…zumindest aktuell und wenn es darum geht, sogenannte „Social Media Plugins“ auf seiner eigenen Webseite zu installieren bzw. einzubinden. Wer beispielsweise den „Gefällt mir“-Button von Facebook™ in seiner Webseite einbindet, sodass personenbezogene Daten des Seitenbesuchers an Facebook™ übermittelt werden, ist gemeinsam mit dem sozialen Netzwerk verantwortlich und muss eine Einwilligung seiner Webseitenbesucher einholen.
Ausgangslage
Spätestens seit Inkrafttreten der DSGVO am 25. Mai 2018 diskutieren Datenschützer und Juristen rund um den Globus darüber, wie mit den sogenannten „Social-Media-Plugins“, insbesondere mit denen von Facebook™, aus Sicht des Datenschutzes umzugehen ist.
Bei den Plugins handelt es sich nämlich nicht nur um eine harmlose Grafik, welche beim Anklicken auf eine bestimmte andere Webseite verlinkt, sondern um kleine Programme, die auf einer Webseite eingebunden werden und in der Regel die Aktivitäten der Webseitenbesucher inkl. einiger personenbezogener Daten an den Betreiber der verlinkten Homepage, also an den Herausgeber des Plugins, übermitteln.
Hintergrund ist natürlich, möglichst viele Daten über das Nutzerverhalten der Webseitenbesucher zu sammeln, damit möglichst zielgerichtete Werbung bereitgestellt werden kann und somit am Ende des Tages möglichst viel Geld zu verdienen.
Das Problem hierbei ist, dass diese Plugins die Daten ungefragt an den verlinkten Webseitenbetreiber übermitteln. Dies geschieht in der Regel sogar dann, wenn das Plugin noch gar nicht angeklickt wurde und vor allen Dingen ohne den Betroffenen, dessen Daten übermittelt werden, vorher um Erlaubnis gefragt zu haben.
Genau mit dieser Thematik hat sich vergangene Woche nun der Europäische Gerichtshof (EuGH) befasst und diesbezüglich ein weitreichendes Urteil gesprochen.
Das aktuelle Urteil des EuGH
Anlass für den Urteilsspruch war ein datenschutzrechtliches Vorlageverfahren aus Deutschland, bei dem es um den Einsatz des „Gefällt mir“-Buttons von Facebook™ ging.
Hintergrund war, dass mit dem Besuch der Webseite eines großen Bekleidungshauses sowohl die IP-Adresse als auch der Browser-String des Nutzers an Facebook Irland übermittelt werden und dies unabhängig davon geschieht, ob der Nutzer den „Gefällt mir“-Button anklickt und sogar dann, wenn der Nutzer gar nicht über ein Facebook-Nutzerkonto verfügt.
Die Luxemburger Richter entschieden, dass die Webseitenbetreiber, die einen solchen „Gefällt-mir“– Button auf ihrer Seite einbinden, für die Einhaltung datenschutzrechtlicher Vorgaben ebenso verantwortlich sind, wie Facebook™ und dass es an ihnen ist, die Nutzer über die Verarbeitung ihrer Daten zu informieren und eine entsprechende Einwilligung der Nutzer einzuholen.
Das ausführliche Urteil findest Du hier.
Konsequenzen des Urteils
Das Urteil hat zwei wesentliche Dinge für alle Webseitenbetreiber, die ein „Social-Media-Plugin“ von Facebook™ nutzen oder nutzen wollen, zur Folge:
- Die Nutzer der Webseite müssen vor der Erhebung und Übermittlung der Daten an Facebook™ über die gemeinsame Datenverarbeitung mit Facebook™ in einer geeigneten Datenschutzerklärung informiert werden.
- Die Nutzer müssen die Möglichkeit haben, der Datenübermittlung vor der Erhebung und Übermittlung zu widersprechen bzw. die Nutzer müssen vor der Erhebung und Übermittlung der Daten an Facebook ihre freiwillige Einwilligung in die Erhebung und Übermittlung erklären.
Hierzu ein kleiner Exkurs, was die Begriffe „Einwilligung“ und „Gemeinsame Verantwortung“ im Sinne der Datenschutzgesetze bedeuten:
1. Einwilligung:
- Der Betroffene muss wissen, in was er einwilligt, bevor er es tut.
- Die Einwilligung muss immer freiwillig sein, d. h. die Nutzung einer Webseite muss auch ohne diese Einwilligung möglich sein.
- Die Einwilligung kann jederzeit formlos für die Zukunft widerrufen werden.
