Aktuelles

Urteile, Vorfälle, Kommentierungen...
EuGH-Entscheidung zum Gefällt-mir-Button

EuGH-Entscheidung zum Gefällt-mir-Button

by 30. Juli 2019

Ein Austausch personenbezogener Daten ist immer heikel und bedarf besonderer Aufmerksamkeit. Das Problem ist oftmals, dass auch der redliche Datenverarbeiter gar nicht wirklich weiß, wer mittauscht und mitliest… ein berühmtes Beispiel ist der Gefällt-mir-Button von Facebook: Den können Webseitenbetreiber bequem bei sich auf die Webseite einbinden – aber niemand weiß so wirklich, was dann mit den Daten passiert.

Da offenbar Daten alleine schon dann an Facebook fließen, wenn ein Nutzer die Webseite besucht und der Nutzer gar nicht den Button betätigen muss, damit Daten fließen, hat das die Verbraucherzentrale NRW auf den Plan gerufen. Diese hat beispielhaft ein Unternehmen auf Unterlassung verklagt, und nun landete die Sache beim Europäischen Gerichtshof.

Der hat jetzt entschieden, dass zwischen dem Webseitenbetreiber und Facebook auch beim Gefällt-mir-Button eine gemeinsame Verantwortlichkeit für die Datenverarbeitung besteht bzw. bestehen kann. Und wie man aus dem Begriff schon herauslesen kann: Damit ist der Webseitenbetreiber auch für das Verhalten von Facebook (mit) verantwortlich.

Bevor man jetzt einen Herzinfarkt bekommt: Natürlich weiß der EuGH auch, dass der normale Webseitenbetreiber gar nicht weiß und keinen Einfluss darauf hat, was hinter den Kulissen bei Facebook passiert.

Daher hat der EuGH eine Grenze der Mit-Verantwortlichkeit gezogen: Die Verantwortlichkeit des Webseitenbetreibers endet an der Haustüre von Facebook = sobald Facebook die Daten einmal erhalten hat. Der Webseitenbetreiber ist also “nur” mit verantwortlich für die Phase der Übermittlung an Facebook. Denn, so das Argument u.a.:

Was die Zwecke dieser Vorgänge der Verarbeitung personenbezogener Daten betrifft, scheint es, dass die Einbindung des „Gefällt mir“-Buttons von Facebook durch die Webseitenbetreiberin in ihre Website ihr ermöglicht, die Werbung für ihre Produkte zu optimieren, indem diese im sozialen Netzwerk Facebook sichtbarer gemacht werden, wenn ein Besucher ihrer Website den Button anklickt. Um in den Genuss dieses wirtschaftlichen Vorteils kommen zu können, der in einer solchen verbesserten Werbung für ihre Produkte besteht, scheint die Webseitenbetreiberin mit der Einbindung eines solchen Buttons in ihre Website zumindest stillschweigend in das Erheben personenbezogener Daten der Besucher ihrer Website und deren Weitergabe durch Übermittlung eingewilligt zu haben. Dabei werden diese Verarbeitungsvorgänge im wirtschaftlichen Interesse sowohl von der Webseitenbetreiberin als auch von Facebook Ireland durchgeführt, für die die Tatsache, über diese Daten für ihre eigenen wirtschaftlichen Zwecke verfügen zu können, die Gegenleistung für die Webseitenbetreiberin gebotenen Vorteil darstellt. Daher kann, vorbehaltlich der vom vorlegenden Gericht vorzunehmenden Nachprüfung, davon ausgegangen werden, dass die Webseitenbetreiberin und Facebook Ireland gemeinsam über die Zwecke der Vorgänge des Erhebens der im Ausgangsverfahren in Rede stehenden personenbezogenen Daten und der Weitergabe durch Übermittlung entscheiden.”

Immerhin: Der EuGH stellt klar, dass die gemeinsame Verantwortlichkeit nicht grenzenlos ist, sondern eben nur die Phase der Übermittlung an Facebook betrifft. Für alles, was danach passiert, ist Facebook selbst verantwortlich.

Ermächtigungsgrundlagen und Informationspflichten?

Aus dieser Erkenntnis heraus gibt es 3 weitere interessante und praxisrelevante Feststellungen:

Soweit sich der Webseitenbetreiber wie auch Facebook auf ihr berechtigtes Interesse (vgl. Art. 6 Abs. 1 Buchstabe f DSGVO) berufen, dann muss dieses Interesse bei beiden Partnern gegeben sein.

Soweit der Webseitenbetreiber, der ein Social Media-Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, eine Einwilligung einholt, so muss sich diese Einwilligungserklärung auch nur auf die Phase erstrecken, für die der Webseitenbetreiber mit verantwortlich ist – also für die Übermittlung der Daten an Facebook.

Und schließlich hat der EuGH auch in Bezug auf die vom Webseitenbetreiber zu erstellenden Informationspflichten festgestellt: Die Informationspflichten durch den Webseitenbetreiber gehen auch nur soweit, wie der Betreiber auch für die Datenverarbeitung mit verantwortlich ist – also auch wieder nur bis zur Phase der Übermittlung.

Das gilt auch außerhalb von Social Media-Buttons

Die vorgenannten Grundsätze gelten nicht nur dann, wenn der Webseitenbetreiber Social Media-Plugins einbindet. Sie gelten genauso für andere Fälle der gemeinsamen Verantwortlichkeit, bspw. zwischen Veranstalter und Sponsoren usw.

Wenn Sie Unterstützung bei der Umsetzung der DSGVO brauchen, oder bei der Formulierung von Datenschutzhinweisen oder bei der Frage der Verantwortlichkeiten: Dann melden Sie sich gerne bei uns telefonisch unter 0721-1205060 oder schicken eine E-Mail an info@eventfaq.de

Urheberangabe für das/die Foto(s) (Symbolfoto):

  • Banner quer wir sind auf Youtube: (Foto links) © DR - Fotolia.com
  • bunter fiktiver Regenschirm schützt Männchen auf Papier: © gajus / 123RF Standard-Bild