Ende Juli urteilte der Europäische Gerichtshof, dass Webseitenbetreiber, die Facebooks Like-Button einbinden, eine Mitverantwortung für die Datenerhebung und -weitergabe tragen und bei den Nutzern hierfür vorab eine Einwilligung einholen müssen. Wir haben mit Rechtsanwalt Carlo Kunz, einem Kollegen unseres langjährigen Senior Partners Dr. Carsten Ulbricht (Menold Bezler Rechtsanwälte), dazu gesprochen und nach den aktuellen Handlungsempfehlungen für Unternehmen gefragt.
SocialMedia Institute (SMI): Was genau besagt das neue EuGH-Urteil?
Carlo Kunz: Das Urteil wurde – so viel vorab – auf der Rechtslage vor In-Kraft-Treten der DSGVO gefällt. Allerdings gelten die Feststellungen auch für die aktuelle Rechtslage. Das Urteil besagt, dass für das Erheben von personenbezogenen Daten durch den sog. „Gefällt-mir“-Button sowie deren Weiterleitung an Facebook sowohl der Website-Betreiber, auf dessen Seite der Button implementiert ist, als auch Facebook gemeinsam verantwortlich sind. Diese gemeinsame Verantwortlichkeit ist in Art. 26 DSGVO geregelt.
Gemeinsam verantwortlich sein bedeutet in diesem Fall dreierlei:
· Sowohl der Website-Betreiber als auch Facebook sind verantwortlich dafür, dass die Datenverarbeitung gem. Art. 6 DSGVO legitimiert wird.
· Beide sind dafür verantwortlich, dass der Website-Besucher über die Datenverarbeitung ausreichend informiert wird.
· Beide müssen einen Vertrag abschließen, der die einzelnen Rechte und Pflichten zwischen den Verantwortlichen regelt, ein sog. Joint-Controllership-Agreement.
Gemeinsam verantwortlich sein bedeutet auch, dass beide für Verstöße gegen diese Verpflichtungen haften. Allerdings hat der EuGH auch deutlich gemacht, dass die gemeinsame Verantwortung quasi an der Haustüre von Facebook endet. Für die Erhebung auf der Website und die Weiterleitung an Facebook sind beide zwar gemeinsam verantwortlich, für die weitere (mutmaßliche) Verwendung durch Facebook ist der Website-Betreiber aber nicht verantwortlich. Er haftet also nicht „für ganz Facebook“.
Weiter folgt aus dem Urteil, dass für die Verarbeitung personenbezogener Daten durch den „Gefällt-mir“-Button in der Regel eine Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO erforderlich ist.
SMI: Welche Dienste sind – außer FB – davon betroffen?
Kunz: Auch wenn sich das Urteil explizit nur auf den „Gefällt-mir“-Button bezieht, kann die Entscheidung grundsätzlich auf alle Social-PlugIns angewendet werden, durch deren Verwendung personenbezogene Daten (also bspw. die IP-Adresse) an Dritte weitergegeben werden. Dies sind z.B. Facebook-Pixel, Instagram-, YouTube- und Twitter-PlugIns.
SMI: Was ist Ihre Interpretation / Einschätzung zum Urteil?
Kunz: Richtig an dem Urteil ist, dass es die konsequenten Fortsetzung der Rechtsprechung ist, die bereits zu den sog. Facebook-Fanpages darstellt. Außerdem lässt sich nicht bestreiten, dass sowohl Website-Betreiber als auch Facebook Vorteile aus der Nutzung des „Gefällt-mir“-Buttons ziehen. Außerdem ist es zweckmäßig, dass der Website-Betreiber seine Besucher über eine Datenverarbeitung durch den „Gefällt-mir“-Button aufklärt. Anders wäre ein Aufklärung über diese Datenverarbeitungsvorgänge nur schwer realisierbar.
Allerdings kann man kritisieren, dass hier harte Folgen den Website-Betreiber treffen, während Facebook einen wesentlich größeren Nutzen aus den Daten zieht, als er selbst. Intention dieser Rechtsprechung ist aber offensichtlich, auf dem Umweg über den „Mittelsmann“ des Website-Betreibers letztlich Druck auf Facebook selbst auszuüben.
SMI: Welche Handlungsempfehlungen würden Sie Unternehmen mitgeben?
Kunz: Für Website-Betreiber folgt aus dem Urteil unmittelbar die Pflicht, gem. Art. 13 DSGVO umfassend über die Erhebung der Daten mittels des „Gefällt-mir“-Buttons sowie über die Weiterleitung an Facebook zu informieren. Dies kann durch eine geeignete Gestaltung der eigenen Datenschutzerklärung geschehen. Weiter müssen Website-Betreiber die Einwilligung ihrer Besucher in die Datenverarbeitung durch den Gefällt-mir“-Button einholen. Hier ist darauf zu achten, dass die Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO abgefragt wird, bevor überhaupt mit dem Erheben der Daten und der Weiterleitung an Facebook begonnen wird. Dies kann über einen geeigneten Opt-In-Cookie-Bar auf der Startseite einer Website geschehen.
Weiter trifft die Website-Betreiber die Verpflichtung, gem. Art. 26 DSVO ein sog. „Joint-Controllership-Agreement“ mit Facebook abzuschließen. Da Facebook einen derartigen Vertrag für den „Gefällt-mir“-Button im Moment noch nicht anbietet und man auch nicht einfach etwas „selbst geschriebenes“ mit Facebook vertraglich vereinbaren kann, wird man hier auf Facebook warten müssen. Nach der Facebook-Fanpage-Entscheidung, die auch den Abschluss eines solchen Vertrages hinsichtlich betriebener Fanpages verlangte, reagierte Facebook und bot den Abschluss eines solchen Dokuments schließlich an.
SMI: Müssen Unternehmen jetzt sofort handeln oder erst einmal abwarten?
Kunz: Unverzüglich sollten Unternehmen, die auf ihrer Website den „Gefällt-mir“-Button möchten, über diese Datenverarbeitung transparent informieren und die Einwilligung der Nutzer einholen. Da diese Pflichten mit geringem Aufwand umgesetzt werden können, sollte hier auch schnell gehandelt werden.
Da derzeit aber – wie gesagt – noch kein „Joint-Controllership-Agreement“ abgeschlossen werden kann, kann diese sich aus dem Urteil ergebende Verpflichtung noch gar nicht erfüllt werden. Prinzipiell besteht deswegen bei Nutzung des Gefällt-mir“-Buttons die Gefahr, mit einem Bußgeld belegt zu werden.
Um jedes Risiko auszuschließen müsste daher auf die Nutzung des Gefällt-mir“-Buttons verzichtet werden, bis Facebook hier ein geeignetes „Joint-Controllership-Agreement“ anbietet. Erfahrungsgemäß ist jedoch das Risiko, bei Beachtung der Informationspflichten und Einholen der Einwilligung mit einem Bußgeld belegt zu werden, überschaubar, solange Facebook hier kein geeignetes „Joint-Controllership-Agreement“ angeboten hat. Auch die Aussagen mancher Landesdatenschutzbeauftrager lassen sich dahingehend interpretieren, dass erst wenn mögliche Schritte zur Legitimierung nicht gegangen werden, mit Bußgeldern zu rechnen sei. Sobald ein „Joint-Controllership-Agreement“ also angeboten wird, sollte hierauf reagiert werden.