Ein Urteil mit weitreichenden Folgen für die online Welt.
In dem Gerichtsverfahren Verbraucherzentrale NRW eV gegen Fashion ID GmbH & Co. KG hat das oberste Europäische Gericht am 29. Juli 2019 sein Urteil gefällt. Ausgangspunkt war die Frage, ob das Einbinden des Facebook Like Buttons auf einer Webseite rechtskonform war oder nicht.
Grundlage der Entscheidung
Was ist aber nun passiert? Die Firma Fashion ID ist Betreiber eines Online-Shops und hat es Besuchern des Shops ermöglicht mittels Facebook Like Button ihr Interesse an bestimmten Artikeln und Waren im sozialen Netzwerk zu zeigen. Durch die direkte Einbindung des Facebook Like Buttons wurden somit, beim Aufruf der Webseite, personenbezogene Daten der Besucher (unter anderem IP Adresse und verwendete Browser) an Facebook übermittelt.
Das Gericht musste nun darüber urteilen, ob Fashion ID rechtlich mitverantwortlich ist für die Verarbeitung dieser personenbezogenen Daten.
Gemeinsame Verantwortung mit Facebook
Kurz zusammengefasst stellte das Gericht fest, dass Fashion ID nicht dafür verantwortlich gemacht werden kann, wie Facebook nach der Übermittlung mit den Daten umgeht, wohl allerdings gemeinsam verantwortlich ist für die Übermittlung der Daten. Die gemeinsame Verantwortung bezüglich der Datenübermittlung begründet der europäische Gerichtshof damit, dass Fashion ID und Facebook gemeinsam über die Zwecke und Mittel der Datenübermittlung entscheiden. Das Oberlandesgericht Düsseldorf muss dies nun in einer Nachprüfung klären.
In der Pressemitteilung Nr. 99/19 vom Gerichtshof der Europäischen Union heißt es hierzu:
Es scheint insbesondere, dass die Einbindung des „Gefällt mir“-Buttons von Facebook durch Fashion ID in ihre Website ihr ermöglicht, die Werbung für ihre Produkte zu optimieren, indem diese im sozialen Netzwerk Facebook sichtbarer gemacht werden, wenn ein Besucher ihrer Website den Button anklickt. Um in den Genuss dieses wirtschaftlichen Vorteils kommen zu können, der in einer solchen verbesserten Werbung für ihre Produkte besteht, scheint Fashion ID mit der Einbindung eines solchen Buttons in ihre Website zumindest stillschweigend in das Erheben personenbezogener Daten der Besucher ihrer Website und deren Weitergabe durch Übermittlung eingewilligt zu haben. Dabei werden diese Verarbeitungsvorgänge im wirtschaftlichen Interesse sowohl von Fashion ID als auch von Facebook Ireland durchgeführt, für die die Tatsache, über diese Daten für ihre eigenen wirtschaftlichen Zwecke verfügen zu können, die Gegenleistung für den Fashion ID gebotenen Vorteil darstellt.
Gerichtshof der Europäischen Union
Welche Konsequenzen ergeben sich hieraus?
Wichtig für die Betreiber von Webseiten ist hierbei vor allem, dass durch die gemeinsame Verantwortung gewissen Informationspflichten auf sie zukommen. So muss der Webseitenbetreiber, zum Zeitpunkt der Erhebung der Daten, unter anderem die Besucher darüber informieren, zu welchen Zweck die Daten verarbeitet werden. Diese Informationen müssen mindestens in der Datenschutzerklärung der Webseite in einfacher und leicht zugänglicher Form enthalten sein.
Rechtsgrundlagen für die Verarbeitung
Die DSGVO sieht ein generelles Verbot der Verarbeitung von personenbezogenen Daten vor, außer es gibt eine rechtliche Grundlage nach Art. 6 bzw. Art. 9 der DSGVO. Demnach kann eine Verarbeitung von personenbezogenen Daten nur mit einer dieser Rechtsgrundlagen erfolgen.
In seinem Urteil ist der EuGH auf zwei mögliche Rechtsgrundlagen für die Verarbeitung bezogen auf diesen Fall näher eingegangen.
Rechtsgrundlage: Einwilligung durch den Besucher
Im Falle der gemeinsamen Verantwortung, bezogen auf den Facebook Like Button, braucht der Webseitenbetreiber die Einwilligung nur für den für ihn verantworteten Teil einholen. Dies bedeutet, dass die Einwilligung für die Erhebung und Übermittlung an Facebook ausreichend ist. Wichtig ist allerdings hier der Zeitpunkt, da die Einwilligung vor der Übermittlung vorliegen muss (Stichwort Opt-In).
Rechtsgrundlage: berechtigtes Interesse
Falls als Rechtsgrundlage das berechtigte Interesse dient, ist hier durch den EuGH präzisiert worden, dass bei gemeinsamer Verantwortung, im vorliegenden Fall, für beide Parteien das berechtige Interesse vorliegen muss. Dies bedeutet, dass sowohl der Webseitenbetreiber als auch Facebook ein berechtigtes Interesse an der Erhebung und Übermittlung der personenbezogenen Daten haben muss. Für diesen Fall wird sich zeigen, wie das berechtigte Interesse eines Webseitenbetreibers bezogen auf die Datenübermittlung bewertet werden muss.
Was sollten Webseitenbetreiber nun tun?
Webseitenbetreiber, die ihre Verarbeitung auf die Einwilligung stützen wollen, sollten eine Zwei-Click Lösung für die social share Buttons in Betracht ziehen. Diese kann entweder selbst implementiert werden, oder für viele gängige Systeme über Plugins ergänzt werden. Bezogen auf Wordpress, eines der populärsten CMS Systeme, sei hier Beispielshaft das Plugin Shariff erwähnt.
Achten Sie auf passende Informationstexte und klären sie ihre Besucher passend über die Verarbeitung von personenbezogenen Daten auf. Gerne helfen wir Ihnen bei der Umsetzung.
Und bedenken Sie vor allem, dass der Datenschutz nicht bei der Datenschutzerklärung auf der Homepage aufhört. Sollten Sie bei der Umsetzung der DSGVO Unterstützung wünschen treten Sie gerne mit uns in Kontakt. Unsere TÜV zertifizierten Datenschutzbeauftragten unterstützen Sie mit Rat und Tat bei der Umsetzung ihrer rechtlichen Verpflichtung zum Datenschutz.
