• Deutsch
  • Aktuelles
  • EuGH macht kurzen Prozess mit Facebooks „Like-Button“: Betreiber von Websites und Apps sind mit Facebook „gemeinsam verantwortlich“

EuGH macht kurzen Prozess mit Facebooks „Like-Button“: Betreiber von Websites und Apps sind mit Facebook „gemeinsam verantwortlich“

EUGH macht kurzen Prozess mit Facebooks „Like-Button“: Betreiber von Websites und Apps sind mit Facebook „gemeinsam verantwortlich“

Zusammenfassung:

Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 29.07.2019 (Az. C-40/17) zwei wesentliche Punkte entschieden:

1. Betreiber von Websites sind gemeinsam mit Facebook für die Einhaltung europäischen Datenschutzrechts verantwortlich, wenn sie in den Quellcode ihrer Website als Plugin den „Like-Button“ von Facebook einbinden und dieses Plugin dann Daten von den Nutzern der Website an Facebook überträgt und Facebook diese Daten für seine Zwecke weiterverarbeitet. Jedenfalls sofern und soweit auch Nutzer betroffen sind, deren Daten über dieses Plugin erfasst und an Facebook übermittelt wurden, haften Websitebetreiber mit Facebook gemeinsam bei Datenschutzverstößen.

2. Darüber hinaus sind deutsche Verbraucherschutzorganisationen wie der Verbraucherzentrale Bundesverband e.V. („vzbv“) klagebefugt, wenn es um Klagen auf Unterlassung von Datenschutzverstößen geht. Die Datenschutz-Grundverordnung (DSGVO) steht einer Klagebefugnis von Verbraucherverbänden nicht nur nicht entgegen, sie sieht diese ausdrücklich vor.

Das Urteil des EuGH ist keine Überraschung, es bewegt sich auf einer Linie mit den wichtigen Entscheidungen des Vorjahres zur Datenverarbeitung bei Facebook Fanpages (EuGH „Wirtschaftsakademie“, C-210/16). Wer aktiv tätig wird und fremden Programmcode auf seiner Website oder in seiner App einbindet und dadurch die Datenverarbeitung durch einen Dritten ermöglicht, der ist mit diesem Dritten auch gemeinsam verantwortlich.
Für die Frage der gemeinsamen Verantwortlichkeit spielt es keine Rolle, ob der Website- oder App-Betreiber Zugriff auf die übermittelten Daten erhält oder nicht. Auch diese Verschärfung hatte der EuGH im letzten Jahr bereits in der Entscheidung zur Datenverarbeitung bei der Missionierung durch „Zeugen Jehovas“ (EuGH „Jehovan todistajat“, C-25/17) anklingen lassen.

Im Detail:

Datenschutzrechtlich „verantwortlich“ bedeutet, dass sowohl der Website- oder App-Betreiber als auch Facebook jeweils alle mehr als 60 Pflichten zu erfüllen haben, welche die DSGVO demjenigen aufbürdet, der über Mittel und Zwecke einer Datenverarbeitung entscheidet. Ob diese Entscheidungen allein oder gemeinsam mit anderen erfolgen, ändert an der Verantwortung nichts: In for a penny, in for a pound.

Der EuGH versucht, diese Pflichten aber zu begrenzen. Der Websitebetreiber sei dann nicht mehr datenschutzrechtlich verantwortlich, wenn die Daten beim Datenpartner Facebook angelangt seien und dort von Facebook zu anderen Zwecken verwendet werden.

Unangetastet bleibt nach der Aussage des Gerichts eine weitergehende Haftung nach nationalem Recht, z.B. nationalem Zivilrecht, z.B. Vertragsrecht oder Deliktsrecht. Werden Unterlassungs- und Schadensersatzansprüche wegen rechtswidriger Datenverarbeitung als Persönlichkeitsrechtsverletzungen auf deutsches Deliktsrecht gestützt, so greifen dessen weite Zurechnungsregeln für Mittäter und Beteiligte und ein Website- oder App-Betreiber muss auch jenseits der reinen Datenübermittlung an Facebook oder andere Dritte für deren weitergehende Rechtsverletzungen haften. Hier werden auch in Zukunft noch einige Schlachten geschlagen werden. Das Urteil des LG Dresden zu Google Analytics ohne IP-Maskierung mit „anomymizeIp“ aus dem Januar 2019 lässt weitere Auseinandersetzungen erahnen.

