Der Euro­päi­sche Gerichts­hof (EuGH) hat über den Face­book Like But­ton geur­teilt

Ein Urteil mit weit­rei­chen­den Fol­gen für die online Welt.

In dem Gerichts­ver­fah­ren Ver­brau­cher­zen­tra­le NRW eV gegen Fashion ID GmbH & Co. KG hat das obers­te Euro­päi­sche Gericht am 29. Juli 2019 sein Urteil gefällt. Aus­gangs­punkt war die Fra­ge, ob das Ein­bin­den des Face­book Like But­tons auf einer Web­sei­te rechts­kon­form war oder nicht.

Grund­la­ge der Ent­schei­dung

Was ist aber nun pas­siert? Die Fir­ma Fashion ID ist Betrei­ber eines Online-Shops und hat es Besu­chern des Shops ermög­licht mit­tels Face­book Like But­ton ihr Inter­es­se an bestimm­ten Arti­keln und Waren im sozia­len Netz­werk zu zei­gen. Durch die direk­te Ein­bin­dung des Face­book Like But­tons wur­den somit, beim Auf­ruf der Web­sei­te, per­so­nen­be­zo­ge­ne Daten der Besu­cher (unter ande­rem IP Adres­se und ver­wen­de­te Brow­ser) an Face­book über­mit­telt.

Das Gericht muss­te nun dar­über urtei­len, ob Fashion ID recht­lich mit­ver­ant­wort­lich ist für die Ver­ar­bei­tung die­ser per­so­nen­be­zo­ge­nen Daten.

Gemein­sa­me Ver­ant­wor­tung mit Face­book

Kurz zusam­men­ge­fasst stell­te das Gericht fest, dass Fashion ID nicht dafür ver­ant­wort­lich gemacht wer­den kann, wie Face­book nach der Über­mitt­lung mit den Daten umgeht, wohl aller­dings gemein­sam ver­ant­wort­lich ist für die Über­mitt­lung der Daten. Die gemein­sa­me Ver­ant­wor­tung bezüg­lich der Daten­über­mitt­lung begrün­det der euro­päi­sche Gerichts­hof damit, dass Fashion ID und Face­book gemein­sam über die Zwe­cke und Mit­tel der Daten­über­mitt­lung ent­schei­den. Das Ober­lan­des­ge­richt Düs­sel­dorf muss dies nun in einer Nach­prü­fung klä­ren.

In der Pres­se­mit­tei­lung Nr. 99/19 vom Gerichts­hof der Euro­päi­schen Uni­on heißt es hier­zu:

Es scheint ins­be­son­de­re, dass die Ein­bin­dung des „Gefällt mir“-Buttons von Face­book durch Fashion ID in ihre Web­site ihr ermög­licht, die Wer­bung für ihre Pro­duk­te zu opti­mie­ren, indem die­se im sozia­len Netz­werk Face­book sicht­ba­rer gemacht wer­den, wenn ein Besu­cher ihrer Web­site den But­ton anklickt. Um in den Genuss die­ses wirt­schaft­li­chen Vor­teils kom­men zu kön­nen, der in einer sol­chen ver­bes­ser­ten Wer­bung für ihre Pro­duk­te besteht, scheint Fashion ID mit der Ein­bin­dung eines sol­chen But­tons in ihre Web­site zumin­dest still­schwei­gend in das Erhe­ben per­so­nen­be­zo­ge­ner Daten der Besu­cher ihrer Web­site und deren Wei­ter­ga­be durch Über­mitt­lung ein­ge­wil­ligt zu haben. Dabei wer­den die­se Ver­ar­bei­tungs­vor­gän­ge im wirt­schaft­li­chen Inter­es­se sowohl von Fashion ID als auch von Face­book Ire­land durch­ge­führt, für die die Tat­sa­che, über die­se Daten für ihre eige­nen wirt­schaft­li­chen Zwe­cke ver­fü­gen zu kön­nen, die Gegen­leis­tung für den Fashion ID gebo­te­nen Vor­teil dar­stellt.

Gerichts­hof der Euro­päi­schen Uni­on

Wel­che Kon­se­quen­zen erge­ben sich hier­aus?

