Nachdem der EuGH in seinem Urteil vom 05.06.2018 (Az. C-210/16) bereits festgestellt hat, dass eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO zwischen Facebook-Fanpage-Betreibern und Facebook vorliegt, berät sich der Gerichtshof gerade erneut zu der Frage um eine gemeinsame Verantwortlichkeit im Online-Bereich. In der Rechtssache (Az. C-40/17) geht es darum, ob Websitebetreiber durch Einbindung eines von einem Dritten angebotenen Plugins, wie z.B. dem Facebook-„Gefällt mir“-Button, gemeinsam mit Facebook Ireland verantwortlich für die Datenverarbeitung sind. [Update 29.07.2019] Mit Urteil vom 29.07.2019 hat der EuGH vorab eine Entscheidung getroffen, wie Firmenwebsitebetreiber zukünftig mit der Einbindung des Facebook-Like-Buttons umzugehen haben. Erwartet wurde, dass der EuGH zwischen Facebook Ireland und Websitebetreibern eine gemeinsame Verantwortung annehmen wird. Datenschutzrechtliche Bedenken bei der Einbindung des Facebook-Like-Buttons auf Webseiten bestehen darin, dass personenbezogene Daten der Nutzer allein bei Betreten der Website an Facebook übermittelt werden. Das geschieht unabhängig davon, ob der Nutzer den „Gefällt mir“-Button anklickt oder ob er in diesem Moment mit seinem Facebook-Konto eingeloggt ist. Daten werden sogar dann übermittelt, wenn der Nutzer nicht einmal ein Konto bei Facebook hat. Der EuGH hat nun den allgemeinen Erwartungen entsprochen und entschieden, dass bei der Einbindung des Like-Buttons durch den Betreiber einer Website dieser ebenfalls als Verantwortlicher nach Art. 4 Nr. 7 DSGVO anzusehen ist, mithin eine gemeinsame Verantwortung zwischen Facebook und dem Websitebetreiber besteht. Diese Verantwortlichkeit ist jedoch auf den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten beschränkt, für den bzw. für die er tatsächlich über die Zwecke und Mittel entscheidet, d. h. das Erheben der in Rede stehenden Daten und deren Weitergabe durch Übermittlung. Die Entscheidung wird damit begründet, dass der Websitebetreiber es Facebook ermöglicht personenbezogene Daten zu erhalten. So wird der Social Media-Plugin in dem Wissen eingebunden, dass dieser als Werkzeug zum Erheben und zur Übermittlung von personenbezogenen Daten der Besucher dieser Seite dient, unabhängig davon, ob es sich dabei um Mitglieder von Facebook handelt oder nicht (= Mittel). Was die Zwecke dieser Vorgänge der Verarbeitung personenbezogener Daten betrifft, so ermöglicht es der Betreiber der Website Facebook die Werbung für ihre Produkte zu optimieren, indem diese für Facebook sichtbarer gemacht werden, wenn ein Besucher ihrer Website den Button anklickt. Um den daraus entstehenden wirtschaftlichen Vorteil nutzen zu können, der in einer solchen verbesserten Werbung für den Websiteanbieter besteht, scheint dieser mit der Einbindung eines solchen Buttons in seine Website zumindest stillschweigend in das Erheben personenbezogener Daten der Nutzer der Website und deren Weitergabe durch Übermittlung eingewilligt zu haben. Dabei werden diese Verarbeitungsvorgänge im wirtschaftlichen Interesse sowohl vom Websitebetreiber als auch von Facebook Ireland durchgeführt, für die die Tatsache, über diese Daten für ihre eigenen wirtschaftlichen Zwecke verfügen zu können, die Gegenleistung für den dem Websitebetreiber gebotenen