Der EuGH betont erneut, dass auch bei gemeinsamer Datenverarbeitung jeder einzelne Verantwortliche einer eigenen Rechtsgrundlage bedarf. Wird dieses „Joint Controllership“ auf eine Interessenabwägungsklausel in Art. 6.1.f DSGVO gestützt, so sei auch die Interessenabwägung für jeden Verantwortlichen gesondert vorzunehmen.

Der Betreiber einer Website oder App, der Plugins von Drittanbietern einsetzt, muss dafür sorgen, dass er selbst über die gesamte gemeinsame Datenverarbeitung klar und vollständig informiert und, wenn notwendig, vor der Erfassung der Daten eine informierte Einwilligung zur Weitergabe dieser Daten beim Nutzer der Website oder App einholt.

Der EuGH führt dazu aus (Rn. 104):

„Aus dem Wortlaut dieser Bestimmung ergibt sich, dass der für die Verarbeitung Verantwortliche […] mindestens die in dieser Bestimmung genannten Informationen geben muss.“

Zu den Informationen für eine transparente Datenverarbeitung gehören unter der DSGVO auch die speziellen Informationen für gemeinsame Verantwortliche nach Art. 26.2 DSGVO.

Die Herausforderung liegt im Fall von Facebook darin, dass das Unternehmen diese Informationen nicht oder nicht vollständig bereitstellt. Der Seitenbetreiber kann ohne Mithilfe von Facebook seine Informationspflichten nach der DSGVO derzeit nicht erfüllen, muss aber für die Nichterfüllung durch Facebook mithaften.

Die Entscheidung zur Klagebefugnis von Verbraucherverbänden bringt endlich Rechtssicherheit. Nun können zahlreiche laufende Verfahren, die bis zur Entscheidung „Fashion ID“ ausgesetzt wurden, endlich fortgesetzt werden. Dazu zählt z.B. das Verfahren „App-Zentrum“ am Bundesgerichtshof (Az. I ZR 188/17) sowie die Datenschutz-Verbandsklage der Verbraucherzentrale Sachsen gegen Facebook am Landgericht Berlin (16 O 288/18), in der der Inhalt und Umfang der Informationspflichten zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO geklärt werden sollen.

Stimmen:

Peter Hense, Rechtsanwalt und Leiter des Fachbereichs Technologie, Marketing und Datenschutzrecht bei Spirit Legal LLP:

„Eine Reduzierung auf den ‚Like-Button‘ und Facebook verstellt den Blick auf die Reichweite der Entscheidung. Es geht um jeden Schnipsel von Programmcode, den ein Seitenbetreiber auf seiner Website oder App einbindet. Wenn dadurch Daten erfasst und an Dritte weitergeleitet werden und diese Dritten die Daten für gleiche Zwecke -z.B. Werbung- nutzen, dann haftet der Seitenbetreiber auch für diese Datenübergabe. Die Entscheidung des EuGH trifft die Grundlagen des Webdesigns moderner Websites, die nach einem Baukastenprinzip mit vielen eigenen und fremden Bausteinen aufgebaut sind. Jetzt stellt der Bauherr dieser Seiten plötzlich mit Entsetzen fest, dass er die Verantwortung für das Gesamtprojekt „Website“/“App“ nicht einfach an Dritte auslagern kann, sondern dass er für alle eingebauten Funktionen und Gewerke einstehen muss. Dies gilt für den „Datenpfusch“ von Social-Media-Plattformen genauso wie für die extensive Vermessung der Seitenbesucher und App-Nutzer durch Webanalyse. Besonders groß werden die Augen, wenn man als Rechtsberater erklären muss, dass die Branchengrößen Facebook, Instagram und YouTube bisher wenig bis nichts getan haben, um Seitenbetreibern die Einhaltung europäischen Rechts zu erleichtern. Es gibt vor diesem Hintergrund nur eine Konsequenz, nämlich unzuverlässige Anbieter gnadenlos von der Baustelle zu werfen. Ohne Druck wird sich bei den großen Anbietern nichts ändern.“

