Facebook Like Button, Facebook Insights – Warum „gemeinsame Verantwortung“ immer wichtiger wird

Der EuGH hat innerhalb kurzer Zeit bereits 2 Funktionen von Facebook als Bestandteile „gemeinsamer Verantwortlichkeit“ eingestuft. Zum einen gilt dies für Facebook Insights (Urteil vom 5. Juni 2018 - Az. C-210/16) sowie für den Facebook Like-Button (Urteil vom 29. Juli 2019 - Az. C‑40/17). Folgende Probleme sollten Sie jetzt beachten, wenn Sie Social-Media-Sites betreiben.

Was ist gemeinsame Verantwortlichkeit?

Die Definition der gemeinsamen Verantwortlichkeit findet sich in Art. 26 Abs. 1 DSGVO und lautet zunächst einfach:

„Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche.“

Hinter dieser Definition steckt jedoch weit mehr. Wenn von einer gemeinsamen Verantwortlichkeit auszugehen ist, dann müssen die an der Verarbeitung beteiligten Unternehmen einen Vertrag zur gemeinsamen Verantwortlichkeit abschließen. In diesem müssen Sie unter anderem klar darstellen, wer welchen Informationspflichten nachkommt.

Dadurch, dass die Rechtsprechung den Begriff des Verantwortlichen immer extensiver auslegt (vgl. EuGH MMR 2014, Seite 455, Rdnr. 34 – Google Spain) gewinnt auch die gemeinsame Verantwortlichkeit immer mehr an Bedeutung.

Zur Annahme der gemeinsamen Verantwortlichkeit genügt es nach Ansicht des EUGH bereits, wenn ein Verantwortlicher einen anderen Verantwortlichen zur Verarbeitung veranlasst oder ermuntert (EUGH, U. v. 10.7.2018 – Az. C 25/17, Rn. 70 - Zeugen Jehovas).

Je partnerschaftlicher eine Zusammenarbeit ausgestaltet ist, desto eher ist von einer gemeinsamen Verantwortlichkeit auszugehen. Zudem setzt die gemeinsame Verarbeitung voraus, dass jeder der Beteiligten einen bestimmenden tatsächlichen Einfluss auf die Datenverarbeitung nimmt (Kartheuser/Nabulsi: Abgrenzungsfragen bei gemeinsam Verantwortlichen, MMR 2018, 717)

Für die Beurteilung der gemeinsamen Verantwortlichkeit kommt es nicht auf die „Gleichwertigkeit“ der Verantwortlichkeit an (vgl. EuGH, 05.06.2018 - C-210/16). Entscheidend ist lediglich die potentielle Fähigkeit beider Parteien auf die Mittel und den Zweck Einfluss zu nehmen.

Was bedeutet dies für die Einbindung des Facebook Like Button bzw. der Verwendung von Facebook Insights?

Die Verwendung von Social Plugins, bei denen von einer gemeinsamen Verantwortlichkeit auszugehen ist, ist rechtlich schwierig. Besteht kein Vertrag zur gemeinsamen Verantwortlichkeit ist aus rechtlicher Sicht ausdrücklich von der Verwendung der entsprechenden Plugins abzuraten.

Dies gilt insbesondere vor der Bußgeldandrohung in Art. 83 Abs. 4 DSGVO.

Im Hinblick auf Facebook Insights bietet Facebook inzwischen über ihre AGB ein „Page Controller Addendum“ zur gemeinsamen Verantwortlichkeit an. Ob dieser den rechtlichen Bedingungen der DSGVO entspricht, ist aktuell umstritten. Die Datenschutzkonferenz (DSK), dem Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, hat mit Stellungnahme vom 01.04.2019 (https://bit.ly/2LLUXV6) die Maßnahmen von Facebook als unzureichend eingestuft.

Nach der Aufassung der DSK ist ein datenschutzkonformer Betrieb einer Fanpage aktuell nicht möglich. Dies gilt zumindest dann, wenn Facebook Insights verwendet wird.

