EuGH-Urteil zu Social-Media-Buttons
Social-Media-Buttons: Der EuGH hat in der herbeigesehnten Entscheidung in Sachen “Fashion-ID” heute, am 29.07.2019, zum Gefällt mir-Button von Facebook geurteilt. Das Urteil ist für alle Social-Media-Buttons wichtig.
Die offizielle Pressemeldung des EuGH kann hier abgerufen werden.
Das Urteil im Volltext gibt es hier.
Rechtsstreit um den “Gefällt mir”-Button von Facebook
Um was geht es bei dem Rechtsstreit?
Fashion ID, ein Online-Händler für Modeartikel, band in seine Website den „Gefällt mir“- oder Like-Button von Facebook ein.
Der „Gefällt mir“-Button von Facebook kann von jedem Betreiber einer Website in diese Website eingebunden und dort dargestellt werden. Will der Betreiber einer Website solche Drittinhalte einbinden, setzt er auf dieser Website einen Verweis auf den externen Inhalt. Stößt der Browser des Besuchers auf diesen Verweis, fordert er den Inhalt vom Drittanbieter an und fügt ihn an der gewünschten Stelle in die Darstellung der Website ein. Dazu übermittelt der Browser dem Server des Drittanbieters die IP-Adresse des Rechners des Besuchers sowie die technischen Informationen des Browsers, damit der Server feststellen kann, in welchem Format der Inhalt an welche Adresse auszuliefern ist. Daneben übermittelt der Browser auch Informationen zu dem gewünschten Inhalt. Welche Informationen der Browser übermittelt und was der Drittanbieter mit diesen Informationen macht, insbesondere, ob er diese speichert und auswertet, kann der den Drittinhalt auf seiner Website einbindende Betreiber nicht beeinflussen.
Bei Einbindung des „Gefällt mir“-Buttons von Facebook werden so beim Aufrufen der Website von Fashion ID durch einen Besucher personenbezogene Daten dieses Besuchers an Facebook Ireland übermittelt. Diese Übermittlung erfolgt, ohne dass sich der Besucher dessen bewusst ist und unabhängig davon, ob er Mitglied bei Facebook ist oder den „Gefällt mir“-Button von Facebook anklickt.
Die Verbraucherzentrale NRW wirft Fashion ID vor, personenbezogene Daten der Besucher ihrer Website ohne deren Einwilligung und unter Verstoß gegen die Informationspflichten nach den Vorschriften über den Schutz personenbezogener Daten an Facebook Ireland übermittelt zu haben.
Das ist also der Ausgangspunkt. Im Kern geht es um die Frage: Was ist die Verantwortlichkeit des Webseitenbetreibers bei Einbindung des “Gefällt mir”-Buttons und wie weit geht sie?
Mitverantwortlichkeit für Social-Media-Buttons
Der EuGH sagt nun, dass der Webseitenbetreiber, der den Button in seine Website einbindet, zusammen mit Facebook verantwortlich ist für die Datenverarbeitung.
Aber nicht ganz, denn: Es kommt auf die Phase der Datenverarbeitung an.
Allgemeines zur gemeinsamen Verantwortlichkeit, Art. 26 DSGVO
Zunächst: Der EuGH setzt seine Linie aus den Entscheidungen “Wirtschaftsakademie Schleswig-Holstein”, besser bekannt als “Facebook-Fanpages” und “Jehovan todistajat” bzw. “Zeugen Jehovas” fort und sagt, dass es eine gemeinsame Verantwortlichkeit nach Artikel 26 DSGVO auch dann gibt, wenn
- nicht alle Verantwortliche Zugriff auf die Daten haben und, wenn
- es ein Gefälle der Verantwortlichkeiten bzw.
- ein Gefälle der Einflussmöglichkeiten gibt bzw.
- die Verantwortlichen in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß einbezogen sind.
Der Grad der Verantwortlichkeit eines jeden Akteurs ist demnach unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen.
So ist es ausreichend, dass eine natürliche oder juristische Person, die aus Eigeninteresse auf die Verarbeitung personenbezogener Daten Einfluss nimmt und damit an der Entscheidung über die Zwecke und Mittel dieser Verarbeitung mitwirkt, als für die Verarbeitung Verantwortlicher angesehen werden kann.
Eine Verarbeitung personenbezogener Daten kann demnach aus einem oder mehreren Vorgängen bestehen, von denen jeder eine der verschiedenen Phasen betrifft, die eine Verarbeitung personenbezogener Daten umfassen kann.
