Auch LfDI RLP begrüßt EuGH-Urteil zum Like Button

EuGH sieht Webseiten-Betreiber und Facebook als gemeinsam verantwortlich an

[datensicherheit.de, 03.08.2019] Auch der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) nimmt Stellung zum Urteil des Europäischen Gerichtshofs (EuGH) zu dem facebook-„Like Button“: Dieser „Gefällt-mir“-Button sei ein „Social Plugin“ von facebook, welches Betreiber von Webseiten darauf zum Optimieren der Werbung für ihre Produkte einbinden könnten und worüber Nutzungsdaten der Seitenbesucher an facebook übermittelt würden. Ohne deren weiteres Zutun erfahre facebook damit, „wann von welcher IP-Adresse – und bei facebook-Mitgliedern häufig von welcher Person konkret – welche Internet-Seite aufgerufen wurde“. facebook erhalte damit Einblick in das Surfverhalten vieler Nutzer, selbst solcher, „die nicht Mitglied des Sozialen Netzwerks sind“. Der EuGH habe nun mit Urteil vom 29. Juli 2019 entschieden, „dass die Seitenbetreiber hinsichtlich dieser Übermittlungen als Verantwortliche im Sinne des Datenschutzrechts anzusehen sind“.

Verbraucherzentrale NRW klagte gegen Modehändler Fashion ID

Hintergrund des Verfahrens sei ein Rechtsstreit, mit dem sich das Oberlandesgericht Düsseldorf befasst habe. „Die Verbraucherzentrale NRW hatte gegen den deutschen Modehändler Fashion ID geklagt, der den facebook-Button in seine Webseiten eingebunden hatte.“ Schon das Aufrufen dieser Webseite löse die Übermittlung an facebook aus, das Betätigen des Buttons sei hierzu also nicht erforderlich.
Bereits 2018 habe der EuGH über die gemeinsame Verantwortung von facebook und den Betreibern sogenannter „facebook-Fanpages“ entschieden und auch dabei eine gemeinsame Verantwortung von Betreiber und facebook bejaht.

Konkrete Entscheidung des EuGH vom 29. Juli 2019:

• Verbände, die Verbraucherinteressen wahren, könnten auch bereits unter der Rechtslage der bis zum 24. Mai 2018 geltenden EU-Datenschutzrichtlinie, gegen Verletzungen des Datenschutzrechts im Namen der Verbraucher Klage erheben (Hintergrund sei, dass die Fragen de r Verbraucherzentrale noch auf der ehemaligen Datenschutzrichtlinie beruhten).
• Fashion ID und facebook seien gemeinsam verantwortlich. Fashion ID sei zwar nicht verantwortlich für die nach der Datenübermittlung durch facebook Irland vorgenommenen Datenverarbeitungsvorgänge, jedoch für das Erheben auf der Webseite und für die Übermittlung der Daten an facebook. „Diese Feststellungen gelten dem Grunde nach auch für die Datenschutz-Grundverordnung.“
• Der Betreiber einer Website (in diesem Fall: Fashion ID) müsse als (Mit-)Verantwortlicher seine Besucher zum Zeitpunkt über die Datenverarbeitung informieren (u.a. über die Datenübermittlung an facebook und die Zwecke der Verarbeitung).
• Einwilligungen der Nutzer müsse der Betreiber der Webseite nur für die von ihm mitzuverantwortenden Vorgänge einholen (hier: das Erheben und die Übermittlung der Daten) – „dies jedoch, bevor die Daten erhoben und übermittelt werden.“
• Falls die Datenverarbeitung mit der Wahrung sogenannter berechtigter Interessen gemäß Art. 6 Abs. 1 lit. f DS-GVO begründet werden soll, müsse jeder der für die Verarbeitung Verantwortlichen ein solches Interesse verfolgen. Ob im Ergebnis die Erhebung und Übermittlung an facebook mit Art. 6 Abs. 1 lit. f DS-GVO begründet werden können, lasse der EuGH offen. Dies hänge von der Abwägung der Interessen der Verantwortlichen mit den Rechten und Freiheiten der betroffenen Personen im Einzelfall ab. „Dass die Übermittlung schon durch das Aufrufen der Seite ausgelöst wird und von den Nutzern weder erkannt noch unterbunden werden kann, spricht allerdings stark gegen eine Zulässigkeit nach Art. 6 Abs. 1 lit. f DS-GVO.“

Urteil konkretisiert Verantwortlichkeit und unterstreicht Prinzipien der Transparenz und Rechtmäßigkeit

Der LfDI RLP, Prof. Dr. Dieter Kugelmann, begrüßt nach eigenen Angaben das Urteil des EuGH: „Das Urteil konkretisiert nicht nur den Begriff der gemeinsamen Verantwortlichkeit, sondern unterstreicht auch die Prinzipien der Transparenz und Rechtmäßigkeit der Verarbeitung, die maßgebliche Vorgaben der Datenschutz-Grundverordnung sind. Nutzerinnen und Nutzer müssen wissen, woran sie sind, wenn sie eine Webseite aufrufen. Die deutschen und europäischen Datenschutzaufsichtsbehörden werden das Urteil mit Blick auf die aktuelle Rechtslage eingehend auswerten.“
Dabei werde auch zu prüfen sein, welche Konsequenzen sich aus der aktuellen Rechtsprechung für die Betreiber von Internet-Angeboten und facebook-Seiten und entsprechend für die aufsichtsbehördliche Praxis des LfDI ergäben. So seien auch andere Methoden des Nutzer-Trackings, bei denen Seiten-Betreiber bereitgestellte Analyse-Tools von Drittanbietern nutzten, an diesen rechtlichen Anforderungen zu messen. Professor Kugelmann betont: „Insbesondere die Frage einer vorherigen Einwilligung der Nutzerinnen und Nutzer rückt hier in den Blickpunkt.“

Weitere Informationen zum Thema:

datensicherheit.de, 02.08.2019
Like Button: Digitalcourage begrüßt EuGH-Urteil / Heise stellt mit Open-Source-Tool „Shariff“ datenschutzkonforme Alternative berei

datensicherheit.de, 29.07.2019
Like Button: Gemeinsame Verantwortlichkeit bei Einbindung / EuGH bestätigt Mitverantwortung für Datenschutz bei Betreibern von Websites mit „Social Plugins“

datensicherheit.de, 29.07.2019
EuGH-Urteil: Enorme Verantwortung für Tausende Website-Betreiber / Dr. Bernhard Rohleder erwartet Auswirkungen auf alle gängigen „Social Media“-Plugins

t