Facebook Like Button, Facebook Insights – Warum „gemeinsame Verantwortung“ immer wichtiger wird

Gefällt mir

Der EuGH hat innerhalb kurzer Zeit bereits 2 Funktionen von Facebook als Bestandteile „gemeinsamer Verantwortlichkeit“ eingestuft. Zum einen gilt dies für Facebook Insights (Urteil vom 5. Juni 2018 - Az. C-210/16) sowie für den Facebook Like-Button (Urteil vom 29. Juli 2019 - Az. C‑40/17). Folgende Probleme sollten Sie jetzt beachten, wenn Sie Social-Media-Sites betreiben.

Was ist gemeinsame Verantwortlichkeit?

Die Definition der gemeinsamen Verantwortlichkeit findet sich in Art. 26 Abs. 1 DSGVO und lautet zunächst einfach:

„Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche.“

Hinter dieser Definition steckt jedoch weit mehr. Wenn von einer gemeinsamen Verantwortlichkeit auszugehen ist, dann müssen die an der Verarbeitung beteiligten Unternehmen einen Vertrag zur gemeinsamen Verantwortlichkeit abschließen. In diesem müssen Sie unter anderem klar darstellen, wer welchen Informationspflichten nachkommt.

Dadurch, dass die Rechtsprechung den Begriff des Verantwortlichen immer extensiver auslegt (vgl. EuGH MMR 2014, Seite 455, Rdnr. 34 – Google Spain) gewinnt auch die gemeinsame Verantwortlichkeit immer mehr an Bedeutung.

Zur Annahme der gemeinsamen Verantwortlichkeit genügt es nach Ansicht des EUGH bereits, wenn ein Verantwortlicher einen anderen Verantwortlichen zur Verarbeitung veranlasst oder ermuntert (EUGH, U. v. 10.7.2018 – Az. C 25/17, Rn. 70 - Zeugen Jehovas).

Je partnerschaftlicher eine Zusammenarbeit ausgestaltet ist, desto eher ist von einer gemeinsamen Verantwortlichkeit auszugehen. Zudem setzt die gemeinsame Verarbeitung voraus, dass jeder der Beteiligten einen bestimmenden tatsächlichen Einfluss auf die Datenverarbeitung nimmt (Kartheuser/Nabulsi: Abgrenzungsfragen bei gemeinsam Verantwortlichen, MMR 2018, 717)

Für die Beurteilung der gemeinsamen Verantwortlichkeit kommt es nicht auf die „Gleichwertigkeit“ der Verantwortlichkeit an (vgl. EuGH, 05.06.2018 - C-210/16). Entscheidend ist lediglich die potentielle Fähigkeit beider Parteien auf die Mittel und den Zweck Einfluss zu nehmen.

Was bedeutet dies für die Einbindung des Facebook Like Button bzw. der Verwendung von Facebook Insights?

Die Verwendung von Social Plugins, bei denen von einer gemeinsamen Verantwortlichkeit auszugehen ist, ist rechtlich schwierig. Besteht kein Vertrag zur gemeinsamen Verantwortlichkeit ist aus rechtlicher Sicht ausdrücklich von der Verwendung der entsprechenden Plugins abzuraten.

Dies gilt insbesondere vor der Bußgeldandrohung in Art. 83 Abs. 4 DSGVO.

Im Hinblick auf Facebook Insights bietet Facebook inzwischen über ihre AGB ein „Page Controller Addendum“ zur gemeinsamen Verantwortlichkeit an. Ob dieser den rechtlichen Bedingungen der DSGVO entspricht, ist aktuell umstritten. Die Datenschutzkonferenz (DSK), dem Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, hat mit Stellungnahme vom 01.04.2019 (https://bit.ly/2LLUXV6) die Maßnahmen von Facebook als unzureichend eingestuft.

Nach der Aufassung der DSK ist ein datenschutzkonformer Betrieb einer Fanpage aktuell nicht möglich. Dies gilt zumindest dann, wenn Facebook Insights verwendet wird.

Auch im Hinblick auf den von Facebook noch zu entwickelnden „Vertrag“ im Hinblick auf den Facebook-Like-Button ist zu erwarten, dass dieser von der DSK kritisiert wird.

Gilt dies auch für weitere Social Plugins?

Die gemeinsame Verantwortlichkeit ist zunächst stets am konkreten Einzelfall festzumachen (WP 169 der Artikel-29-Gruppe, S. 25) und bedarf daher einer individuellen Überprüfung.

Solange durch die Rechtsprechung ungeklärt ist, welche Plugins der gemeinsamen Verantwortlichkeit unterliegen, verbleibt bei der Verwendung von Social Media Kanälen immer ein Restrisiko.

Auf Anfrage unseres Kooperationspartners, der Website-Check GmbH im Hinblick auf Facebook Insights haben die angeschriebenen Social Media Plattformen sich bedeckt gehalten oder eine „gemeinsame Verantwortlichkeit“ verneint.

Allerdings ist zu erwarten, dass die Rechtsprechung zum Facebook-Like-Button sich auch auf die anderen Social Plugins auswirken wird, da diese ähnliche technische und inhaltliche Funktionen aufweisen.

Brauche ich jetzt zwingend eine Einwilligung vom Seitennutzer?

Ein viel diskutierter Punkt im Hinblick auf das Urteil des EuGH in Sachen Facebook-Like-Button stellt die Frage dar, ob ich jetzt für alles eine Einwilligung benötige.

Der EuGH hat die in Deutschland nicht umgesetzte Cookie-Richtlinie (Richtlinie 2002/58) und die Datenschutzrichtlinie (95/46/EG) als Ausgangspunkt seiner Überlegungen genommen.