Der EuGH kommt dann zu einem Umkehrschluss, wenn er sagt:
Daraus folgt, wie der Generalanwalt in Nr. 101 seiner Schlussanträge im Wesentlichen ausgeführt hat, dass eine natürliche oder juristische Person offenbar nur für Vorgänge der Verarbeitung personenbezogener Daten, über deren Zwecke und Mittel sie – gemeinsam mit anderen – entscheidet, im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 gemeinsam mit anderen verantwortlich sein kann. Dagegen kann, unbeschadet einer etwaigen insoweit im nationalen Recht vorgesehenen zivilrechtlichen Haftung, diese natürliche oder juristische Person für vor- oder nachgelagerte Vorgänge in der Verarbeitungskette, für die sie weder die Zwecke noch die Mittel festlegt, nicht als im Sinne dieser Vorschrift verantwortlich angesehen werden. (Hervorhebung durch den Autor)
Was heißt das konkret für den “Gefällt mir”-Button?
Mit diesen allgemeinen Ausführungen kommt das Gericht in dem konkreten Fall zu dem Schluss:
…dass Fashion ID es dadurch, dass sie den „Gefällt mir“-Button von Facebook Ireland in ihre Website eingebunden hat, offenbar ermöglicht hat, personenbezogene Daten der Besucher ihrer Website zu erhalten. Diese Möglichkeit entsteht ab dem Zeitpunkt des Aufrufens einer solchen Seite, und zwar unabhängig davon, ob diese Besucher Mitglieder des sozialen Netzwerks Facebook sind, ob sie den „Gefällt mir“-Button von Facebook angeklickt haben oder auch ob sie von diesem Vorgang Kenntnis haben.
Das führt zu den folgenden Erkenntnissen über die Verantwortlichkeiten:
Unter Berücksichtigung dieser Informationen ist festzustellen, dass die Vorgänge der Verarbeitung personenbezogener Daten, für die Fashion ID gemeinsam mit Facebook Ireland über die Zwecke und Mittel entscheiden kann, im Rahmen der Definition des Begriffs „Verarbeitung personenbezogener Daten“ in Art. 2 Buchst. b der Richtlinie 95/46 das Erheben der personenbezogenen Daten der Besucher ihrer Website und deren Weitergabe durch Übermittlung sind. Dagegen ist nach diesen Informationen auf den ersten Blick ausgeschlossen, dass Fashion ID über die Zwecke und Mittel der Vorgänge der Verarbeitung personenbezogener Daten entscheidet, die Facebook Ireland nach der Übermittlung dieser Daten an sie vorgenommen hat, so dass Fashion ID für diese Vorgänge nicht als verantwortlich im Sinne von Art. 2 Buchst. d angesehen werden kann.
Also: Der Betreiber einer Website mit dem Gefällt mir-Button ist gemeinsam mit Facebook verantwortlich. Bei anderen Social-Media-Buttons ist es dann genauso. Aber er ist es nicht mehr, nachdem die Daten an Facebook bzw. den Plattformbetreiber übermittelt wurden: Denn hier hört jedwede Einflussmöglichkeit auf.
Dabei nimmt der EuGH noch Bezug auf die Vorteile des Webseitenbetreibers, in dem er diesem folgenden wirtschaftlichen Vorteil zuspricht:
…dass die Einbindung des „Gefällt mir“-Buttons von Facebook durch Fashion ID in ihre Website ihr ermöglicht, die Werbung für ihre Produkte zu optimieren, indem diese im sozialen Netzwerk Facebook sichtbarer gemacht werden, wenn ein Besucher ihrer Website den Button anklickt. Um in den Genuss dieses wirtschaftlichen Vorteils kommen zu können, der in einer solchen verbesserten Werbung für ihre Produkte besteht, scheint Fashion ID mit der Einbindung eines solchen Buttons in ihre Website zumindest stillschweigend in das Erheben personenbezogener Daten der Besucher ihrer Website und deren Weitergabe durch Übermittlung eingewilligt zu haben. Dabei werden diese Verarbeitungsvorgänge im wirtschaftlichen Interesse sowohl von Fashion ID als auch von Facebook Ireland durchgeführt, für die die Tatsache, über diese Daten für ihre eigenen wirtschaftlichen Zwecke verfügen zu können, die Gegenleistung für den Fashion ID gebotenen Vorteil darstellt.
Die Verantwortlichkeit bezieht sich also auf die Erhebung der Daten auf der eigenen Webseite und die Weitergabe durch Übermittlung an Facebook.
Der Umstand jedenfalls, dass der Betreiber einer Website zu den personenbezogenen Daten, die erhoben und dem Anbieter des Social Plugins übermittelt werden, mit dem sie gemeinsam über die Zwecke und Mittel der Verarbeitung dieser Daten entscheidet, nicht selbst Zugang hat, steht seiner Einstufung als „für die Verarbeitung Verantwortlicher“ nicht entgegen.
