Der Europäische Gerichtshof hat entschieden, dass Websitebetreiber für eine eingebundene “Gefällt mir”-Schaltfläche (auch bekannt als “Like-Button”) neben Facebook nach der DSGVO mitverantwortlich sind (EuGH, 29.07.2019 – C-40/17 “Fashion ID”, Pressemitteilung). Diese Entscheidung hat ein enormes Haftungspotential für uns alle und ihre Folgen können m.E. so eigentlich nicht gewollt sein.

Zugleich hat der EuGH entschieden, dass der Einsatz der “Gefällt mir”-Schaltfläche einer Einwilligung und vollständiger Datenschutzinformationen bedarf. Dies gilt auch für andere Plugins-, Online-Marketing und Tracking-Tools. Verstöße sind abmahnbar.

Nachfolgend erkläre ich Ihnen die rechtlichen Hintergründe, die Risken und empfehle, wie Sie sich verhalten sollten. Am Ende des Beitrags erhalten Sie eine Zusammenfassung.

Bin ich nach der DSGVO verantwortlich?

Der Dreh- und Angelpunkt der DSGVO ist die Frage, wer für eine Datenverarbeitung verantwortlich ist. Denn der Verantwortliche muss z.B. Auskunftsanfragen beantworten, Buß- oder Schmerzensgelder zahlen.

Verantwortlich sind laut der DSGVO diejenigen, die über Mittel und Zwecke der Verarbeitung entscheiden (Art. 4 Nr. 7 DSGVO). D.h. wer einen E-Shop betreibt und Daten von Kunden zum Zweck der Zahlung und Warenauslieferung verarbeitet, ist für diese Verarbeitung verantwortlich.

Was ist aber, wenn z.B. zwei Unternehmen kooperieren und eins den Server betreibt und das andere die Kundenverwaltung übernimmt?

Dann legen beide Unternehmen mit dem Shopbetrieb die Zwecke der Verarbeitung der Kundendaten gemeinsam fest. Folglich entscheiden beide Unternehmen gemeinsam über die Mittel und Zwecke der Datenverarbeitung und sind damit gemeinsam verantwortlich (auf Englisch “Joint Control” bezeichnet).

Welche Folgen hat die gemeinsame Verantwortlichkeit?

Als Folge der gemeinsamen Verantwortlichkeit, können z.B. Auskunftsanfragen oder Bußgeldbescheide an jeden der Verantwortlichen gerichtet werden (z.B. falls der andere der o.g. Shop-Betreiber die Auskunft oder Zahlung verweigert).

Zudem müssen die Unternehmen eine spezielle Vereinbarung abschließen (Art. 26 DSGVO). Dort muss z.B. geregelt sein, wer sich um die Beantwortung der Anfragen der Nutzer kümmert.

Ich denke, das Beispiel des gemeinsam betrieben E-Shops ist nachvollziehbar. Hier verfolgen zwei Unternehmen eindeutig denselben Zweck. Weniger nachvollziehbar ist es m.E., eine gemeinsame Verantwortlichkeit für Facebooks Datenverarbeitung anzunehmen. Der EuGH sieht das jedoch anders.

EuGH 2018: Mitverantwortung für Fanpages

Der EuGH hat bereits im Juni 2018 mit der folgenden Begründung entscheiden, dass Fanpagebetreiber für die Verarbeitung der Daten ihrer Besucher mitverantwortlich sind (EuGH, 05.06.2018 – C-210/16 “Wirtschaftsakademie”):

• Mitentscheidung über die Mittel: Ohne die Fanpage würde Facebook keine Daten der Fanpage-Besucher erheben.
• Mitentscheidung über die Zwecke: Facebook und Fanpagebetreiber schließen auf Grundlage von Facebooks AGB einen Vertrag, der Facebook zum Einsatz der Besucherdaten zur genaueren Platzierung von Werbung berechtigt. Hinzu kommt, dass mit den Daten die sog. “Insights-Statistiken” erstellt werden. Die dortigen Informationen zu Alter der Besucher, Geschlecht, Interaktion mit Beiträgen etc. nutzen Facebook und die Fanpagebetreiber jeweils um deren Inhalte und Werbung gezielt an den Besuchern auszurichten. Auch können Fanpagebetreiber die Art der Besucher anhand bestimmter Kriterien, wie z.B. Interessen, mitbestimmen (wobei diese Funktion so nicht mehr existiert).

