Am 29. Juli 2019 hat sich der Europäische Gerichtshof (EuGH) in einem Urteil zum datenschutzkonformen Einsatz von Social Media Plugins geäußert und – in Fortführung seiner Facebook Fanpage Entscheidung vom 5. Juni 2018 – hohe Anforderungen an den rechtmäßigen Einsatz von Social Media Plugins gestellt. Das Urteil bezieht sich zwar noch auf die alte Datenschutzrichtlinie der EU. Aufgrund der vergleichbaren Problemstellungen ist das Urteil jedoch auch unter Geltung der Datenschutz-Grundverordnung (DSGVO) von großer Bedeutung.
Der Fall
In dem Fall ging es um eine deutsche Website, welche das Social Media Plugin „Gefällt mir“ des Social Media Plugin Anbieters Facebook einsetzte. Ein Verbraucherverband hatte daraufhin die Betreiberin der Website mit dem Vorwurf verklagt, diese würde personenbezogene Daten der Besucher ohne deren Einwilligung und ohne ausreichende Information an einen Drittanbieter übermitteln. Die Website-Betreiberin hatte sich vor Gericht auf den Standpunkt gestellt, dass sie für die Verarbeitung personenbezogener Daten durch das Plugin nicht verantwortlich sei. Nachdem das Landgericht Düsseldorf der Unterlassungsklage teilweise stattgegeben hatte, legte das OLG Düsseldorf den Sachverhalt in der Berufung dem EuGH vor.
Gemeinsame Verantwortlichkeit
Der EuGH hat zunächst festgestellt, dass Website-Betreiber und Anbieter von Social Media Plugins datenschutzrechtlich gemeinsame Verantwortliche für die Übermittlung personenbezogener Daten durch das Plugin sind. Der EuGH führt damit seinen mit dem Fanpage-Urteil vom Juni 2018 eingeschlagenen Weg fort. Er stellt erneut fest, dass für eine gemeinsame datenschutzrechtliche Verantwortlichkeit nicht beide Verantwortliche Zugang zu den personenbezogenen Daten haben müssen.
Bereits die Einbindung des Plugins auf der Website genügt dem EuGH als Mitentscheidung über die Mittel der Datenverarbeitung. Zudem ergebe sich die Entscheidung über die Zwecke der Datenverarbeitung aus den eigenen wirtschaftlichen Interessen der Website-Betreiberin an der Datenübermittlung.
Nach der Entscheidung des EuGH fällt die weitere Verarbeitung der über das Social Media Plugin übermittelten Daten durch den Plugin-Anbieter dagegen ausschließlich in dessen Verantwortlichkeit. Für die datenschutzrechtliche Information der Nutzer und das Bestehen einer Rechtsgrundlage für diese weitere Verarbeitung ist daher allein der Anbieter des Plugins verantwortlich. Wie dies künftig von den Anbietern gelöst werden wird, ist aktuell offen.
Rechtsgrundlage für den Einsatz von Social Media Plugins
Der EuGH hat in dem Urteil die Möglichkeit angesprochen, dass die Verarbeitung personenbezogener Daten durch Social Media Plugins zur Wahrung der berechtigten Interessen der Verantwortlichen gerechtfertigt sein kann. Unter welchen Umständen dies konkret der Fall sein kann, lässt der EuGH jedoch weitgehend offen. Die deutschen Datenschutzaufsichtsbehörden haben an die Rechtfertigung eines Einsatzes von Cookies zur Wahrung berechtigter Interessen zuletzt vergleichsweise hohe Anforderungen gestellt. Danach erscheint es unwahrscheinlich, dass die deutschen Datenschutzaufsichtsbehörden den Einsatz von Social Media Plugins zu Werbezwecken gemäß Art. 6 Abs. 1 lit. f) DSGVO als gerechtfertigt ansehen werden.
Einwilligung / Information vor Datenübermittlung
Der EuGH betont in seinem Urteil, dass der Website-Betreiber eine Einwilligung der Nutzer vor einer Übermittlung personenbezogener Daten an den Anbieter des Social Media Plugins einholen muss. Auch wenn der Website-Betreiber die Verarbeitung zur Wahrung berechtigter Interessen vornimmt, hat er den Nutzer nach Ansicht des EuGH vor der Übermittlung der Daten über diese Verarbeitung zu informieren. Da Social Media Plugins regelmäßig personenbezogene Daten der Nutzer (wie z.B. die IP-Adresse) bereits mit dem Seitenaufruf übermitteln, muss der Betreiber der Website – ähnlich wie beim Einsatz von Cookies – sicherstellen, dass er den Nutzer bereits beim Aufruf informiert bzw. die Einwilligung des Nutzers einholt.
Handlungsempfehlungen
Für Unternehmen bedeutet das Urteil, dass sie für eine rechtswirksame Einbindung von Social Media Plugins künftig mehr Aufwand betreiben müssen.
Fazit
Das Urteil des EuGH verschärft die rechtlichen Anforderungen an den rechtskonformen Einsatz von Social Media Plugins. Der datenschutzkonforme Einsatz von Social Media Plugins auf der Website ist für Aufsichtsbehörden und Wettbewerber ohne großen Aufwand (gegebenenfalls auch automatisiert) zu prüfen. Somit besteht bei datenschutzrechtlichen Fehlern in diesem Bereich ein vergleichsweise hohes Verfolgungsrisiko. Unternehmen sollten daher die Anforderungen des EuGH an den rechtskonformen Einsatz möglichst zügig umsetzen.