Der Betreiber einer Website, die den \u201eGef\u00e4llt mir\u201c-Button von Facebook enth\u00e4lt, kann f\u00fcr das Erheben und die \u00dcbermittlung der personenbezogenen Daten der Besucher seiner Website gemeinsam mit Facebook verantwortlich sein. Dagegen ist er grunds\u00e4tzlich nicht verantwortlich f\u00fcr die sp\u00e4tere Verarbeitung dieser Daten durch Facebook. Zu diesem Ergebnis gelangt der Europ\u00e4ische Gerichtshof in seiner k\u00fcrzlich ver\u00f6ffentlichen Entscheidung (\u201eFashion ID\u201c, Urteil in der Rechtssache C-40\/17, Fashion ID GmbH & Co. KG\/Verbraucherzentrale NRW eV). <\/p>\n\n\n\n
In dem zugrundeliegenden Sachverhalt ging es darum, dass der Betreiber der \u201eFashion ID\u201c-Website einen herk\u00f6mmlichen \u201eGef\u00e4llt mir\u201c-Button von Facebook nutzte. Dagegen klagte die Verbraucherzentrale NRW mit der Begr\u00fcndung, die Einbindung des \u201eGef\u00e4llt mir\u201c-Buttons von Facebook setze eine Einwilligung der Website-Besucher voraus. Diese w\u00fcrde Fashion ID aber nicht einholen. Der EuGH best\u00e4tigte nunmehr diese Auffassung.<\/p>\n\n\n\n
Im Wesentlichen kam der EuGH zu folgendem Ergebnis:<\/p>\n\n\n\n
Facebook und Websitebetreiber sind zum Teil<\/em> gemeinsam verantwortlich<\/strong><\/p>\n\n\n\n Der Betreiber einer Website, der in diese ein Social Plugin (zum Beispiel den \u201eGef\u00e4llt mir\u201c-Button von Facebook) einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu \u00fcbermitteln, ist als \u201eVerantwortlicher\u201c im datenschutzrechtlichen Sinne anzusehen. Diese Verantwortlichkeit ist jedoch auf die Vorg\u00e4nge beschr\u00e4nkt, f\u00fcr die er tats\u00e4chlich \u00fcber die Zwecke und Mittel mitentscheidet, das hei\u00dft<\/p>\n\n\n\n – das Erheben der in Rede stehenden Daten und <\/p>\n\n\n\n – deren Weitergabe durch \u00dcbermittlung an Facebook (beziehungsweise jeden anderen Anbieter eines Social Plugins).<\/p>\n\n\n\n Das \u201eberechtigte Interesse\u201c muss bei Facebook und<\/em> beim Website-Betreiber vorliegen<\/strong><\/p>\n\n\n\n In einer Situation, in der der Betreiber einer Website in diese ein Social Plugin einbindet, ist es erforderlich, dass der Betreiber und der Anbieter (zum Beispiel Facebook) mit diesen Verarbeitungsvorg\u00e4ngen jeweils ein berechtigtes Interesse (Art. 7 Buchst. f der Richtlinie 95\/46) wahrnehmen, damit diese Vorg\u00e4nge f\u00fcr jeden von ihnen gerechtfertigt sind. Dies gilt freilich nur dann, wenn es \u00fcberhaupt auf ein solches berechtigtes Interesse ankommt.<\/p>\n\n\n\n Einwilligung nur beim Einsatz von Cookies erforderlich, dann aber vor<\/em>Erhebung der Daten?<\/strong><\/p>\n\n\n\n in einer Situation wie der des Fashion ID<\/em>-Verfahrens, in der der Betreiber einer Website in diese Website ein Social Plugin einbindet, ist eine Einwilligung durch den Betreiber einzuholen, allerdings nur in Bezug auf die Vorg\u00e4nge, f\u00fcr die der Betreiber tats\u00e4chlich \u00fcber die Zwecke und Mittel mitentscheidet. Und nur unter der Voraussetzung, dass Cookies eingesetzt werden. <\/p>\n\n\n\n Was die Einwilligung selbst betrifft, so muss diese vor dem Erheben der Daten der betroffenen Personen und deren \u00dcbermittlung erkl\u00e4rt werden. Daher obliegt es dem Betreiber der Website und nicht dem Anbieter des Social Plugins, diese Einwilligung einzuholen, da der Verarbeitungsprozess der personenbezogenen Daten schon dadurch ausgel\u00f6st wird, dass ein Besucher diese Website aufruft.