Tilman Herbrich, Privacy Expert und Spezialist für Advertising Technology bei Spirit Legal LLP:

„Website- und App-Betreiber müssen sich nunmehr darauf einstellen, dass die ungeprüfte Einbindung von Drittinhalten künftig noch größere Haftungsrisiken in sich birgt, als es bislang schon der Fall ist. Der Aussage vieler Marktteilnehmer, Nutzer würden sich an die unzähligen Drittinhalte gewöhnen und die Rechtsprechung werde die damit einhergehenden Datenverarbeitungen legitimieren, wurde spätestens heute eine deutliche Absage erteilt. Es droht nun zwar keine “Abmahnwelle” wegen nicht datenschutzkonformer Implementierung von Plugins von Drittanbietern, weil der EuGH lediglich die Verbandsklagebefugnis für Verbraucherverbände bestätigt hat. Gleichwohl werden Überprüfungen von Drittanbieter-Tools seitens der Aufsichtsbehörden und kritische Fragen von betroffenen Websitebesuchern und App-Nutzern deutlich zunehmen. Die Herausforderung wird darin bestehen, klare und vollständige Datenschutzinformationen vor Beginn der Verarbeitung bereitzustellen und eine Einwilligung für die Einbindung von Drittanbieter-Plugins von den Nutzern einzuholen. Gerade bei Apps sehe ich hier bisher erhebliche Defizite. Inwieweit vielleicht doch die Interessenabwägungsklausel in Art. 6 Abs. 1 S. 1 lit. f) DSGVO eine valide Rechtsgrundlage darstellen kann, bleibt vorerst offen und wird erst durch die nationalen Gerichte im konkreten Fall entschieden werden. Eines steht aber heute fest: Eine womöglich gegenüber Facebook abgegebene Einwilligung kann keine Legitimierung von späteren Verarbeitungen außerhalb des sozialen Netzwerkes bewirken.“

Nicky Hoff, Webdesigner und Präsident der Contao Association:

„Für Webentwickler und Webdesigner von Content-Management-Systemen wird das Leben schwieriger. Viele Funktionen, die sich Kunden wünschen, können derzeit nur über externe Plugins realisiert werden. Die Anbieter der Plugins liefern jedoch oft keine oder nur eine unzureichende Dokumentation hinsichtlich Datenschutz und Datensicherheit ihrer Technologie. Der Eigentümer einer Website und wir Dienstleister werden mit vielen Rechtsfragen allein gelassen. Wir wissen oft nicht, welche Daten zu welchem Zeitpunkt wohin übertragen werden. Gerade große Firmen wie Facebook geben unzureichend Auskunft über die übertragenen Daten. Dabei sind Datenschutz und Datensicherheit in unserem eigenen Interesse, wir wollen ja auch saubere Produkte erstellen. Es ist zu wünschen, dass alle Anbieter entsprechend nachlegen und ihre Datenverarbeitung und Dokumentation in den Griff bekommen.“

Checkliste mit 7 Tipps für Website- und App-Betreiber:

