Am 29.07.2019 hat der Europäische Gerichtshof (EuGH – C-40/17 „Fashion ID“) ein für Websitebetreiber richtungsweisendes Urteil gefällt, das für viele umgehende Anpassungen beim Einsatz von „Like-Buttons“ und beim Opt-In für Cookies erforderlich macht. Dabei geht es um drei Punkte:
- Gemeinsame Verantwortung bei Social-Media-Plattformen jetzt auch für “Gefällt mir”-Schaltfläche, nicht nur bei Facebook Fanpage
- Ab jetzt Pflicht zum Einsatz von Cookie-Opt-In-Banner bzgl. Datenerhebung und -weitergabe an den Dienst, z.B. beim Tracking
- Verbandsklagerecht bestätigt: Verbraucherschutzverbände dürfen Datenschutzverstöße abmahnen
Gemeinsame Verantwortung nach Art. 26 DS-GVO auch für „Like-Button“ u.ä.
Erstens sind laut EuGH Websitebetreiber für eine eingebundene “Gefällt mir”-Schaltfläche und die dadurch ausgelöste Datenerhebung beim Nutzer neben bzw. „zusammen“ mit Facebook verantwortlich sind. Danach träfen also die gesetzlichen Pflichten und Haftungen wie Auskunftspflicht, Bußgeldzahlungen und Schadensersatz sowohl Facebook als auch den Websitebetreiber.
Bereits vor einiger Zeit hatte der EuGH – passend dazu – entschieden, dass der Einsatz von Facebook „Fanpages“ zu einer „gemeinsamen Verantwortung“ gemäß Art. 26 Datenschutz-Grundverordnung (DS-GVO) führt ((EuGH, 05.06.2018 – C-210/16 “Wirtschaftsakademie”). Das führte schon zu einem gestiegenen Risiko für den Betreiber, da er in aller Regel nicht wirklich weiß, was Facebook mit den über die Fanpage bei deren Besuchern gesammelten Daten anstellt – und folglich wederseine Nutzer darüber wie gefordert informieren konnte (und kann!), noch wirklich Verantwortung dafür übernehmen kann (und will!). Gemeinsame Verantwortung heißt, dass beide (oder mehrere Parteien) gemeinsam über die Mittel und Zwecke der Datenverarbeitung entscheiden und man kann streiten, ob das im Verhältnis zu Facebook wirklich der Fall ist. Der Betreiber setzt durch die Einrichtung einer solchen Unternehmens-Seite bei Facebook ja eigentlich nur die Ursache für die Datenerhebung und entscheidet nicht (gewollt) über die ganze nachfolgende Verarbeitungskette bei Facebook, auf die er keinen Einfluss hat. Er erhält ja auch „nur“ die sog. „Insights-Statistiken“.
Da eine solche „Joint Control“ laut DS-GVO vertraglich fixiert werden muss, musste Facebook seinerzeit seine Nutzungsbedingungen um entsprechende Regelungen ergänzen. In einer solchen Art. 26-Vereinbarung sollte den Tatsachen entsprechend geregelt werden, wer für welche Dinge wie z.B. Auskunftsersuchen verantwortlich ist. Ob die neuen Bestimmungen von Facebook zu Fanpages dem genügen und vor allem AGB-rechtlich in allen Punkten haltbar sind, bezweifle ich teils.
Nun aber hat der EuGH diese Ansicht zur gemeinsamen Verantwortung auch auf den Einsatz der „Gefällt mir“-Schaltfläche angewendet. Der Betreiber entscheide mit über die Mittel der Datenerhebung, da ohne Like-Button die Besucherdaten so nicht erhoben würden – das ist soweit verständlich. Laut EuGH entscheidet der Betreiber aber auch mit über die Zwecke der Verarbeitung. Beiden Parteien geht es irgendwie um Werbung und kommerzielle Absichten, was dem Gericht für diese Annahme der gemeinsamen Zwecksetzung offenbar genügt, obwohl die Lebenserfahrung lehrt (Stichwort Cambridge Analytics), dass die Ziele von Facebook und dem zwecks Geschäftsförderung an der Verbreitung seiner Inhalte interessierten Websitebetreiber gern und schnell auseinandergehen können.