Vorteil darstellt. Lediglich auf die Verarbeitungen, die Facebook im Anschluss mit den Daten durchführt, habe der Websitebetreiber keinen Einfluss mehr. Entsprechend kann er nicht dafür verantwortlich gemacht werden. Die Feststellung der gemeinsamen Verantwortlichkeit von Websitebetreiber und Facebook Ireland hat nun vor allem für den Websitebetreiber zur Folge, dass die datenschutzrechtliche Umgebung bei Einbindung eines Like-Buttons an das Urteil angepasst werden muss. Der Nutzer muss erst über die Datenübermittlung nach den Grundsätzen des Art. 13 DSGVO informiert werden, insbesondere über die gemeinsame Verantwortung. Die Information hat sich auf die Zwecke zu beschränken, für die der Websitebetreiber tatsächlich verantwortlich ist. Weiter offen ist hingegen, auf welche Rechtsgrundlage sich die Datenübermittlung stützt. Ob Websitebetreiber künftig eine Einwilligung der Nutzer einholen müssen oder ob sich die Datenweitergabe auf das berechtigte Interesse stützen lässt, wurde dem EuGH nicht zur Vorabentscheidung vorgelegt. Die Vorabentscheidung geht nun an das vorlegende Gericht OLG Düsseldorf zur endgültigen Entscheidung zurück. Das OLG Düsseldorf hat das Verfahren ausgesetzt, dem ein Rechtsstreit zwischen der Verbraucherschutzzentrale NRW und Fashion ID, einer Marke von Peek & Cloppenburg, zugrunde liegt. Fashion ID hatte auf ihrer Website den Like-Button integriert und damit Facebook personenbezogene Daten ohne Einwilligung des jeweiligen Nutzers übermittelt. Fazit Sollten Websitebetreiber einen Facebook-Like-Button auf ihrer Website eingebunden haben, so empfiehlt sich bis zur endgültigen Entscheidung durch das OLG folgendes Vorgehen: Der Button überträgt keine Daten an Facebook, wenn der Besucher die Website betritt Der Besucher muss in die Datenübertragung einwilligen. Zur Umsetzung bietet sich die 2-Klick-Methode an. Erst mit Klick auf den Button beginnt die Datenübermittlung an Facebook. Die Datenschutzerklärung muss angepasst werden und über die Zwecke sowie die gemeinsame Verantwortung informieren. Andere Social Media Plugin- und Werbecookie-Anbieter sind von der Vorabentscheidung des EuGHs ausgenommen. Es ist jedoch zu erwarten, dass auch hier in Zukunft eine gemeinsame Verantwortlichkeit zwischen Firmenwebsitebetreiber und dem jeweiligen Social Media Plugin-Betreiber/Werbecookie-Anbieter anzunehmen ist. __________________________________________________________________________________________ Noch mehr gemeinsame Verantwortung? – Der Facebook-„Gefällt mir“-Button Nachdem der EuGH in seinem Urteil vom 05.06.2018 (Az. C-210/16) bereits festgestellt hat, dass eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO zwischen Facebook-Fanpage-Betreibern und Facebook vorliegt, berät sich der Gerichtshof gerade erneut zu der Frage um eine gemeinsame Verantwortlichkeit im Online-Bereich. In der Rechtssache (Az. C-40/17) geht es darum, ob Websitebetreiber durch Einbindung eines von einem Dritten angebotenen Plugins, wie z.B. dem Facebook-„Gefällt mir“-Button oder Drittanbieter-Cookies, gemeinsam mit dem jeweiligen Drittanbieter (in diesem Fall Facebook Ireland) verantwortlich für die Datenverarbeitung sind. Unter dem Gesichtspunkt, dass bereits im Facebook-Fanpage-Fall eine gemeinsame Verantwortlichkeit bejaht