  1. Überprüfen Sie Ihre Website oder App, ob sie Plugins, Pixel, SDKs oder Widgets von Drittanbietern integriert haben. Hierbei können Analysewerkzeuge wie Webbkoll zur Überprüfung der eigenen Website eine wichtige Hilfe sein.
  2. Klären Sie, ob die festgestellten Datenempfänger die erhobenen Daten für eigene Zwecke nutzen, die auch in Ihrem wirtschaftlichen Interesse liegen. Immer dann, wenn Daten im wirtschaftlichen Gegenseitigkeitsverhältnis stehen, kann von einer gemeinsamen Verantwortlichkeit ausgegangen werden. Do ut des – ich gebe, damit du gibst, führt dazu, dass beide für das Geschäft mit dem Datenaustausch haften. Hierfür können deren Vertragsbedingungen (Terms & Conditions) ein Indikator sein. Eine gemeinsame Verantwortlichkeit liegt bei Anbietern von Social Media wie Facebook, Instagram und YouTube, bei Webanalyse durch Drittanbieter sowie bei Remarketing oder Programmatic Advertising nahe.
  3. Haben Sie mit diesen Datenempfängern bereits eine Vereinbarung nach Art. 26 DSGVO abgeschlossen? Wenn nicht, holen Sie das nach. Bis dahin sollten Sie die betreffenden Einbindungen deaktivieren.
  4. Überprüfen Sie Ihren Versicherungsschutz (IT-Haftpflicht, Betriebshaftpflicht, Cybersecurity-Versicherung), ob auch Risiken aus der gemeinsamen Verantwortlichkeit mit Dritten gedeckt sind. Fordern Sie Versicherungsnachweise von den anderen mit Ihnen gemeinsam Verantwortlichen an.
  5. Passen Sie die Informationen zur Datenverarbeitung („Datenschutzerklärung“) auf Ihrer Website/App entsprechend an, integrieren Sie vor allem die neuen Pflichtinformationen nach Art. 26 Abs. 2 DSGVO.
  6. Da Sie als Verantwortlicher für die Website oder App auch zur Erfüllung von Betroffenenrechten verpflichtet sind, überprüfen Sie Ihre Prozesse. Zur Erstellung eines Risikolagebildes können Sie die folgenden Fragen nutzen:
    1. Können Sie über die gemeinsame Datenverarbeitung bei allen gemeinsamen Verantwortlichen, wie z.B. Facebook, selbst transparent Auskunft geben?
    2. Haben Sie die Möglichkeit, Daten zu löschen oder zu sperren bzw. eine Löschung oder Sperrung bei Ihren Datenpartnern anzuweisen, wenn Daten zu Unrecht verarbeitet wurden?
    3. Erfahren Sie von Ihren Datenpartnern, wenn es zu einem Datenleck („Data Breach“) gekommen ist? Können Sie Behörden und/oder Betroffene informieren, wenn bei Ihren Datenpartnern ein Data Breach eingetreten ist?
    4. Haben Sie Regressmöglichkeiten gegenüber Ihren Datenpartnern, wenn Sie für deren Fehlverhalten einstehen müssen?
    Im Idealfall sollten Sie alle vier vorstehenden Fragen mit „ja“ beantworten können.
  7. Wägen Sie den wirtschaftlichen Nutzen gegen die rechtlichen und finanziellen Risiken genau ab. Wenn Unternehmen im Jahr 2018 noch auf eine scheinbar unklare Rechtslage verweisen konnten, so ist klar, dass dies im Jahr 2019 niemand mehr als Entschuldigung akzeptiert. Wenn Sie Risiken bewusst in Kauf nehmen, sollten Sie Rückstellungen für Bußgelder bilden, die dem Vorsichtsprinzip des deutschen Rechnungswesens entsprechen. Auf gut Deutsch: Sie müssen Geld zurückstellen für den Fall, dass „mehr Gründe dafür- als dagegen sprechen“ (Urteil des Bundesfinanzhofs vom 16.12.2014, Az.: VIII R 45/12, Rn. 28 der verlinkten Entscheidung), dass Ihnen ein Bußgeld droht. Verbleiben nach Ihrer Prüfung, ob der Einsatz von bestimmten Plugins risikofrei möglich ist oder nicht noch Zweifel, sollten Sie sich spätestens jetzt nach Alternativen zu diesen Datenverarbeitungen umsehen.

