Und wieder gemeinsam Verantwortliche: Déjà-Vu mit Facebook

Websitebetreiber sind datenschutzrechtlich (mit-)verantwortlich für die Datenerhebung beim Einsatz des "Gefällt mir"-Buttons. Das entschied der EuGH im mit Spannung erwarteten „FashionID“-Urteil (C-40/17) – und folgte damit im Wesentlichen den Schlussanträgen des Generalanwalts am EuGH.

Der Online-Shop „FashionID“ der Düsseldorfer Modekette Peek & Cloppenburg hatte den Facebook-Like-Button bis Ende Mai 2015 auf seiner Website eingebunden. Die Verbraucherzentrale NRW hielt die dadurch verursachte automatische Weitergabe von Besucherdaten an Facebook für rechtswidrig – und klagte auf Unterlassung.

Das nach der Berufung zuständige Oberlandesgericht Düsseldorf legte dem EuGH daraufhin sechs grundsätzliche Fragen vor – und bekam nun die Antworten, die im Wesentlichen nicht überraschen.

Hintergrund

Problematisch aus Sicht der klagenden Verbraucherschützer war, dass Daten der Besucher der Website anscheinend automatisch an Facebook gesendet wurden, wenn ein Facebook-Plugin direkt auf der Seite eingebunden war. Dazu gehörten die IP-Adresse des Nutzers, die Webbrowser-Kennung sowie Datum und Zeit des Aufrufs. Besonders pikant sei, so die Verbraucherzentrale, dass die Übermittlung dieser Daten auch dann erfolge, wenn der „Gefällt mir“-Button gar nicht angeklickt werde. Der Online-Händler selbst konnte sich dazu nicht äußern – ihm fehlte schlicht das Wissen und die Kontrolle über die Datenverarbeitung bei Facebook.

Das Vorabentscheidungsersuchen des Düsseldorfer OLG betraf noch die Auslegung der “alten” Datenschutz-Richtlinie von 1995. Das nun ergangene Urteil hat aber trotzdem erhebliche Auswirkungen auf die Auslegung der DSGVO-Regelungen: Der Begriff des datenschutzrechtlich „Verantwortlichen“ ist nach alter und neuer Richtlinie fast identisch, sodass sich das Urteil übertragen lässt.

Keine Überraschung: Gemeinsam Verantwortliche

Die Entscheidung war abzusehen: Bereits mit seinem Facebook Fanpage-Urteil hatte der EuGH deutlich gemacht, dass Website-Betreiber datenschutzrechtlich in die Verantwortung genommen werden. Auch der zuständige Generalanwalt am Europäischen Gerichtshof Michael Bobek hatte in seinen Schlussanträgen für eine Mitverantwortung der Website-Betreiber plädiert. Der Richterspruch folgte nun im Wesentlichen seinen Anträgen. Mit der Einbindung eines solchen Social Plugins in ihre Website habe FashionID „entscheidend das Erheben und die Übermittlung von personenbezogenen Daten der Besucher dieser Seite zugunsten des Anbieters dieses Plugins, im vorliegenden Fall Facebook Ireland, beeinflusst, die ohne Einbindung dieses Plugins nicht erfolgen würden“, so die Richter (Randnummer 78 des Urteils).

Dem stehe auch nicht entgegen, dass der Betreiber einer Website zu den übermittelten Daten selbst keinen Zugang habe, was bereits aus dem Fanpage-Urteil hervorgehe. Von der Entscheidung dürften auch Plugins anderer Anbieter betroffen sein.

Dabei gehe es jedoch nur um die Erhebung beim Website-Anbieter und die Übermittlung der Daten – für die anschließende Verarbeitung der Informationen sei Facebook allein zuständig.

Jetzt nur noch mit Einwilligung?

Ein generelles Einwilligungserfordernis lässt sich der Entscheidung nicht entnehmen.

Der EuGH stellte lediglich klar, dass für den Fall, in dem die betroffene Person ihre Einwilligung gegeben habe, die Einwilligung auch nur die Vorgänge des Erhebens und der Übermittlung umfassen müsse – denn nur dafür sei der Website-Betreiber (mit-)verantwortlich. Einwilligungen müssten dagegen nicht solche Vorgänge der Datenverarbeitung umfassen, die „vor- oder nachgelagerte Phasen“ beträfen. Da Einwilligungen vor Erhebung der Daten eingeholt werden müssten, obliege diese Verpflichtung dem Betreiber der Website und nicht dem Anbieter des Social Plugins, so der EuGH weiter, „wobei dieser die betroffene Person jedoch nur in Bezug auf den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten informieren muss, für den bzw. für die dieser Betreiber tatsächlich über die Zwecke und Mittel entscheidet.“ Wie Facebook diese Daten verarbeitet, kann nur und muss von Facebook beantwortet werden – das gilt auch hinsichtlich sonstiger Informationspflichten.