wurde und auch der Generalanwalt des EuGH die Frage in seinen Schlussanträgen bejaht hat, scheint es wahrscheinlich, dass der EuGH der Auffassung folgen wird. Ein positives Urteil hätte zur Folge, dass der Betreiber der Webseite künftig die Aufgabe hätte, den Nutzern hinsichtlich dieser Datenverarbeitungsvorgänge die Informationen zur Verfügung stellen, die sie zumindest erhalten müssen, und, wo dies erforderlich ist, ihre Einwilligung einholen, bevor Daten erhoben und übermittelt werden. Das Urteil könnte richtungsweisend sein und entscheidende Weichen im Online-Bereich neu stellen. Es liegt nahe, dass sich die höchstrichterliche Entscheidung auch auf Plugins und Cookies anderer Anbieter auswirken wird. Die Richter am EuGH sind derzeit in der Beratung. Das Urteil selbst wird noch einige Zeit auf sich warten lassen. Selbstverständlich werden wir weitere Informationen bereitstellen, sobald das Urteil gefallen ist. Autor: Eileen Binder, Wirtschaftsjuristin LL.B. & Beraterin im Datenschutz Zurück zur Newsübersicht
Das könnte Sie auch interessieren: Fachnews vom 20. Juni 2024 Datenschutz Aus dem Datenschutz-Blog: AI-Act – ein Überblick Der sog. Artificial Intelligence Act (AI-Act, KI-Gesetz) wurde am 13. März 2024 vom Europäischen Parlament beschlossen und am 21. Mai 2024 von den Mitgliedsstaaten der EU verabschiedet. Dieses Gesetz definiert erstmals einheitliche Standards zur Regulierung des Einsatzes von KI-Systemen in der EU. … Weiterlesen … Aus dem Datenschutz-Blog: AI-Act – ein Überblick Fachnews vom 22. Mai 2024 Datenschutz Aus dem Datenschutz-Blog: Die Zulässigkeit digitaler Entgeltabrechnungen Es ist mittlerweile üblich, dass wir Rechnungen und Dokumente digital erhalten. Zu denken sind an Rechnungen von Mobilfunk- oder Stromanbietern oder recht neu auch das eRezept oder die eAU. Stutzig werden wir, wenn die Entgeltabrechnung von Arbeitgebern digital zur Verfügung gestellt wird. In einer … Weiterlesen … Aus dem Datenschutz-Blog: Die Zulässigkeit digitaler Entgeltabrechnungen Fachnews vom 02. Mai 2024 Datenschutz Aus dem Datenschutz-Blog: eAU: Neuerungen für Arbeitgeber Seit dem 01.01.2023 gilt für Arbeitgeber die Pflicht, die Arbeitsunfähigkeitsbescheinigung (AU) ihrer Beschäftigten digital abzurufen. Mit diesem elektronischen Meldeverfahren kommen auch datenschutzrechtliche Anpassungen auf den Arbeitgeber zu. In diesem Artikel möchten wir einen Überblick über das … Weiterlesen … Aus dem Datenschutz-Blog: eAU: Neuerungen für Arbeitgeber Fachnews vom 26. März 2024 Datenschutz Aus dem Datenschutz-Blog: Die NIS2-Richtlinie und deren Umsetzung In Zeiten des digitalen Wandels rückt das Thema der Cybersicherheit, insbesondere für kritische Infrastrukturen, immer mehr in den Fokus der Öffentlichkeit. Es wird von einer signifikant gestiegenen Bedrohungslage für Wirtschaft, Verwaltung und Gesellschaft gesprochen. Weiterlesen … Aus dem Datenschutz-Blog: Die NIS2-Richtlinie und deren Umsetzung Fachnews vom 06. März 2024 Datenschutz Aus dem Datenschutz-Blog: DSA, DMA, AIA, NIS2 – Die Erweiterung des EU-Regelwerks für digitale Sachverhalte Was sich anhört wie ein Satz aus einem beliebten deutschen Rap-Lied ist tatsächlich Teil der EU-Digitalisierungsstrategie für digitale Sachverhalte. Wir schauen hinter die Kürzel und zeigen, was 