Werte Journalistinnen und Journalisten,
bei Rückfragen kommen Sie gern direkt auf uns zu:

Spirit Legal LLP
Neumarkt 16-18, D-04109 Leipzig
Telefon: +49-341-39297890
Email: peter.hense@spiritlegal.com
Twitter: https://twitter.com/spiritlegal

Einen Kommentar schreiben

Tags

Überwachung Einstellungsverbot Annual Return ePrivacy Stellenausschreibung berufspflicht § 5 MarkenG Online-Bewertungen Suchalgorithmus brexit Chat messenger Linkhaftung anwaltsserie Hotels Spielzeug arbeitnehmer Einwilligung Unlauterer Wettbewerb Wettbewerbsrecht Kündigung total buy out Markensperre Sitzverlegung Rückgaberecht Werbung bgh Privacy zahlungsdienst Schadenersatz Reise Abhören E-Mail USA Unionsmarke Gaming Disorder Finanzaufsicht Stellenangebot Schöpfungshöhe Adwords Niederlassungsfreiheit Bußgeld #bsen Suchfunktion Geschäftsanschrift wetteronline.de Bundesmeldegesetz neu LMIV E-Commerce Unternehmensgründung News EuGH Flugzeug data privacy Google AdWords Löschungsanspruch Reiserecht Wahlen markenanmeldung Türkisch Kreditkarten Bildrecherche USPTO Infosec Kennzeichnung Beschäftigtendatenschutz Haftung videoüberwachung Kundenbewertungen 2014 Midijob Data Protection Dynamic Keyword Insertion Pseudonomisierung Referendar LikeButton WLAN Datenschutz Vertragsrecht Rechtsanwaltsfachangestellte Ruby on Rails Kunsturhebergesetz Analytics targeting Algorithmen Consent Management technology Hotelkonzept Urheberrechtsreform wallart EC-Karten Datenschutzrecht Anmeldung OTMR Dokumentationspflicht Vertragsgestaltung Job Gesundheit Big Data Digitalwirtschaft Suchmaschinen Restaurant Medienprivileg Creative Commons Hacking AIDA Social Media Wettbewerbsverbot Tracking Webdesign Recht Presse Suchmaschinenbetreiber Gesichtserkennung Hackerangriff Human Resource Management Authentifizierung Gastronomie Data Breach right of publicity Umtausch besondere Darstellung Presserecht Custom Audiences Impressum Bildung Behinderungswettbewerb PPC § 15 MarkenG Datenschutzbeauftragter Arbeitsrecht Markenrecht Internet Dark Pattern Hack Hausrecht handel #emd15 Leaks Erbe IT-Sicherheit Online Marketing Urteil HSMA Notice & Take Down Kapitalmarkt Sperrabrede FTC LG Köln Marketing Messe DSGVO Meinungsfreiheit Textilien Sponsoring Minijob Nutzungsrecht Cyber Security Keyword-Advertising Verpackungsgesetz Team Lizenzrecht Jahresrückblick Selbstverständlichkeiten Double-Opt-In Registered informationspflichten Check-in Conversion Lebensmittel Filesharing Unterlassung Hotel information technology BDSG Einwilligungsgestaltung Domainrecht Direktmarketing Verlängerung Plattformregulierung CRM Vergütung Xing Schleichwerbung patent Leipzig gender pay gap Foto Produktempfehlungen Großbritannien Gäste Ferienwohnung Event Apps nutzungsrechte Home-Office fristen LinkedIn GmbH

Die Rechtsanwaltssozietät Spirit Legal LLP berät in- und ausländische Unternehmen mit internationaler Ausrichtung. Unser fachlicher Beratungsschwerpunkt liegt in den Bereichen E-Commerce, Gesellschafts-, Wettbewerbs-, Marken-, IT- und Datenschutzrecht. Dank unserer Branchenerfahrung sind wir in rechtlichen Fragen der spezialisierte Ansprechpartner für Start-ups, Reiseunternehmen und die Hotellerie.

© Spirit Legal LLP 2013 - 2019, alle Rechte vorbehalten