Wich­tig für die Betrei­ber von Web­sei­ten ist hier­bei vor allem, dass durch die gemein­sa­me Ver­ant­wor­tung gewis­sen Infor­ma­ti­ons­pflich­ten auf sie zukom­men. So muss der Web­sei­ten­be­trei­ber, zum Zeit­punkt der Erhe­bung der Daten, unter ande­rem die Besu­cher dar­über infor­mie­ren, zu wel­chen Zweck die Daten ver­ar­bei­tet wer­den. Die­se Infor­ma­tio­nen müs­sen min­des­tens in der Daten­schutz­er­klä­rung der Web­sei­te in ein­fa­cher und leicht zugäng­li­cher Form ent­hal­ten sein.

Rechts­grund­la­gen für die Ver­ar­bei­tung

Die DSGVO sieht ein gene­rel­les Ver­bot der Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten vor, außer es gibt eine recht­li­che Grund­la­ge nach Art. 6 bzw. Art. 9 der DSGVO. Dem­nach kann eine Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten nur mit einer die­ser Rechts­grund­la­gen erfol­gen.

In sei­nem Urteil ist der EuGH auf zwei mög­li­che Rechts­grund­la­gen für die Ver­ar­bei­tung bezo­gen auf die­sen Fall näher ein­ge­gan­gen.

Rechts­grund­la­ge: Ein­wil­li­gung durch den Besu­cher

Im Fal­le der gemein­sa­men Ver­ant­wor­tung, bezo­gen auf den Face­book Like But­ton, braucht der Web­sei­ten­be­trei­ber die Ein­wil­li­gung nur für den für ihn ver­ant­wor­te­ten Teil ein­ho­len. Dies bedeu­tet, dass die Ein­wil­li­gung für die Erhe­bung und Über­mitt­lung an Face­book aus­rei­chend ist. Wich­tig ist aller­dings hier der Zeit­punkt, da die Ein­wil­li­gung vor der Über­mitt­lung vor­lie­gen muss (Stich­wort Opt-In).

Rechts­grund­la­ge: berech­tig­tes Inter­es­se

Falls als Rechts­grund­la­ge das berech­tig­te Inter­es­se dient, ist hier durch den EuGH prä­zi­siert wor­den, dass bei gemein­sa­mer Ver­ant­wor­tung, im vor­lie­gen­den Fall, für bei­de Par­tei­en das berech­ti­ge Inter­es­se vor­lie­gen muss. Dies bedeu­tet, dass sowohl der Web­sei­ten­be­trei­ber als auch Face­book ein berech­tig­tes Inter­es­se an der Erhe­bung und Über­mitt­lung der per­so­nen­be­zo­ge­nen Daten haben muss. Für die­sen Fall wird sich zei­gen, wie das berech­tig­te Inter­es­se eines Web­sei­ten­be­trei­bers bezo­gen auf die Daten­über­mitt­lung bewer­tet wer­den muss.

Was soll­ten Web­sei­ten­be­trei­ber nun tun?

Web­sei­ten­be­trei­ber, die ihre Ver­ar­bei­tung auf die Ein­wil­li­gung stüt­zen wol­len, soll­ten eine Zwei-Click Lösung für die soci­al sha­re But­tons in Betracht zie­hen. Die­se kann ent­we­der selbst imple­men­tiert wer­den, oder für vie­le gän­gi­ge Sys­te­me über Plugins ergänzt wer­den. Bezo­gen auf Word­press, eines der popu­lärs­ten CMS Sys­te­me, sei hier Bei­spiels­haft das Plugin Shariff erwähnt.

Ach­ten Sie auf pas­sen­de Infor­ma­ti­ons­tex­te und klä­ren sie ihre Besu­cher pas­send über die Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten auf. Ger­ne hel­fen wir Ihnen bei der Umset­zung.

Und beden­ken Sie vor allem, dass der Daten­schutz nicht bei der Daten­schutz­er­klä­rung auf der Home­page auf­hört. Soll­ten Sie bei der Umset­zung der DSGVO Unter­stüt­zung wün­schen tre­ten Sie ger­ne mit uns in Kon­takt. Unse­re TÜV zer­ti­fi­zier­ten Daten­schutz­be­auf­trag­ten unter­stüt­zen Sie mit Rat und Tat bei der Umset­zung ihrer recht­li­chen Ver­pflich­tung zum Daten­schutz.

Die­sen Bei­trag tei­len