Und Einwilligung und Informationspflichten?
Eine weitere Frage war, wer denn nun den Besucher der Website mit dem Gefällt mir-Button (bzw. Social-Media-Buttons allgemein) und Einwilligung ersuchen und über die Datenverarbeitung informieren muss.
Hierzu sagt der EuGH folgendes:
…dass in einer Situation wie der des Ausgangsverfahrens, in der der Betreiber einer Website in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, die nach diesen Vorschriften zu erklärende Einwilligung von dem Betreiber nur in Bezug auf den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten einzuholen ist, für den bzw. für die dieser Betreiber tatsächlich über die Zwecke und Mittel entscheidet. Darüber hinaus ist Art. 10 dieser Richtlinie dahin auszulegen, dass in einer solchen Situation auch die in dieser Bestimmung vorgesehene Informationspflicht den Betreiber trifft, wobei dieser die betroffene Person jedoch nur in Bezug auf den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten informieren muss, für den bzw. für die dieser Betreiber tatsächlich über die Zwecke und Mittel entscheidet. (Hervorhebungen durch den Autor)
Auch hier findet also eine Aufsplittung statt: Der Webseitenbetreiber muss die Einwilligung für “seinen Part” der Datenverarbeitung einholen und auch “nur” darüber informieren.
Fraglich bleibt aber, wie denn nun Facebook seinen Part übernehmen soll/kann. Das war nicht gefragt und wurde vom EuGH auch nicht beantwortet.
Konsequenzen für die Praxis:
Das Urteil bedeutet, dass jeder, der Social-Media-Plugins, wie den Gefällt mir-Button, verwendet, deutlich und verständlich über die Datenverarbeitungen, die für den Besucher damit einhergehen, informieren muss. Jedenfalls muss er das, soweit er selbst diese Datenverarbeitungen vornimmt. Auf die weitere Verarbeitung durch den Plattformbetreiber muss dann natürlich auch hingewiesen werden.
Ob eine Einwilligung zwingend ist, wurde zwar vom EuGH offen gelassen, da aber bei einem berechtigten Interesse alle Verantwortliche ein solches Interesse haben müssen, erscheint es mir hier utopisch zu glauben, man könne mit einem berechtigten Interesse arbeiten. Denn ein berechtigtes Interesse von Facebook an diesen Daten kann, zumindest bei Nicht-Mitglieder von Facebook, nun wirklich nicht erblickt werden.
Also muss künftig der Besucher vor (!) Beginn der Datenverarbeitung wirksam um Einwilligung ersucht werden. Das geht meines Wissens so technisch nicht, da schon bei Aufruf der Seite die Daten an Facebook fließen. Es sei denn man nutzt eine Zwei-Klick-Lösung, wie das WordPress-Plugin Shariff Wrapper. Das Plugin ist so programmiert, dass die Datenübermittlung erst mit dem ersten Klick auf den Button beginnt. Genug Zeit also, um ausreichend zu informieren und eine Einwilligung einzuholen.
Gefällt mir das jetzt?
Nein, ehrlich gesagt nicht. Der EuGH verfolgt zwar konsequent seine Linie und es war nach den vorherigen Entscheidungen fast schon zwingend, dass auch hier eine gemeinsame Verantwortung bejaht wurde.
Aber: Mir macht es große Sorgen, dass auch hier wieder der Nutzer/Anwender derjenige ist, der die Suppe auslöffeln muss, den die großen Player einbrocken. Denn letztlich ist es doch Sache von Facebook eine datenschutzkonforme Lösung bereitzustellen. Und das wäre auch gar nicht schwierig. Einfach die Datenübermittlung erst mit Klick starten und schon kann das Ganze rechtskonform eingesetzt werden.
So aber ist es, wie bei den Fanpages auch: Der Anwender muss schauen, wie er mit unreifen oder gar bewusst rechtswidrigen Lösungen klar kommt.
Die Pflicht zur Einwilligung führt zudem zu einer weiter fortschreitenden Ermüdung der Nutzer, die einfach zustimmen oder die Seite dann gar nicht mehr besuchen, weil sie keine Lust mehr haben vor lauter Hinweisboxen, Infotexten und Popups noch an die begehrte Information auf der Webseite zu kommen.
Ich denke wir müssen an Facebook & Co. ran und diese zur Einhaltung der Grundsätze Privacy by Design und Privacy by Default zwingen. Die Möglichkeiten bietet die DSGVO ja ausdrücklich.
Timo Schutt
Datenschutzberater
Fachanwalt für IT-Recht
DSGVO-Man