Dass nur Facebook Zugang zu den personenbezogenen (d.h. einzelne Nutzer individualisierende) Daten hat und Fanpagebetreiber nur zu anonymen Statistiken, hält der EuGH nicht für bedeutend. Es reicht aus, dass einer der Mitverantwortlichen personenbezogene Daten verarbeitet.

Schon bei dieser Entscheidung ist es nach meiner Ansicht nur schwer nachzuvollziehen, dass Fanpagebetreiber und Facebook gemeinsam die Zwecke der Datenverarbeitung festlegen, also gemeinsam über sie entscheiden sollen.

Nun hat der EuGH entschieden, dass dieses weite Verständnis gemeinsamer Zwecke auch für die “Gefällt mir”-Schaltfläche gilt.

EuGH 2019: Mitverantwortung für die “Gefällt mir”-Schaltfläche

Auch im Fall der “Gefällt mir”-Schaltfläche, sieht der EuGH eine arbeitsteilige Zweckverfolgung von Facebook und den Websitebetreibern:

• Mitentscheidung über die Mittel: Wäre die “Gefällt mir”-Schaltfläche nicht eingebunden, könnte Facebook keine Besucherdaten erheben.
• Mitentscheidung über die Zwecke: Facebook möchte mit den “Gefällt mir”-Schaltfläche Daten zu Werbezwecken sammeln. Websitebetreiber möchten ihre Inhalte verbreiten und damit ihr Geschäft fördern. Was nach zwei unterschiedlichen Zwecken klingt, genügt dem EuGH als ein gemeinsamer Zweck. Denn in beiden Fällen werden kommerzielle Ziele verfolgt, wobei Facebooks Beitrag dem Websitebetreiber dient, wie auch umgekehrt.

Wenn Sie jetzt das Gefühl haben, dass Sie bei einer solch abstrakten und nach meiner Ansicht uferlosen Betrachtung für das halbe Internet mitverantwortlich sind, dann liegen Sie gar nicht mal so falsch. Trotz der Zusicherungen des EuGH.

Einschränkung der Verantwortlichkeit

Auch der EuGH sieht, dass Nutzer der “Gefällt mir”-Schaltfläche im Vergleich zu Facebook praktisch nur über deren Einbindung entscheiden. Aus dem Grund schränkt das Gericht den Umfang der gemeinsamen Verantwortung ein.

Die gemeinsame Verantwortlichkeit erstreckt sich daher lt. dem EuGH nur auf die Phase der Erhebung der Daten der Fanpage- oder Websitebesucher, bzw. deren Übermittlung an Facebook. Für die spätere Verarbeitung der Daten soll Facebook alleine verantwortlich sein.

Doch was zunächst nach einer erheblichen Einschränkung der uferlosen Mitverantwortlichkeit klingt, ist de facto keine.

Potentielle Mithaftung im vollen Umfang

Die Geringfügigkeit Ihres Beitrags bei Facebooks Datenverarbeitung hat Vorteile. Der Umfang Ihrer Auskunftspflicht ist geringer, die Höhe eines etwaigen Bußgeldes wäre im geringeren Umfang zu tragen.

Allerdings sind die verbleibenden Nachteile erheblich:

• Auskunft und andere Betroffenenrechte – Es ist in der Durchführung für Sie irrelevant, ob ein Nutzer von Ihnen Auskunft über alle seine bei Facebook gespeicherten Daten erhalten möchte oder nur die auf einen “Gefällt mir”-Schaltfläche bezogenen Daten. In beiden Fällen können Sie nichts weiter unternehmen, als darauf zu vertrauen, dass Facebook die benötigte Auskunft erteilt.
• Bußgeld: Sollte gegen Facebook wegen der Erhebung der Daten der Fanpage- oder Websitebesucher ein Bußgeld (oder eine Schadensersatzzahlung, Abmahnung, Untersagungsverfügung, etc.) ausgesprochen oder verhängt werden, haften Sie zunächst im vollen Umfang mit. Sie können aber von Facebook die Rückzahlung des auf Facebook entfallenden Teils sowie der Kosten verlangen oder zumindest im Fall von Schadensersatzforderungen der betroffenen Personen nachweisen, “in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich” zu sein (Art. 89 Abs. 3, 4 und 5 DSGVO).
• Abschluss einer Vereinbarung – Facebook muss, wie bei Fanpages, Ihnen die Vereinbarung über gemeinsame Verantwortlichkeit anbieten.