Immerhin schränkt der EuGH die gemeinsame Verantwortung ein auf den Umstand der Einbindung der Schaltfläche und die damit direkt ausgelöste Phase der Datenerhebung, d.h. der Übermittlung dieser Daten an Facebook. Das erscheint angemessen. Auskunftspflichten und vor allem auch etwaige Bußgelder dürften dadurch im Vergleich zu Facebook im nur geringeren Umfange anfallen. Allerdings ist der Betreiber so oder so von Mithilfe und also Auskunftsfreudigkeit von Facebook abhängig, wenn ein Nutzer wissen will, welche Daten wo aufgrund des Like-Buttons hingewandert sind. Bei allen rechtlichen Schritten gegen die gemeinsam Verantwortlichen, also Bußgeld, Schadensersatz, Abmahnung etc., haftet der Betreiber im Außenverhältnis vollumfänglich, es sei denn er kann nachweisen, in keiner Weise irgendwie verantwortlich gewesen zu sein für den betreffenden Verstoß. Erst im Innenverhältnis zu Facebook kann man Rückgriff entsprechend des eigentlichen Umfangs der Beteiligung bzw. Verantwortung verlangen – mit allen Prozessrisiken.
Und: Auch hier fehlt es an einer entsprechenden Vereinbarung nach Art. 26 DS-GVO wie zur Fanpage – das muss Facebook erst noch nachreichen.
Zudem müssten obige Maßstäbe (Mitverantwortung für Datenerhebung und Transfer auf den „Dienstleister“) streng genommen auch Anwendung finden auf andere Social Media-Plattformen und Dienste wie Plugins, Pixel, Twitter und Instagram oder YouTube, aber ggf. auch Online-Marketing usw.
Pflicht zum Einsatz von Cookie-Opt-In-Banner
Fast noch wichtiger erscheint mir der zweite Punkt aus der Entscheidung: Jeder Einsatz eines Tools, das der Betreiber einer Website einsetzt, um Nutzerdaten auszulesen, wo also Daten erhoben und ggf. weitergegeben werden an einen externen Dienst, benötigt die Vorabeinwilligung des Nutzers, um rechtmäßig zu sein.
Diese Einwilligung muss vor der Datenverarbeitung erfolgen und sich – immerhin, siehe Einschränkung des EuGH oben – (nur) auf den Erhebungs- und Übermittlungsvorgang beziehen. Die nachfolgende (eigenmächtige) Verarbeitung der Daten durch den Diensteanbieter, z.B. Facebook, muss nicht umfasst sein. Im Ergebnis werden ab jetzt solche Cookie-Opt-In-Banner zur Pflicht und das müssen viele Betreiber nun umgehend nachholen und einrichten.
Das betrifft Social Plugins, aber auch die Einbindung von Mediendateien wie Videos über einschlägige Anbieter usw. Dies gilt insbesondere auch für Tracking Tools. Hier war es ja bislang streitig, siehe https://datalawcounsel.com/tracking-auf-webseiten-nur-noch-mit-einwilligung/.
Zu beachten gilt es dabei vor allem auch die Pflicht, den Nutzer vorab umfänglich zu informieren über alle eingesetzten Tools. Das gilt ja ohnehin, aber ein Opt-In-Banner wird zumeist auch auf die Datenschutzerklärung des Betreibers verweisen, um eine „informierte“ und dadurch wirksame Einwilligung des Nutzers zu erhalten. Wenn die Datenschutzerklärung insoweit unvollständig oder falsch ist, nutzt auch der ohnehin ungewollte Cookie-Banner nichts.
Abmahnrecht für Verbraucherverbände
Drittens hat der EuGH im selben Urteil das sog. Verbandsklagerecht bestätigt und entschieden, dass Verbraucherschutzverbände Datenschutzverstöße abmahnen dürfen, was den Kreis derjenigen erweitert, die einen Betreiber dahingehend anschießen können.
Daraus folgt:
Im Ergebnis müssen Sie als Betreiber von (nicht rein privater) Websites und Social Media-Auftritte noch sorgfältiger abwägen, ob sich der Einsatz eines bestimmten Tools noch lohnt, ob also Nutzen, wirtschaftlicher Vorteil und Risiken noch im Verhältnis stehen. Um einen Cookie-Opt-In-Banner wird man bei Einsatz der gängigen Marketing- und Tracking-Tools ab jetzt nicht mehr umhinkommen.
Bei Fragen hierzu bitte einfach melden.