<\/p>\n\n\n\n Die Einwilligung, die dem Betreiber gegen\u00fcber zu erkl\u00e4ren ist, betrifft jedoch nur die Verarbeitungsvorg\u00e4nge, f\u00fcr die er tats\u00e4chlich \u00fcber die Zwecke und Mittel mitentscheidet. <\/p>\n\n\n\n Auch Informationspflichten sind vom Website-Betreiber zu erf\u00fcllen<\/strong><\/p>\n\n\n\n Auch die gesetzlichen Informationspflichten betreffen den Betreiber der Website, wobei dieser die betroffenen Personen jedoch wieder nur in Bezug auf die Verarbeitungsvorg\u00e4nge informieren muss, f\u00fcr die der Betreiber tats\u00e4chlich \u00fcber die Zwecke und Mittel mitentscheidet.<\/p>\n\n\n\n Praktische Konsequenzen f\u00fcr die Onlinebranche<\/strong><\/p>\n\n\n\n Das Urteil enth\u00e4lt f\u00fcr eingeweihte Branchenteilnehmer nichts wirklich Neues. Zun\u00e4chst ist allerdings darauf hinzuweisen, dass die Klage sowie das Urteil auf Basis der alten EU-Datenschutzrichtlinie von 1995 erfolgten, die mit Wirkung vom 25. Mai 2018 durch die Datenschutzgrundverordnung ersetzt wurde. Vermutlich d\u00fcrfte der EuGH aber auf der Basis der heutigen DSGVO \u00e4hnlich entscheiden. Dennoch enth\u00e4lt das Urteil einige Besonderheiten:<\/p>\n\n\n\n Der EuGH hatte bereits im Juni 2018 entscheiden, dass Betreiber einer Facebook-Fan Page f\u00fcr die Verarbeitung der Daten ihrer Besucher mitverantwortlich sind (Rechtssache C-210\/16 \u201eWirtschaftsakademie\u201c). Nun hat der EuGH entschieden, dass dieses weite Verst\u00e4ndnis gemeinsamer Verantwortlichkeit auch f\u00fcr die \u201eGef\u00e4llt mir\u201c-Buttons von Social-Media-Plattformen gilt. Neu ist allerdings, dass die Verantwortlichkeit dort endet, wo die Daten den Facebook-Konzern erreicht haben. <\/p>\n\n\n\n Der EuGH l\u00e4sst jedoch erstaunlicherweise eine der wichtigsten Fragen der Onlinebranche offen, n\u00e4mlich ob die Websitebetreiber immer eine Einwilligung f\u00fcr die Einbindung von Social Plugins, wie zum Beispiel Facebooks Like-Button ben\u00f6tigen oder ob ein \u201eberechtigtes Interesse\u201c (Im Sinne von Art. 7 Buchst. f der alten Richtline beziehungsweise heute Art. 6 Abs. 1 Buchst. f DSGVO) f\u00fcr den Betreiber als Rechtfertigungsgrund ausreichen kann. Zwar betont der EuGH indirekt (Randziffern 89, 91), dass das Setzen eines Cookies nach der Datenschutzrichtlinie immer<\/em> eine Einwilligung voraussetze. Ob dies aber auch dann gilt, wenn, wie zum Teil auch bei einem Like-Button, kein<\/em> Cookie gesetzt wird, l\u00e4sst der EuGH offenbar bewusst offen. Er l\u00e4sst auch offen, wie<\/em> genau<\/em> eine Einwilligung im Fall eines Cookies auszusehen habe und damit auch die umstrittene Frage, ob auch eine stillschweigende Einwilligung ausreichend sein k\u00f6nnte. Der EuGH gelangt nur zu dem Ergebnis, dass, sollte ein berechtigtes Interesse ausreichen, dieses sowohl bei Facebook als auch bei dem Betreiber der Website vorliegen m\u00fcsse.