Das heißt, sie haften “an vorderster Front” zuerst vollumfänglich mit und müssen im Fall der Fälle darauf vertrauen, dass Facebook ihnen etwaige Kosten erstattet oder Auflagen abnimmt (und zumindest im Fall des Schadensersatzes haben Sie die Möglichkeit nachzuweisen, in keinerlei Hinsicht verantwortlich zu sein).

Ich gehe davon aus, dass Facebook das schon aus Imagegründen vielfach tun würde. Allerdings ist Facebook ein auf Aktien basiertes Unternehmen. D.h. wenn die Kostenübernahme unwirtschaftlich sein sollte, dann wird das Vertrauen zumindest auf eine harte Probe gestellt.

Zudem, solange die zuletzt genannte Vereinbarung nicht vorliegt, ist die Nutzung der “Gefällt mir”-Schaltflächen und anderer Social Plugins ohnehin rechtswidrig. Womöglich ist dann aber auch die Nutzung von sehr, sehr vielen anderen Onlinediensten illegal.

Ist es jetzt illegal Social-Media zu nutzen?

Fast alle kostenlosen Netzwerke oder Dienste behalten sich vor, Daten der Nutzer zu eigenen Werbezwecken auszuwerten (explizit geregelt oder sich aus den Umständen ergebend).

Wenn man das Urteil des EuGH so auslegen würde wie es klingt, dann wären wir auch für andere genutzten Plattformen und Dienste mitverantwortlich. Z.B. für

• Facebook-Social Plugins, Facebook-Gruppen, Facebook-Pixel,
• Instagram,
• YouTube,
• Twitter,
• YouTube- und Vimeo-Videos,
• Google Analytics und so ziemlich alle anderen Onlinemarketingdienste,
• Bewertungswidgets,
• Affiliate-Programme & Widgets,
• viele Cloud-Hoster,
• usw., etc.

Da die meisten der Dienste keine Vereinbarungen für gemeinsame Verantwortlichkeit anbieten, wäre deren Nutzung illegal.

Ein Grund das Internet abzuschalten?

Zu allererst sollten Sie wissen, dass Ungewissheit in der DSGVO oft Programm ist. Um auch künftige und unbekannte Technologien zu erfassen, ist die DSGVO sehr abstrakt gefasst.

Bis der EuGH über eine Streitfrage entschieden hat, kann jede Auslegung der DSGVO zugleich richtig oder falsch sein. Aber auch eine EuGH-Entscheidung ist häufig eher rechtspolitischer Natur (d.h. ohne eine stringente innere Logik) und damit interpretierbar.

So könnte man, m.E. zu Recht meinen, dass der EuGH die Verhängung eines vollen Bußgeldes oder Vollstreckung einer Auskunftspflicht gegen einen Nutzer für unverhältnismäßig halten würde. Ebenso könnte er eine spezielle Vereinbarung in derartigen Konstellation für überflüssig erachten.

Ferner verweist der EuGH auf nationale Haftungszurechnungsregelungen (Randnummer 74), so dass man den Nutzer wegen der Geringfügigkeit ihres Beitrags, durchaus “aus der Schusslinie nehmen” könnte (s. RA Simon Assion). Die Frage ist, ob und inwieweit die nationalen Gerichte sowie Datenschutzbehörden das auch so sehen werden.

Praxistipp: Ungewissheit ist ein Risikofaktor

Im Hinblick auf die Praxis sollten Sie bedenken, dass Sie im Internet immer mit einer gewissen Unsicherheit rechnen müssen. Dieses Risiko müssen Sie mit den Folgen des Verzichts auf die genutzten Internetdienste abwägen (bzw. Ihre Rechtsabteilung oder Rechtsberater bitten, dies zu tun).