2024 und darüber hinaus wichtig wird und ist. Weiterlesen … Aus dem Datenschutz-Blog: DSA, DMA, AIA, NIS2 – Die Erweiterung des EU-Regelwerks für digitale Sachverhalte Fachnews vom 27. Februar 2024 Datenschutz Einwilligung – Drahtseilakt zwischen rechtlicher Ausgestaltung und praktischer Handhabung Es begegnet uns nahezu alltäglich – das Erfordernis der Einwilligung. Im beruflichen wie auch im privaten Kontext. In der datenschutzrechtlichen Praxis finden sich vereinzelt die unterschiedlichsten Vorlagen und Muster, welche komprimiert den notwendigen Inhalt der Einwilligung wiedergeben. Meist … Weiterlesen … Einwilligung – Drahtseilakt zwischen rechtlicher Ausgestaltung und praktischer Handhabung Fachnews vom 24. Januar 2024 Datenschutz Interne Mitteilungen über Beschäftigte Manche Dinge sind so trivial, man macht sie einfach. Aus Nettigkeit, aus Rücksicht, aus Freude, weil man eben muss oder eben gerne möchte. Was ist schon dabei, dem lieben Arbeitskollegen zum Geburtstag zu gratulieren, der Kollegin zur Beförderung anerkennend auf die Schulter zu klopfen oder der … Weiterlesen … Interne Mitteilungen über Beschäftigte Fachnews vom 15. August 2023 Datenschutz EU-US Data Privacy Framework – was lange währt wird endlich gut? Was lange währt wird endlich gut – oder bietet der Angemessenheitsbeschluss doch nur eine neue Rechtsgrundlage auf Zeit? Was der neue Beschluss mit sich bringt und was das für Sie bedeutet finden Sie im folgenden Beitrag. Weiterlesen … EU-US Data Privacy Framework – was lange währt wird endlich gut? Fachnews vom 06. Juli 2023 Datenschutz Zum Stand des Angemessenheitsbeschlusses zwischen der EU und den USA Mit seinem Urteil vom 16. Juli 2020 hat der EuGH den Nachweis eines angemessenen Datenschutzniveaus durch die Privacy Shield-Zertifizierung aberkannt (Urteil v. 16.07.2020, Az. C‑311/18, Schrems II). Seit diesem Urteil fehlt es für die Übertragung personenbezogener Daten in die USA in vielen Fällen … Weiterlesen … Zum Stand des Angemessenheitsbeschlusses zwischen der EU und den USA Fachnews vom 20. Juni 2023 Datenschutz Gruppenpostfächer – Personendaten in vielen Händen Jedes Unternehmen hat mindestens eins davon: Ein Gruppenpostfach. Mit dem Allrounder unter den E‑Mail-Postfächern lassen sich mit wenig Aufwand mehrere Fliegen mit einer Klappe schlagen. Um das datenschutzrechtliche Niveau zu halten, muss bereits bei der Anlage eines Gruppenpostfachs Sorgfalt … Weiterlesen … Gruppenpostfächer – Personendaten in vielen Händen Fachnews vom 07. Juni 2023 Datenschutz Das Verbandbuch und der Datenschutz Die erforderliche Aufzeichnung geleisteter Erste-Hilfe-Maßnahmen in Unternehmen, Behörden, Kindertageseinrichtungen und in Schulen erfolgen in der Praxis meist in sogenannten Verbandbüchern. Wie sind diese Aufzeichnungen datenschutzrechtlich zu bewerten und was gilt es bei der Organisation der … Weiterlesen … Das Verbandbuch und der Datenschutz Fachnews vom 16. Mai 2023 Datenschutz Die Revision der ISO/IEC 27001:2022 und der Datenschutz Die im Oktober 2022 veröffentlichte ISO/IEC 27001 in der Version 2022 löst die ISO/IEC 27001:2013, wohl wichtigste Norm zur Informationssicherheit, ab und rückt den Datenschutz stärker in den Fokus. Weiterlesen … Die Revision der ISO/IEC 27001:2022 und der Datenschutz < >