<\/p>\n\n\n\n Die Frage, ob das berechtigte Interesse jedoch generell als Rechtsgrundlage ausreichend sein kann oder nicht, war n\u00e4mlich nicht<\/em> Gegenstand der Entscheidung. Diese Frage ist jedoch f\u00fcr die Onlinebranche von kaum zu \u00fcbersch\u00e4tzender praktischer Bedeutung. Folgt man der Auffassung der deutschen Aufsichtsbeh\u00f6rden, ist die Einwilligung \u2013 nicht nur f\u00fcr Social-Media-Buttons, sondern bei s\u00e4mtlichen Tracking-Ma\u00dfnahmen \u2013 immer einzuholen. Das gilt auch f\u00fcr die Auffassung der Aufsichtsbeh\u00f6rden anderer EU-L\u00e4nder wie zum Beispiel die franz\u00f6sische CNIL oder das britische ICO.<\/p>\n\n\n\n Folgt man dagegen der Ansicht vieler betroffener Unternehmen und Branchenverb\u00e4nde, so lassen sich viele Datenverarbeitungen auch durch Art. 6 Abs. 1 Buchst. f DSGVO rechtfertigen und damit durch das \u201eberechtigte Interesse\u201c des Verantwortlichen. Der entscheidende Unterschied: Eine Einwilligung w\u00fcrde dann f\u00fcr die Einbindung des Like-Buttons nicht<\/em> ben\u00f6tigt.<\/p>\n\n\n\n Wer jedoch auf Nummer sicher gehen will, sollte zuk\u00fcnftig eine Einwilligung seiner Nutzer einholen, und zwar vor der eigentlichen Erhebung der Daten. Wie das am besten zu geschehen hat, lassen auch die Aufsichtsbeh\u00f6rden trotz der k\u00fcrzlich ver\u00f6ffentlichen \u201eOrientierungshilfe zu Telemedien\u201c (gemeint sind unter anderem Websites) offen. Eine technische L\u00f6sung, die diesen Anforderungen gerecht wird ist, allerdings nur f\u00fcr Social Plugins, schon heute die so genannte 2-Klick-L\u00f6sung. Dabei wird der Like-Button zun\u00e4chst nur als Bild ohne Funktion eingebunden. Klickt der Nutzer dann auf das Icon, wird die Einwilligung eingeholt, mit der dann der richtige Like Button nachgeladen wird. Wie<\/em> aber im \u00dcbrigen, insbesondere beim Einsatz von Cookies, die Einwilligung einzuholen ist, bleibt auch nach dem Urteil des EuGH unklar. Es wird zuk\u00fcnftig sicherlich sinnvoll sein, hier mit so genannten Consent Management-Plattformen (CMPs) zu arbeiten oder noch besser das so genannte Transparency and Consent Framework (TCF) des Interactive Advertising Bureau zu nutzen.<\/p>\n\n\n\n Eines ist jedoch klar: In beiden F\u00e4llen (Einwilligung oder berechtigtes Interesse) haben die Betreiber Informationspflichten gegen\u00fcber ihren Besuchern zu erf\u00fcllen, allerdings nur f\u00fcr die die Daten, f\u00fcr die der Betreiber mitverantwortlich ist. Der Website-Betreiber muss dagegen keine Information dar\u00fcber geben, wie Facebook diese Daten weiterverarbeitet. Diese Informationen muss Facebook selbst erteilen. Das ist jedenfalls eine gewisse Erleichterung.<\/p>\n\n\n\n Ferner f\u00fchrt die vom EuGH angenomme gemeinsame Verantwortlichkeit nach der DSGVO zu der Verpflichtung f\u00fcr den Websitebetreiber, die datenschutzrechtlichen Pflichten in einer Vereinbarung gem\u00e4\u00df Art. 26 DSGVO (ein Muster<\/a> wird von den Aufsichtsbeh\u00f6rden zu Verf\u00fcgung gestellt) zu regeln. Eine solche Vereinbarung werden die Anbieter von Social Plugins vermutlich zuk\u00fcnftig bereitstellen.<\/p>\n\n\n\n Fazit: Was ist also zu tun bei Social Pugins?<\/strong><\/p>\n\n\n\n Der Betreiber einer Website, die den \u201eGef\u00e4llt mir\u201c-Button von Facebook enth\u00e4lt, kann f\u00fcr das Erheben und die \u00dcbermittlung der personenbezogenen Daten der<\/p>\n