Auch im Hinblick auf den von Facebook noch zu entwickelnden „Vertrag“ im Hinblick auf den Facebook-Like-Button ist zu erwarten, dass dieser von der DSK kritisiert wird.

Gilt dies auch für weitere Social Plugins?

Die gemeinsame Verantwortlichkeit ist zunächst stets am konkreten Einzelfall festzumachen (WP 169 der Artikel-29-Gruppe, S. 25) und bedarf daher einer individuellen Überprüfung.

Solange durch die Rechtsprechung ungeklärt ist, welche Plugins der gemeinsamen Verantwortlichkeit unterliegen, verbleibt bei der Verwendung von Social Media Kanälen immer ein Restrisiko.

Auf Anfrage unseres Kooperationspartners, der Website-Check GmbH im Hinblick auf Facebook Insights haben die angeschriebenen Social Media Plattformen sich bedeckt gehalten oder eine „gemeinsame Verantwortlichkeit“ verneint.

Allerdings ist zu erwarten, dass die Rechtsprechung zum Facebook-Like-Button sich auch auf die anderen Social Plugins auswirken wird, da diese ähnliche technische und inhaltliche Funktionen aufweisen.

Brauche ich jetzt zwingend eine Einwilligung vom Seitennutzer?

Ein viel diskutierter Punkt im Hinblick auf das Urteil des EuGH in Sachen Facebook-Like-Button stellt die Frage dar, ob ich jetzt für alles eine Einwilligung benötige.

Der EuGH hat die in Deutschland nicht umgesetzte Cookie-Richtlinie (Richtlinie 2002/58) und die Datenschutzrichtlinie (95/46/EG) als Ausgangspunkt seiner Überlegungen genommen.

Zwar stammt der entschiedene Fall aus der Zeit vor der DSGVO, es ist jedoch zu erwarten, dass der EuGH im Hinblick auf die DSGVO die gleichen Rechtsüberlegungen anstellen wird.

Demnach benötigt man nach Ansicht des EuGH immer dann eine Einwilligung, wenn entweder eine

„ Speicherung von Informationen [vorliegt] oder [ein] Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind [erfolgt]“.

Dies bedeutet, dass beim Setzen von Cookies eine Einwilligung erforderlich ist. Diese Ansicht wird in abgeschwächter Form auch von der DSK und dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit in Baden-Württemberg (LfDI BW) vertreten. In dem Blogbeitrag  bei unserem Kooperationspartner haben wir die entsprechende Ansicht des LfDI BW und der DSK bereits dargestellt (https://bit.ly/2GDRCCi). Auch die deutschen Aufsichtsbehörden vertreten die Ansicht, dass für Cookies, die Daten an Dritte übertragen, eine Einwilligung benötigt wird. Dies gilt nach Ansicht des LfDI BW insbesondere für die so genannte „Reichweitenanalyse“, also Webtracking.

Was sollte ich jetzt tun?

Wer absolut auf der rechtlich sicheren Seite stehen möchte, sollte von der Verwendung der Tools Facebook Insights und Facebook-Like-Button Abstand nehmen.

Wer auf Social-Media-Like-Buttons nicht verzichten möchte, der kann z.B. auch einen einfachen Link zu seiner Social-Media-Site setzen oder eine 2-Klick-Lösung verwenden, bei der sichergestellt ist, dass der Kunde selbst bestimmen kann ab wann seine Daten an Facebook übertragen werden. Das bloße Aufrufen der Seite führt dann zumindest nicht zu einer Datenübertragung an Facebook.

Zumindest sollte der EuGH Auffassung dahingehend gefolgt werden, dass bei der Verwendung von Facebook Insights bzw. dem Facebook-Like-Button die ausdrückliche Einwilligung des Nutzers zur Datenübertragung an Facebook eingeholt wird. Zudem sollte ein entsprechender Hinweis in der Datenschutzerklärung der Website aufgenommen werden.

Bildquelle: Mizter_x94 auf pixabay.com