EuGH und Datenschutz - und noch ein Klick mehr für den Website-Nutzer bei Plug-ins

von Dr. Axel Spies, veröffentlicht am 29.07.2019

Schon seit Jahren drängen aktive deutsche Datenschützer darauf, dass Betreiber so genannte „Gefällt mir“ Buttons von ihren Webseiten runternehmen, weil diese nach ihrer Ansicht unzulässig personenbezogene Daten sammeln (vgl. die Diskussion im Blog hier).

Der EuGH hat heute die Voraussetzungen für solche Buttons rechtlich klargestellt (Rs. C-40/17). Für Webseiten-Betreiber hat das Urteil einige Konsequenzen, auch wenn das Urteil noch auf der „alten“ Datenschutz-RiLi 95/46/EC basiert und nicht auf der DS-GVO. Die Problematik ist dieselbe.

Vermutlich kommt noch mehr Häkchen-Setzen als bisher auf die Besucher einer Webseite zu.

Hintergrund der Entscheidung ist eine Klage der Verbraucherzentrale NRW. Diese hatte der Fashion ID, einem deutschen Online-Händler für Modeartikel vorgeworfen, personenbezogene Daten der Besucher ihrer Website ohne deren Einwilligung und unter Verstoß gegen die Informationspflichten nach der Datenschutz-RiLi an FB Ireland übermittelt zu haben.  Auf der Website war ein „Gefällt mir“-Button eingebunden, mittels dessen Besucher direkt auf FB posten konnten, dass ihnen ein bestimmtes Produkt gefällt. Allerdings wurden bereits beim Besuchen der Website personenbezogene Daten der Besucher an FB Ireland übermittelt, ohne dass der Button überhaupt angeklickt wurde.

Das heißt:

  • Der Betreiber ist für die Daten (Mit)-Verantworlicher. Zitat aus dem Urteil:

Der Betreiber einer Website wie die Fashion ID GmbH & Co. KG, der in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, kann als für die Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. D der Richtlinie 95/46 angesehen werden. Diese Verantwortlichkeit ist jedoch auf den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten beschränkt, für den bzw. für die er tatsächlich über die Zwecke und Mittel entscheidet, d.h. das Erheben der in Rede stehenden Daten und deren Weitergabe durch Übermittlung.

  • Der Betreiber muss über diese Datenerhebung und -übermittlung informieren sowie eine Einwilligung in diese Verarbeitung gemäß der Richtlinie 95/46/EC (jetzt Art. 6 (1) (a) DS-GVO) einholen, und zwar „vor dem Erheben der Daten.“ Denkbar ist etwa ein „Hinweiskasten“, in dem über die Datenerhebung und –übermittlung aufgeklärt und dem Besucher die Möglichkeit gegeben wird, Social-Media-Plugins zu aktivieren oder deaktivieren. In welchen Fällen die Rechtsgrundlage "berechtigtes Interesse" nach der DS-GVO ausreicht (vormals Art. 7 f der Richtlinie), geht aus der Entscheidung m.E. nicht klar hervor.
  • Der Betreiber ist für die Datenverarbeitungsvorgänge, die der Empfänger nach der Übermittlung der Daten vorgenommen hat, wohl nicht verantwortlich, wenn die genannten Voraussetzungen gewahrt sind.

Fashion ID hat auf der überarbeiteten Webseite folgenden neuen Text aufgenommen:

"Social Media aktivieren: Aktivieren Sie Social Media, wenn Sie Inhalte in sozialen Netzwerken teilen möchten. Mit der Aktivierung von Social Media stimmen Sie zu, dass Daten an die Betreiber der sozialen Netzwerke übertragen werden. Weitere Informationen hierzu finden Sie in unseren Datenschutzbestimmungen [Link]."

