Zurück zur Übersicht
URL: http://www.deloitte-tax-news.de/unternehmensrecht/eugh-joint-controller-haftung-bei-verwendung-von-facebook-like-buttons.html
27.08.2019
Unternehmensrecht

EuGH: Joint Controller-Haftung bei Verwendung von Facebook Like-Buttons

In einer richtungsweisenden Entscheidung hat der EuGH festgestellt, dass Webseiten-Betreiber, die den „Gefällt mir-/Like-Button“ von Facebook einbinden, für die Einhaltung datenschutzrechtlicher Vorgaben in gleicher Weise verantwortlich sind wie Facebook selbst und ihre Nutzer über die Verwendung der Social Media Plugins informieren müssen. Die Entscheidung macht eine Überprüfung und gegebenenfalls Überarbeitung von Webseiten und zugehörigen Nutzungsbedingungen und Datenschutzerklärungen erforderlich.

Hintergrund

Inwieweit ist ein Betreiber einer Webseite mit einem Anbieter eines sozialen Netzwerks gemeinsam verantwortlich, wenn er auf seiner Webseite einen „Gefällt mir“-Button (Social Media Plugins) einbindet und dadurch personenbezogene Daten erhebt, die er an den Anbieter weiterleitet? Welche Rechtsgrundlagen können eine Verarbeitung dieser Art rechtfertigen?

Zu diesen Fragen hat der EuGH in seiner Entscheidung vom 29. Juli 2019 in der Rechtssache C-40/17 (so genannte Fashion ID-Entscheidung) Stellung genommen. Ausgangspunkt war ein Vorabentscheidungsersuchen des OLG Düsseldorf in einem von der Verbraucherzentrale NRW e.V. initiierten und auf Erlass einer einstweiligen Verfügung gerichteten Verfahren.

Sachverhalt

Um die Werbung für seine Produkte zu optimieren, indem diese im sozialen Netzwerk Facebook sichtbarer gemacht werden, hatte sich der Betreiber einer Webseite entschlossen, den so genannten „Gefällt mir“-Button/“Like“-Button (ein sogenanntes Social Media Plugin) von Facebook auf seiner Webseite einzubinden.

Beim Aufruf der Webseite wurden automatisch diverse Informationen, wie beispielsweise die IP-Adresse des Endgerätes (Handy, Laptop) des Besuchers erhoben und an Facebook übermittelt.

Entscheidung

In seiner Entscheidung folgt der EuGH dem Schlußantrag des Generalanwalts Michal Bobek und stellte fest, dass ein Webseiten-Betreiber, der ein Social Media Plugin auf seiner Website einbindet, gemeinsam mit dem Anbieter des Social Plugins für die Datenverarbeitung verantwortlich ist.

Die Verantwortlichkeit des Webseitenbetreibers sei dabei auf diejenigen Phasen der Datenverarbeitung beschränkt, für die der Webseiten-Betreiber über Zwecke und Mittel entscheidet. Vorliegend betraf dies die Erhebung und Übermittlung der Daten der Webseiten-Besucher an Facebook. Eine Verantwortung des Webseitenbetreibers sieht der EuGH allein dadurch begründet, dass der Betreiber der Webseite das Social Plugin einbindet und damit eine Datenübermittlung an Facebook wissentlich ermöglicht.

Der EuGH stellte außerdem klar, dass die durch den Aufruf der Webseite initiierte Erhebung von Informationen über die Endgeräte der Webseitenbesucher nur auf der Grundlage einer Einwilligung zulässig sei.

Obschon ohne entscheidende Relevanz für den vorliegenden Fall, stellte das Gericht überdies klar, dass Art. 6 Abs. 1 (f) DS-GVO erfordert, dass im Rahmen einer gemeinsamen Verantwortung alle beteiligten Unternehmen ein berechtigtes Interesse an der Verarbeitung der Daten nachweisen müssen.

Sofern die Datenverarbeitung auf der Grundlage einer seitens der Betroffenen erklärten Einwilligung erfolgt, muss die Einwilligungserklärung deshalb alle für die Datenverarbeitung gemeinsam verantwortlichen Unternehmen umfassen und berechtigen.

Schließlich stellt der EuGH klar, dass die Informationspflicht der im Rahmen einer gemeinsamen Verantwortung agierenden Unternehmen auf diejenigen Phasen beschränkt sei, für die die beteiligten Unternehmen tatsächlich über die Zwecke und Mittel der Datenverarbeitung entscheiden. Im vorliegenden Fall bedeutet das, dass der Webseitenbetreiber bereits im Zeitpunkt des Aufrufens der Webseite über die Erhebung und Übermittlung der personenbezogenen Daten zu informieren hat.