Zwar stammt der entschiedene Fall aus der Zeit vor der DSGVO, es ist jedoch zu erwarten, dass der EuGH im Hinblick auf die DSGVO die gleichen Rechtsüberlegungen anstellen wird.

Demnach benötigt man nach Ansicht des EuGH immer dann eine Einwilligung, wenn entweder eine

Speicherung von Informationen [vorliegt] oder [ein] Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind [erfolgt]“.

Dies bedeutet, dass beim Setzen von Cookies eine Einwilligung erforderlich ist. Diese Ansicht wird in abgeschwächter Form auch von der DSK und dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit in Baden-Württemberg (LfDI BW) vertreten. In dem Blogbeitrag  bei unserem Kooperationspartner haben wir die entsprechende Ansicht des LfDI BW und der DSK bereits dargestellt (https://bit.ly/2GDRCCi). Auch die deutschen Aufsichtsbehörden vertreten die Ansicht, dass für Cookies, die Daten an Dritte übertragen, eine Einwilligung benötigt wird. Dies gilt nach Ansicht des LfDI BW insbesondere für die so genannte „Reichweitenanalyse“, also Webtracking.

Was sollte ich jetzt tun?

Wer absolut auf der rechtlich sicheren Seite stehen möchte, sollte von der Verwendung der Tools Facebook Insights und Facebook-Like-Button Abstand nehmen.

Wer auf Social-Media-Like-Buttons nicht verzichten möchte, der kann z.B. auch einen einfachen Link zu seiner Social-Media-Site setzen oder eine 2-Klick-Lösung verwenden, bei der sichergestellt ist, dass der Kunde selbst bestimmen kann ab wann seine Daten an Facebook übertragen werden. Das bloße Aufrufen der Seite führt dann zumindest nicht zu einer Datenübertragung an Facebook.

Zumindest sollte der EuGH Auffassung dahingehend gefolgt werden, dass bei der Verwendung von Facebook Insights bzw. dem Facebook-Like-Button die ausdrückliche Einwilligung des Nutzers zur Datenübertragung an Facebook eingeholt wird. Zudem sollte ein entsprechender Hinweis in der Datenschutzerklärung der Website aufgenommen werden.

Bildquelle: Mizter_x94 auf pixabay.com

Benjamin Schmidt
Autor: Benjamin Schmidt
Diplomjurist
Über den Autor:
Herr Diplomjurist Benjamin Schmidt gehört dem Team von DURY bereits seit Januar 2016 an. Er ist Leiter der Website-Check Abteilung und ist in dieser Funktion zuständig für deren technischen Systeme im Zusammenhang mit der rechtlichen Prüfung von Webseiten und Online-Shops. Seine Abteilung bildet die Schnittstelle zur Website-Check GmbH, die ebenfalls der DURY Gruppe angehört. Er unerstützt zudem das Dezernat von Rechtsanwalt Marcus Dury LL.M.Marcus Dury LL.M. im Bereich der Vertragsbearbeitung und Beratung in IT-Projekten.

datenschutz luxemburg 2019 DURY cover

Jetzt bestellen: DURY / KERZ - Datenschutz in Luxemburg

Dieses Handbuch gibt einen praxisnahen Einblick in die Besonderheiten des luxemburgischen Datenschutzrechts und deren Zusammenspiel mit der Datenschutzgrundverordnung (DSGVO). Seit dem 25. Mai 2018 ist die DSGVO wirksam. Das neue luxemburgische Datenschutzgesetz ist seit dem 20. August 2018 in allen Datenverarbeitungsprozessen mit Bezug zu Luxemburg ergänzend zu der DSGVO zu beachten.
Im ersten Teil dieses Buches erfahren Sie, welche neuen gesetzlichen Anforderungen die DSGVO und das neue luxemburgische Datenschutzgesetz an Unternehmen in Luxemburg bzw. Konzernstrukturen mit Bezug zu Luxemburg stellen.
Im zweiten Teil des Buches finden Sie eine systematische Darstellung der DSGVO und des luxemburgischen Datenschutzgesetzes.
Es soll Ihnen im Unternehmensalltag helfen, datenschutzrechtliche Vorgaben in Luxemburg einzuhalten und diese in der Praxis mit möglichst wenig Aufwand umzusetzen.
Das Buch, inklusive des Textes des luxemburgischen Datenschutzgesetzes, ist in drei Sprachen erhältlich: Französisch, Englisch und Deutsch. Die deutsche und englische Übersetzung des Gesetzestextes sind zudem von der luxemburgischen Aufsichtsbehörde (CNPD) autorisiert, sodass Sie sicher sein können, dass Ihnen bei der Anwendung der Übersetzungen kein Nachteil gegenüber der Anwendung des ursprünglichen Gesetzeswortlauts entsteht.

Zielgruppe

Dieses Praxishandbuch richtet sich an alle, die sich mit dem Thema Datenschutz in Luxemburg beruflich beschäftigen, z. B. Datenschutzbeauftragte in Unternehmen oder Vereinen, Berater, Geschäftsführer oder sonstige IT-Verantwortliche.

Bestellen Sie jetzt per Fax unter +49 (0) 8581 754 oder auf www.shop.ruw.de

 

*Wichtiger Hinweis:

Alle Leistungen, außer der Bearbeitung von Filesharing-Fällen für Verbraucher i.S.d. § 13 BGB, richten sich ausschließlich an Unternehmer i.S.d. § 14 BGB, nicht an Verbraucher i.S.d. § 13 BGB! Alle Preisangaben außerhalb des Bereichs der Abwehr von urheberrechtlichen Abmahnung wegen Filesharings erfolgen daher als Netto-Preise.

© 2019 DURY Rechtsanwälte