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

10 Kommentare

Kommentare als Feed abonnieren

Hmm, das macht das Internet bestimmt wieder ein Stück gerechter und übersichtlicher;) Geht es eigentlich um solche Buttons wie auch hier im Beck-Blog? Habe gerade das FB-Like angeklickt. Wie gut, dass sich der von Ihnen zitierte neue Text von FashionID - erforderlichenfalls - auch hierauf beziehen läßt.  

Im Beck-Blog muss man den Button vorm anklicken erst aktivieren, vorher schickt er noch keine Daten irgendwohin (hoffe ich).

Die LTO-Presseschau:

EuGH zu "Like-Button": Der Europäische Gerichtshof hat entschieden, dass selbst für einen "Gefällt-mir"-Button verantwortlich ist, wer einen solchen auf seine Internetseite einbaut. Webseitenbetreiber können die Verantwortung dafür nicht auf Facebook abschieben. Konkret geht es um Informationen über Seitenbesucher, die an Facebook gesendet werden. Geklagt hat die Verbraucherzentrale NRW auf Unterlassung gegen das Online-Mode-Angebot "Fashion ID", da der Betrieb des "Gefällt mir"-Buttons ohne Einwilligung der Seitenbesucher gegen die EU-Datenschutz-Richtlinie verstoße. Der EuGH entschied, Fashion ID sei für den Abfluss der Nutzerdaten zu Facebook verantwortlich. Was Facebook dann mit den Daten mache, müsse wiederum Facebook verantworten. Das vorlegende Oberlandesgericht Düsseldorf muss nun insbesondere klären, ob Besucher einer Seite dem Weiterleiten von Daten an Dritte aktiv zustimmen müssen. Über das Urteil berichten FAZ-Einspruch (Senta Leyke-Andrä), die taz (Christian Rath), lto.de (Tobias Kohl) und tagesschau.de (Claudia Kornmeier).

Daniel Kretschmar (taz) meint, das Problem seien die insgesamt unkritischen Nutzer. So blieben für Gerichte nur kosmetische Korrekturen. So sieht es auch Hendrik Wieduwilt (FAZ). Das Urteil bedeute nur "Pseudoschutz", da Nutzer auf das Wegklicken von "Schildchen und Warnungen dressiert" seien und statt den Netzwerken die Nutzer und Website-Betreiber getroffen würden.

Facebook meint zu der Entscheidung: „Der Entscheidung lässt sich nicht entnehmen, dass der EuGH der Auffassung ist, dass zwingend eine Einwilligung eingeholt werden muss. Der EuGH hat vielmehr ausdrücklich auch auf die Möglichkeit abgestellt, dass sich beide gemeinsam Verantwortliche auf berechtigte Interessen stützen.“

Link: https://www.welt.de/wirtschaft/article197651343/EuGH-Urteil-Facebook-aeussert-sich-zu-EuGH-Urteil.html

So lese ich die Entscheidung NICHT. Das ist doch Augenwischerei von Facebook.

Art. 7 f der längst abgeschafften Rili 95/46, zu der alleine sich der EuGH hier geäußert hat, ist schon vom Worlaut her nicht mit Art. 6 Abs. 1 (f) DSGVO identisch. Was der EuGH in Ziff 97 meint ist doch: Das befasste Gericht muss zu der Erkenntnis gelangt, dass die Berufung auf berechtigtes Interesse im Einzelfall bei BEIDEN überhaupt nach der DSGVO möglich ist.

DAS rechtliche Risiko würde ich als Webseitenbetreiber nicht eingehen. Deshalb ist schon richtig, was oben ausgeführt wurde: Lieber ein Häkchen mehr setzen lassen.  

0

Danke für die Kommentare zur Sache. Bis die Rechtslage vom OLG Düsseldorf geklärt ist, könnten Unternehmen die Plugins vorübergehend einstellen (was wohl im Sinne der DSB wäre). Alternativ könnten sie versuchen, durch weitest mögliche Transparenz der Verarbeitung das Risiko minimieren (z.B. durch die aktive Freischaltung von Like-Buttons).  Welche Lösungen sehen Sie, um zu vermeiden, dass der User auf das Wegklicken von "Schildchen und Warnungen dressiert" wird?  