Folgen für die Praxis

Mit seiner lang erwarteten Entscheidung stellt der EuGH wesentliche Grundprinzipien der gemeinsamen Verantwortung klar. Er konkretisiert den Umfang der gemeinsamen Verantwortung auf diejenigen Verfahrensschritte der Verarbeitung der Daten, die von den beteiligten Unternehmen gemeinsam beeinflusst werden.

Nach Maßgabe des Urteils sind Webseitenbetreiber, die Social Media Plugins, insbesondere den Facebook Like-Button verwenden, gehalten, ihre Nutzer vor Erhebung und Übermittlung von Daten an Facebook über die geplante Datenverarbeitung zu informieren und deren Einwilligung einzuholen. Die in diesem Zusammenhang zu erteilenden Informationen und die Einwilligung selbst müssen dabei insbesondere die gemeinschaftliche Datenverarbeitung mit dem jeweiligen sozialen Netzwerk und Nutzung der Daten durch dieses umfassen.

Als technische Lösung bieten sich besondere Plugins oder so genannte 2-click-Lösungen an. Gegebenenfalls sind auch besondere Hinweise im Rahmen der Cookie-Banner denkbar, mittels derer auf die Besonderheiten und Funktionsweise der Social Media Plugins und das diesbezügliche Widerspruchsrecht hingewiesen wird. Sofern das Social Media Plugin auch Informationen über die Endgeräte der Webseitenbesucher erhebt, ist das verwendete Cookie-Banner um eine Möglichkeit zur Erklärung einer Einwilligung in diese Datenerhebung zu erweitern.

Einwilligungserklärungen und Datenschutzhinweise sind so (um-) zu gestalten, dass alle an der Datenverarbeitung beteiligten verantwortlichen Stellen in diesen benannt und durch diese berechtigt werden.

Obwohl die Entscheidung im Hinblick auf ein spezifisches Social Media Plugin, namentlich den Facebook „Like-“ Button ergehen, sind die vom EuGH festgelegten Prinzipien auch bei der Verwendung anderer Social Media Plugins zu beachten. Vor deren Einsatz sollte sorgfältig geprüft werden, welche nutzerbezogenen Daten erhoben und sozialen Netzwerken zur Verfügung gestellt und für welche Zwecke diese dort genutzt werden.

Aufgrund der Erfahrungen aus der Vergangenheit, insbesondere der Reaktion von Facebook auf die im Juni 2018 ergangene Facebook Fanpages-Entscheidung des EuGH dürfte davon auszugehen sein, dass Facebook zeitnah Joint Controller-Vereinbarungen zur Verfügung stellen wird. Es bleibt zu prüfen, ob diese Vereinbarungen dann den relevanten Anforderungen genügen werden.

Für weitere Erläuterungen stehen Ihnen unsere auf die Beratung digitaler Geschäftsmodelle und datenschutzrechtlicher Angelegenheiten spezialisierten Kolleginnen und Kollegen gerne zur Verfügung.

www.deloitte-tax-news.de Diese Mandanteninformation enthält ausschließlich allgemeine Informationen, die nicht geeignet sind, den besonderen Umständen eines Einzelfalles gerecht zu werden. Sie hat nicht den Sinn, Grundlage für wirtschaftliche oder sonstige Entscheidungen jedweder Art zu sein. Sie stellt keine Beratung, Auskunft oder ein rechtsverbindliches Angebot dar und ist auch nicht geeignet, eine persönliche Beratung zu ersetzen. Sollte jemand Entscheidungen jedweder Art auf Inhalte dieser Mandanteninformation oder Teile davon stützen, handelt dieser ausschließlich auf eigenes Risiko. Deloitte GmbH übernimmt keinerlei Garantie oder Gewährleistung noch haftet sie in irgendeiner anderen Weise für den Inhalt dieser Mandanteninformation. Aus diesem Grunde empfehlen wir stets, eine persönliche Beratung einzuholen.

This client information exclusively contains general information not suitable for addressing the particular circumstances of any individual case. Its purpose is not to be used as a basis for commercial decisions or decisions of any other kind. This client information does neither constitute any advice nor any legally binding information or offer and shall not be deemed suitable for substituting personal advice under any circumstances. Should you base decisions of any kind on the contents of this client information or extracts therefrom, you act solely at your own risk. Deloitte GmbH will not assume any guarantee nor warranty and will not be liable in any other form for the content of this client information. Therefore, we always recommend to obtain personal advice.