Zurück zur Übersicht
27.08.2019
Unternehmensrecht

EuGH: Joint Controller-Haftung bei Verwendung von Facebook Like-Buttons

In einer richtungsweisenden Entscheidung hat der EuGH festgestellt, dass Webseiten-Betreiber, die den „Gefällt mir-/Like-Button“ von Facebook einbinden, für die Einhaltung datenschutzrechtlicher Vorgaben in gleicher Weise verantwortlich sind wie Facebook selbst und ihre Nutzer über die Verwendung der Social Media Plugins informieren müssen. Die Entscheidung macht eine Überprüfung und gegebenenfalls Überarbeitung von Webseiten und zugehörigen Nutzungsbedingungen und Datenschutzerklärungen erforderlich.

Hintergrund

Inwieweit ist ein Betreiber einer Webseite mit einem Anbieter eines sozialen Netzwerks gemeinsam verantwortlich, wenn er auf seiner Webseite einen „Gefällt mir“-Button (Social Media Plugins) einbindet und dadurch personenbezogene Daten erhebt, die er an den Anbieter weiterleitet? Welche Rechtsgrundlagen können eine Verarbeitung dieser Art rechtfertigen?

Zu diesen Fragen hat der EuGH in seiner Entscheidung vom 29. Juli 2019 in der Rechtssache C-40/17 (so genannte Fashion ID-Entscheidung) Stellung genommen. Ausgangspunkt war ein Vorabentscheidungsersuchen des OLG Düsseldorf in einem von der Verbraucherzentrale NRW e.V. initiierten und auf Erlass einer einstweiligen Verfügung gerichteten Verfahren.

Sachverhalt

Um die Werbung für seine Produkte zu optimieren, indem diese im sozialen Netzwerk Facebook sichtbarer gemacht werden, hatte sich der Betreiber einer Webseite entschlossen, den so genannten „Gefällt mir“-Button/“Like“-Button (ein sogenanntes Social Media Plugin) von Facebook auf seiner Webseite einzubinden.

Beim Aufruf der Webseite wurden automatisch diverse Informationen, wie beispielsweise die IP-Adresse des Endgerätes (Handy, Laptop) des Besuchers erhoben und an Facebook übermittelt.

Entscheidung

In seiner Entscheidung folgt der EuGH dem Schlußantrag des Generalanwalts Michal Bobek und stellte fest, dass ein Webseiten-Betreiber, der ein Social Media Plugin auf seiner Website einbindet, gemeinsam mit dem Anbieter des Social Plugins für die Datenverarbeitung verantwortlich ist.

Die Verantwortlichkeit des Webseitenbetreibers sei dabei auf diejenigen Phasen der Datenverarbeitung beschränkt, für die der Webseiten-Betreiber über Zwecke und Mittel entscheidet. Vorliegend betraf dies die Erhebung und Übermittlung der Daten der Webseiten-Besucher an Facebook. Eine Verantwortung des Webseitenbetreibers sieht der EuGH allein dadurch begründet, dass der Betreiber der Webseite das Social Plugin einbindet und damit eine Datenübermittlung an Facebook wissentlich ermöglicht.

Der EuGH stellte außerdem klar, dass die durch den Aufruf der Webseite initiierte Erhebung von Informationen über die Endgeräte der Webseitenbesucher nur auf der Grundlage einer Einwilligung zulässig sei.

Obschon ohne entscheidende Relevanz für den vorliegenden Fall, stellte das Gericht überdies klar, dass Art. 6 Abs. 1 (f) DS-GVO erfordert, dass im Rahmen einer gemeinsamen Verantwortung alle beteiligten Unternehmen ein berechtigtes Interesse an der Verarbeitung der Daten nachweisen müssen.

Sofern die Datenverarbeitung auf der Grundlage einer seitens der Betroffenen erklärten Einwilligung erfolgt, muss die Einwilligungserklärung deshalb alle für die Datenverarbeitung gemeinsam verantwortlichen Unternehmen umfassen und berechtigen.