Beschränkung auf das Wesentliche wäre eine Lösung - Kürzung der DS-Erklärungen, Nutzung von Symbolen ("Verkehrszeichen")  wie u.a. von der EU Kommission vorgeschlagen wird.

0

Die Schwelle für das berechtigte Interesse ist hoch: Siehe EuGH Patrick Breyer v Bundesrepublik Deutschland (2016) zu Art. 7 Buchst. f der Richtlinie 95/46:

Ziff. 62. „Insoweit ist ferner darauf hinzuweisen, dass Art. 7 Buchst. f der Richtlinie 95/46 einen Mitgliedstaat daran hindert, kategorisch und ganz allgemein die Verarbeitung bestimmter Kategorien personenbezogener Daten auszuschließen, ohne Raum für eine Abwägung der im konkreten Einzelfall einander gegenüberstehenden Rechte und Interessen zu lassen. Ein Mitgliedstaat kann daher für diese Kategorien das Ergebnis der Abwägung der einander gegenüberstehenden Rechte und Interessen nicht abschließend vorschreiben, ohne Raum für ein Ergebnis zu lassen, das aufgrund besonderer Umstände des Einzelfalls anders ausfällt.“

Für die parallele Abwägung in Art 6 Abs. 1 lit. f DSGVO ist die Schwelle eher höher als niedriger.

Quelle: http://curia.europa.eu/juris/document/document.jsf?docid=184668&doclang=DE

0

Wird das Leben nach Auffassung Gewisser in Zukunft im wesentlichen aus der Lektüre von Belehrungen  bestehen? – Wenn ich „Norwegen-Nordland-Reisen“ mit einem gefällt anklicke – was folgt daraus? Jemand weiß oder kann wissen, dass ich wohl Norwegen-Nordland-Reisen bevorzuge. Na und? Vielleicht bekomme ich dann weniger Werbung für Serengeti-Reisen. Prima! Vielleicht auch gezielt für Norwegen-Nordland-Reisen? Na und?  A) einerseits will ich ja genau dies.  b) trotzdem – niemand zwingt mich das zu lesen.

Die 2-Klick-Lösung könnte weiterhelfen. (LG Düsseldorf, Urteil vom 09.03.2016, 12 O 151/15). Bei der "2-Klick"-Lösung erscheint beim Seitenaufruf nicht unmittelbar das Social-Plugin des sozialen Netzwerks. Der Unser erhält zunächst ein Hinweis, dass ein Symbol angeklickt werden müsse, um die Verknüpfung zum sozialen Netzwerk zu aktivieren. Klickt ein Nutzer dann auf dieses Symbol, wird er zunächst gemäß den Anforderungen an eine informierte Einwilligung informiert. Wenn der Nutzer dann durch einen 2. Klick bestätigt, dass personenbezogene Daten im Falle des Aktivierens des Social-Plugins übertragen werden, wird das betreffende Social-Plugin nachgeladen und eine Informationsübertragung an das soziale Netzwerk aufgebaut.

0

Unternehmen, die auf Nummer sicher gehen, sollten den Facebook Like Button gar nicht erst auf der Unternehmenswebseite einbauen, sondern von dort lediglich auf ihre Facebook Fan Page verlinken. Auf diese Weise findet überhaupt keine Übertragung von Daten der Nutzer statt.

Die Verbraucherzentrale NRW hat übrigens auch gegen Payback ein Zivilverfahren wegen der Verwendung von Social Plugsins eingeleitet. Payback scheint daraufhin ein Urteil des LG Düsseldorf anerkannt zu haben: 

https://www.verbraucherzentrale.de/aktuelle-meldungen/digitale-welt/eughurteil-likebutton-von-facebook-nur-mit-info-an-nutzer-12029

Der EuGH hat zumindest klargestellt, dass die Verbraucherzentrale NRW klagebefugt ist.

0

Kommentar hinzufügen