Möglich sei aber auch – und deshalb lässt sich dem Urteil auch kein zwingendes Einwilligungserfordernis entnehmen – die Datenverarbeitung durch berechtigte Interessen zu rechtfertigen. In diesen Fällen, in denen die Einbindung des Plugins und die damit verbundene Datenverarbeitung zur Wahrung eines berechtigten Interesses erforderlich sei, stellte der EuGH klar, dass jeder für die Verarbeitung (Mit-)Verantwortliche ein berechtigtes Interesse verfolgen müsse – also sowohl der Website-Betreiber, als auch der Anbieter des Social Plugins. Nur dann seien diese Vorgänge für jeden Einzelnen auch gerechtfertigt.

Und jetzt?

Das Urteil hat große Auswirkungen auf die Einbindungen von Drittinhalten auf Websites, ohne die heute fast keine Website mehr auskommt. Durch die Festlegung der gemeinsamen Verantwortlichkeit steigen für Website-Betreiber die Haftungsrisiken erheblich.

Das wird – zurecht – kritisch gesehen. Schon jetzt sind die meisten Websites mit Informationen zu Cookies, Datenschutzerklärungen und AGB überfrachtet. Ob weitere Informationspflichten tatsächlich mehr Transparenz schaffen, darf bezweifelt werden, da wohl die meisten Nutzer solche Hinweise nur noch pro forma zur Kenntnis nehmen.

Mit der sog. Zwei-Klick-Lösung gibt es zwar jetzt schon eine Möglichkeit, den Datentransfer durch Plugins insoweit zu begrenzen, als dass der Nutzer diese Funktion explizit aktivieren muss. Noch einfacher arbeitet die Shariff-Lösung. Von einigen Datenschützern wurde diese Möglichkeit bislang jedoch mit dem Argument kritisiert, dass Betreiber der Websites regelmäßig nicht in der Lage sein würden, die für eine informierte Zustimmung der Nutzer notwendige Transparenz zu schaffen. Denn eine wirksame Einwilligung setzt voraus, dass Nutzende wissen, worin sie einwilligen.

Daran hat sich jedoch auch durch das jetzige Urteil nicht viel geändert. Noch immer werden Website-Betreiber keinen Einfluss, geschweige denn Kontrolle über die Datenverarbeitung bei den von ihnen eingebundenen Sozialen Netzwerken haben. Der EuGH hat aber jetzt zumindest klargestellt, dass das auch nicht erwartet werden kann.

Problematisch ist jedoch die Situation für solche Plugins, für die solche Lösungen nicht kompatibel sind. Hier werden Website-Betreiber eine gemeinsame Verantwortlichkeit in Zukunft nicht umgehen können – und müssen nun mit Facebook und anderen Social-Media-Anbietern Vereinbarungen abschließen.

Eine tatsächliche Anhebung des Datenschutzniveaus schafft das Urteil jedenfalls nicht. Nach wie vor werden Website-Betreiber aus wirtschaftlichen Gründen auf eine Einbindung durch Plugins nicht verzichten. Und Facebook und Co. werden sich auch weiterhin nicht in die Karten schauen lassen.

To-Do

Bereits im Januar diesen Jahres haben wir Handlungsempfehlungen (Kollmar, „Nun sag schon EuGH, wie hast Du’s mit der gemeinsamen Verantwortlichkeit?“) für Website-Betreiber veröffentlicht, die auch weiterhin Bestand haben.  

Website-Betreiber sind weiterhin gut beraten,

  • Drittinhalte datenschutzfreundlich einzubinden (über die Zwei-Klick-Lösung oder die Shariff-Lösung) und
  • ihre Nutzer über sämtliche, in ihren Websites eingebundene Drittinhalte und die damit verbundene Datenverarbeitung im Rahmen ihrer Datenschutzerklärung zu informieren.
  • Auch der Abschluss von Joint-Controllership-Agreements (Art. 26 DSGVO) wird nun zumindest beim Gebrauch von Facebook-Plugins erforderlich werden.

Letzteres ist allerdings – wie schon nach dem Fanpage-Urteil – mit gewisser Gelassenheit zu sehen. Zwar ist das Fehlen eines Vertrages über die gemeinsame Verantwortlichkeit nach Art. 26 DDSGVO („Joint Controllership Agreement) gem. Art. 83 Abs. 4 lit. a DSGVO grundsätzlich bußgeldbewehrt und die Einbindung von Drittinhalten bleibt damit nicht risikofrei. Allerdings kann ein solches Agreement nur von Facebook selbst kommen - und Facebook hat sich nach dem Fanpage-Urteil auch einige Wochen Zeit für eine Reaktion gelassen. Hier gilt es also, vor allem die allgemeine Diskussion zu Haftungsfragen und –risiken bei gemeinsamer Verantwortlichkeit im Auge zu behalten.

31. Juli 2019