Bei der Abwägung müssen Sie nicht nur die möglichen Folgen, sondern auch deren Eintrittswahrscheinlichkeit berücksichtigen.

So sehe ich z.B. im Hinblick auf Fanpages seitens der Datenschutzbehörden eine Untersagungsverfügung als die wahrscheinlichste Folge. Auch dass jemand eine datenschutzrechtliche Schadensersatzforderung gegen Facebook geltend macht und bei Weigerung Sie verklagt, halte ich schon wegen der Erfolgsaussichten momentan für wenig wahrscheinlich.

Allerdings sollten Sie auf den Einsatz von Widgets und Tools verzichten, wenn diese Ihnen keine wirtschaftlichen Vorteile bringen. Nutzen Sie lieber Tools wie Shariff oder Embetty von heise, die keine Daten der Websitebesucher verarbeiten.

Einwilligungspflicht für Cookies

Es war eine umstrittene Frage, ob der Einsatz von Social-Plugins, Videos, Tracking Tools, etc. einer Vorabeinwilligung der Nutzer bedarf. Diese Frage hat der EuGH nun bejaht.

Sobald auf den Geräten der Nutzer Daten gespeichert oder ausgelesen werden, besteht die Pflicht eine Einwilligung einzuholen. Da dies praktisch immer der Fall ist, werden Cookie-Opt-In-Banner zur Pflicht.

Zwar sagt der EuGH, dass es ausreichend ist, dass die Einwilligung sich nur auf den Erhebungs- und Übermittlungsvorgang bezieht (d.h. die spätere Verarbeitung der Daten der Websitebesucher durch Facebook muss nicht abgedeckt sein). Aber auch hier gilt, aus der Sicht der Websitebetreiber ist ein Cookie-Banner ein Cookie-Banner, egal welchen Umfang die eingeholte Einwilligung hat.

Informationspflichten gegenüber den Nutzern

Der EuGH betont, dass die Websitebesucher über die eingesetzten Verfahren umfassend informiert werden müssen. Daher muss Ihre Datenschutzerklärung alle Dienste berücksichtigen, die Sie auf Ihrer Website einsetzen (Social Plugins, Tracking-Tools, etc.)

Verbraucherverbände dürfen abmahnen

Ausgangspunkt des entschiedenen Verfahrens war eine Abmahnung der Verbraucherzentrale NRW. Das abgemahnte Unternehmen meinte jedoch, dass der Verbraucherverband keine Abmahnung aussprechen oder klagen darf. Datenschutzverstöße seien nur auf Grundlage der DSGVO durch Datenschutzbehörden zu sanktionieren.

Auch dieser Ansicht erteilte der EuGH eine Absage und bestätigte, dass das sog. Verbandklagerecht zulässig ist. Damit dürfen Verbände wie die Verbraucherzentrale Abmahnungen aussprechen.

Sind Privatpersonen ausgenommen?

Die DSGVO gilt für Privatpersonen nicht, wenn sie personenbezogene Daten “ausschließlich zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten” verarbeiten (Art. 2 Abs. 2 lit c DSGVO).

Aber auch hier ist es umstritten, ob eine Beteiligung an einer Verarbeitung von Daten zu Werbezwecken als ausschließlich persönlich und familiär bezeichnet werden kann.

M.E. ist das nicht der Fall, so dass auch Privatpersonen auf Websites Cookie-Opt-Ins einholen müssen.

Allerdings sind Privatnutzer nach meiner Ansicht für die Erhebung der Daten der Websitebesucher oder im Fall einer Fanpage nicht mitverantwortlich. Denn der EuGH stützte die gemeinsame Verantwortlichkeit auf kommerzielle Interessen von Facebook und den Websitebetreibern. Privatpersonen verfolgen jedoch keine kommerziellen Interessen.

