, sind nur für die initiale Datenerhebung (mit-)verantwortlich. Keine Mitverantwortung des Seitenbetreibers besteht, wenn er auf die tatsächliche Verarbeitung durch einen anderen Verantwortlichen keinen Einfluss hat, also die Zwecke und Mittel der Verarbeitung nicht bestimmt;
  • die initiale Datenerhebung kann auf einem berechtigten Interesse, Art. 6 Abs. 1 lit. f DSGVO, beruhen. Das berechtigte Interesse muss dann aber sowohl beim Webseitenbetreiber als auch beim Dienstanbieter vorliegen;
  • sollte die Datenerhebung nach Art und Umfang eine Einwilligung des Nutzers erfordern, wäre diese zeitlich vor der initialen Datenerhebung einzuholen. Dies kann in der Regel nur der Webseitenbetreiber leisten, der den Erstkontakt mit dem Nutzer hat;
  • aus demselben zeitlichen Grund obliegt dem Anbieter des Online-Dienstes regelmäßig auch die Information des Nutzers nach Art. 13 DSGVO, allerdings beschränkt auf das Mittel der Verarbeitung. Der Drittanbieter müsste, sofern der Betroffene identifizierbar ist, gemäß Art. 14 DSGVO informieren.

Ausufernde Verantwortung für Plugins und Drittinhalte

Auch wenn die Konkretisierung der ursprünglich Facebook-Fanpage-Entscheidung zu begrüßen ist, lässt die neue EuGH-Entscheidung mehr Fragen offen, als dass sie beantwortet. Die vorgenannten Ziele bedeuten in aller Konsequenz, dass, wenn schon die bloße Ermöglichung der Datenerhebung durch einen anderen Verantwortlichen zu einer gemeinsamen Verantwortung führt, eine solche wohl bei jeder Einbindung von Drittinhalten wie z. B. Videos, Bilder, Berichten, etc. vorliegt. Ob nun mit jedem Drittanbieter von Wetterberichten und Co. ein Vertrag zur gemeinsamen Verantwortlichkeit zu schließen ist, bedarf der Überprüfung und Klärung.

Unklar bleibt auch, ob eine technische Einbindung, bei der eine Datenübermittlung an den anderen Verantwortlichen erst erfolgt, wenn der Besucher aktiv auf das Plugin oder den Drittinhalt klickt, datenschutzrechtlich anders zu beurteilen wäre.

Abmahnfähigkeit von Datenschutzverstößen durch Verbraucherverbände

Zwar hat sich der EuGH hinsichtlich der Abmahnfähigkeit von Datenschutzverstößen durch Verbraucherverbände klar positioniert und die nationalen deutschen Regelungen für zulässig erachtet. Ob sich diese Einschätzung auch auf die heutige Rechtslage unter der DSGVO übertragen lässt ist jedoch fraglich, da sich die konkreten Regelungen inhaltlich unterscheiden und die DSGVO anders als die Richtlinie grundsätzlich vorrangiges Recht ist.

Haftungsrisiken durch Plugins und Drittinhalte

Die EuGH-Entscheidung erhöht die Haftungsrisiken von Seitenbetreibern bei der Einbindung von Plugins und Drittinhalten ganz erheblich. Derzeit sind uns keine Anbieter von externen Inhalten bekannt, die die nunmehr notwendige Vereinbarungen zur gemeinsamen Verantwortung anbieten. Ähnlich wie Facebooks- „Page Controller Addendum“, als Vertrag zur gemeinsamen Verantwortlichkeit, zu Facebook-Fanpages sind nun ähnliche Vereinbarungen für den „Gefällt mir“-Button und sonstige Dienste notwendig.

Notwendigkeit von Cookie-Banner

In der Regel wird das berechtige Interesse des Plugin- und Diensteanbieters nicht bekannt sein. Der rechtssicherste Weg wird mithin seien Plugins- und Dienste von Drittanbietern nur nach Einblendung eines Cookie-Banners mit Opt-In Option und entsprechender Bestätigung zu laden.

Praxistipp: Überprüfung der Webseite

In einem ersten Schritt sollten Seitenbetreiber daher prüfen, ob und ggf. welche externen Inhalte in der eigenen Seite integriert sind. Sofern weiter externe Inhalte wie Social-Media-Plugins, Kartendienste, Videos, Bilder, Webschriftarten, etc. in der eigenen Seite eingebunden bleiben sollen, ist empfehlenswert, diese erst nach einer aktiven Handlung der Besucher nachzuladen. Dies kann z.B. durch Einbettung von Vorschaubildern, die die aktiven Inhalte erst nach einem Klick laden oder durch Verwendung von Lösungen wie der ursprünglich vom Heise-Verlag entwickelten Open Source Lösung Embetty (früher Shariff) erfolgen. In jedem Fall sollte die Datenschutzerklärung geprüft und ggf. ergänzt werden. Je nach Art des externen Inhaltes kann auch eine Auftragsverarbeitung notwendig sein. Sprechen Sie Ihre Inhaltslieferanten auf die EuGH Entscheidung an. Wir unterstützen Sie bei Bedarf gern.