Schließlich stellt der EuGH klar, dass die Informationspflicht der im Rahmen einer gemeinsamen Verantwortung agierenden Unternehmen auf diejenigen Phasen beschränkt sei, für die die beteiligten Unternehmen tatsächlich über die Zwecke und Mittel der Datenverarbeitung entscheiden. Im vorliegenden Fall bedeutet das, dass der Webseitenbetreiber bereits im Zeitpunkt des Aufrufens der Webseite über die Erhebung und Übermittlung der personenbezogenen Daten zu informieren hat.

Folgen für die Praxis

Mit seiner lang erwarteten Entscheidung stellt der EuGH wesentliche Grundprinzipien der gemeinsamen Verantwortung klar. Er konkretisiert den Umfang der gemeinsamen Verantwortung auf diejenigen Verfahrensschritte der Verarbeitung der Daten, die von den beteiligten Unternehmen gemeinsam beeinflusst werden.

Nach Maßgabe des Urteils sind Webseitenbetreiber, die Social Media Plugins, insbesondere den Facebook Like-Button verwenden, gehalten, ihre Nutzer vor Erhebung und Übermittlung von Daten an Facebook über die geplante Datenverarbeitung zu informieren und deren Einwilligung einzuholen. Die in diesem Zusammenhang zu erteilenden Informationen und die Einwilligung selbst müssen dabei insbesondere die gemeinschaftliche Datenverarbeitung mit dem jeweiligen sozialen Netzwerk und Nutzung der Daten durch dieses umfassen.

Als technische Lösung bieten sich besondere Plugins oder so genannte 2-click-Lösungen an. Gegebenenfalls sind auch besondere Hinweise im Rahmen der Cookie-Banner denkbar, mittels derer auf die Besonderheiten und Funktionsweise der Social Media Plugins und das diesbezügliche Widerspruchsrecht hingewiesen wird. Sofern das Social Media Plugin auch Informationen über die Endgeräte der Webseitenbesucher erhebt, ist das verwendete Cookie-Banner um eine Möglichkeit zur Erklärung einer Einwilligung in diese Datenerhebung zu erweitern.

Einwilligungserklärungen und Datenschutzhinweise sind so (um-) zu gestalten, dass alle an der Datenverarbeitung beteiligten verantwortlichen Stellen in diesen benannt und durch diese berechtigt werden.

Obwohl die Entscheidung im Hinblick auf ein spezifisches Social Media Plugin, namentlich den Facebook „Like-“ Button ergehen, sind die vom EuGH festgelegten Prinzipien auch bei der Verwendung anderer Social Media Plugins zu beachten. Vor deren Einsatz sollte sorgfältig geprüft werden, welche nutzerbezogenen Daten erhoben und sozialen Netzwerken zur Verfügung gestellt und für welche Zwecke diese dort genutzt werden.

Aufgrund der Erfahrungen aus der Vergangenheit, insbesondere der Reaktion von Facebook auf die im Juni 2018 ergangene Facebook Fanpages-Entscheidung des EuGH dürfte davon auszugehen sein, dass Facebook zeitnah Joint Controller-Vereinbarungen zur Verfügung stellen wird. Es bleibt zu prüfen, ob diese Vereinbarungen dann den relevanten Anforderungen genügen werden.

Für weitere Erläuterungen stehen Ihnen unsere auf die Beratung digitaler Geschäftsmodelle und datenschutzrechtlicher Angelegenheiten spezialisierten Kolleginnen und Kollegen gerne zur Verfügung.

Ihr Ansprechpartner

Dr. Söntje Julia Hilberg
Director

shilberg@deloitte.de
Tel.: +49 30 25468 225

Ihr Ansprechpartner

Dr. Söntje Julia Hilberg
Director

shilberg@deloitte.de
Tel.: +49 30 25468 225

So werden Sie regelmäßig informiert:
Artikel teilen:
Diese Webseite verwendet Cookies, um Ihnen einen bedarfsgerechteren Service bereitstellen zu können. Indem Sie ohne Veränderungen Ihrer Standard-Browser-Einstellung weiterhin diese Seite besuchen, erklären Sie sich mit unserer Verwendung von Cookies einverstanden. Möchten Sie mehr Informationen zu den von uns verwendeten Cookies erhalten und erfahren, wie Sie den Einsatz unserer Cookies unterbinden können, lesen Sie bitte unsere Cookie Notice.