Zusammenfassung

Nachfolgende fasse ich die wesentlichen Aussagen des Beitrags zusammen:

Zur gemeinsamen Verantwortlichkeit:

• Verwender der “Gefällt mir”-Schaltfläche sind laut EuGH für die Erhebung und Übermittlung personenbezogener Daten ihrer Websitebesucher mit Facebook gemeinsam verantwortlich.
• Denn sie erlauben Facebook die personenbezogenen Daten der Websitebesucher zu Werbezwecken zu erheben, bzw. zu übermitteln.
• Diese Mitverantwortung hat der EuGH zuvor schon für Fanpages bejaht.
• In der Konsequenz wäre die Nutzung einer Vielzahl sozialer Netzwerke, Online-Marketingtools sowie anderer Onlinedienste illegal. Denn die gemeinsam Verantwortlichen müssen eine spezielle Vereinbarung abschließen, die aber häufig nicht vorliegt.
• Ferner könnten die Nutzer für die Beantwortung von Auskünften Betroffener, auf Zahlung etwaiger Bußgelder, Abmahnungen oder Schadensersatzzahlungen im vollen Umfang in Anspruch genommen werden.
• Es ist jedoch nicht eindeutig klar, ob EuGH derartige Folgen in diesem Umfang gewollt hat.
• Privatnutzer sind von der Mitverantwortung (sehr wahrscheinlich) ausgenommen.
• Unternehmen müssen die Risiken abwägen, bevor sie Onlinedienste weiternutzen. Die Risiken sind dem Umfang nach hoch, der Wahrscheinlichkeit nach jedoch geringer. Dennoch sollte auf überflüssige Plugins und Einbindung von Tools in Webseiten verzichtet werden.

Zum Cookie-Opt-In:

• Werden auf Webseiten Social Plugins, Videos, Tracking- und Onlinemarketing-Tools eingesetzt, die Daten der Nutzer erheben, müssen Websitebetreiber eine Einwilligung der Nutzer einholen.
• Cookie-Opt-In-Banner werden zur Pflicht.
• Eine Ausnahme kann nur dann gemacht werden, wenn keine Daten auf Geräten der Nutzer gespeichert oder aus diesen ausgelesen werden (d.h. keine Cookies und vergleichbare Technologien zum Einsatz kommen).
• Die Websitebesucher müssen über die eingesetzten Dienste informiert werden, weswegen die Datenschutzerklärungen sie umfassen sollten.
• Die Einwilligungspflicht gilt für Unternehmen und für private Websitebetreiber.

Zum Verbandklagerecht:

• Verbände dürfen Datenschutzverstöße abmahnen.
• Daneben sind datenschutzrechtliche Sanktionen möglich.

Fazit

Die Entscheidungen zur Abmahnbarkeit und zum Cookie-Opt-In sind nicht angenehm, aber nach meiner Ansicht so vertretbar. Es kommt zwar zuerst eine Cookie-Banner-Flut auf uns zu, aber hoffentlich wird es bald bessere browserinterne Verfahren zur Opt-In-Einholung geben.

Anders sehe ich es im Hinblick auf die gemeinsame Verantwortlichkeit. Nach meiner Ansicht ist es ein bürokratischer Unsinn die Nutzer von Onlinediensten für die Datenverarbeitungen ihrer Betreiber zur Verantwortung ziehen zu wollen. Niemand kann derartige Urteile nachvollziehen, geschweige denn in ihrer Konsequenz umsetzen.

Währenddessen verhängt die US-Aufsichtsbehörde ein Bußgeld von 5 Milliarden Dollar gegen Facebook und ordnet strengere Datenschutzmaßnahmen an. Man muss wohl nicht lange überlegen, welche Methode zu mehr Verständnis für den Datenschutz führt.

tl;dr: EuGH beschießt eine Opt-In-Pflicht für Cookies und während in den USA ein 5 Mrd.-Bußgeld gegen Facebook verhängt wird, wird es in der EU möglich, Facebook-Nutzer direkt abzumahnen. So schafft man kein Vertrauen in den Datenschutz.

---

Tipp für mehr Rechtssicherheit – unsere Generatoren:

Opt-In-Empfehlung für WordPress (für Cookies und eingebundene Inhalte):

(Affiliate-Link, d.h. wir erhalten beim Kauf eine Provision.)

---