2. Gemeinsame Datenverarbeitung bzw. -verantwortung:
Art. 26 DSGVO sagt aus, dass eine gemeinsame Verarbeitung von personenbezogenen Daten dann und nur dann erlaubt ist, wenn es eine Vereinbarung dazu zwischen den gemeinsam Verantwortlichen gibt, die bestimmte Pflichtinhalte hat. Nach heutigem Stand existiert eine solche Vereinbarung mit Facebook™ aber (noch) nicht. Die aktuell von Facebook™ zur Verfügung gestellten Vereinbarungen umfassen das Thema nicht vollumfassend und rechtlich ausreichend.
3. Die Folgen einer fehlenden Einwilligung oder Vereinbarung gemäß Art. 26 DSGVO:
- Ohne die rechtlich korrekte Einwilligung eines Betroffenen ist die Datenverarbeitung, hier die Erhebung und Weiterleitung der Daten, gemäß Art. 6 DSGVO nicht erlaubt.
- Ohne eine rechtlich korrekte Vereinbarung zur gemeinsamen Datenverarbeitung ist die gemeinsame Datenverarbeitung nicht erlaubt.
Dies bedeutet, dass der Webseitenbetreiber sich diversen und evtl. kostenintensiven Risiken aussetzt, die von Schadensersatzansprüchen Betroffener bis hin zu Geldstrafen reichen können.
Was Du als Webseitenbetreiber jetzt tun kannst bzw. solltest
Das Urteil hat zunächst zur Folge, dass alle Webseitenbetreiber ihre Nutzer vor der Erhebung und Übermittlung der Daten an Facebook™ über diese Datenverarbeitung informieren und eine Einwilligung einholen müssen.
Sollte dies aktuell nicht möglich sein, sollten alle „Social-Media-Plugins“ aktuell von der Webseite entfernt werden, bis die technischen und rechtlichen Voraussetzungen geschaffen sind.
Wie geht es weiter?
Es ist zu erwarten, dass Facebook™, ähnlich wie im Fall der Facebook-Fanpages, eine Standardvereinbarung über die gemeinsame Verantwortung zur Datenverarbeitung zur Verfügung stellen wird, auf welche der Webseitenbetreiber dann in seiner Datenschutzerklärung verweisen kann.
Die notwendige Einwilligung kann durch die Einbindung besonderer Plugins, wie etwa dem „Shariff-Button“, einem Open-Source-Programm, oder der „Zwei-Klick-Opt-In-Lösung“ erreicht werden, womit Webseitenbetreiber eine automatische Übermittlung von personenbezogenen Daten an Facebook & Co. bei Besuch des Internetauftritts zunächst unterbinden. Erst mit einem bzw. zwei vorgeschalteten Klicks wird dem Nutzer das Teilen von Inhalten ermöglicht und somit der Kontakt zwischen Nutzer und sozialem Netzwerk hergestellt.
Darüber hinaus wird in Datenschutzkreisen über die Möglichkeit diskutiert, im Cookie-Banner auf die „Social-Media-Plugins“, ihre Funktionsweise und das Widerspruchsrecht hinzuweisen. Hier ist aktuell jedoch sehr fraglich, ob die deutschen Datenschutzaufsichtsbehörden, bei den schon länger anhaltenden Diskussionen um den Cookie-Banner, ihren Segen geben werden.
Letztendlich dürfte die Entscheidung zum „Gefällt-mir“-Button von Facebook™ in der logischen Konsequenz auch Auswirkungen auf andere Social Media Plugins wie etwa Instagram™, Twitter™ oder XING™ haben, da auch diese Plugins gerne auf Webseiten eingebunden werden. Auch hier ist der Webseitenbetreiber gemeinsam mit dem Plugin-Anbieter verantwortlich.
Diese grundsätzliche Entscheidung des EuGH wird aller Wahrscheinlichkeit dann auch Auswirkungen auf alle Analyse-Tools, wie beispielsweise GOOGLE-Analytics, haben, denn auch hier verarbeiten die Analyse-Tool-Anbieter mit dem Webseitenbetreiber in gemeinsamer Verantwortung personenbezogene Daten.
Fazit
Aufgrund des aktuellen Urteils empfehlen wir derzeit, alle „Social-Media-Plugins“ von Deiner Webseite zu entfernen, bis die Anbieter dieser Plugins die rechtlichen Voraussetzungen in Form einer Vereinbarung zur gemeinsamen Datenverarbeitung erfüllt haben.
Danach solltest Du die Plugins aber auch erst dann wieder einbinden und installieren, wenn Deine Datenschutzerklärung angepasst und eine technische Lösung auf Deiner Webseite implementiert wurde, die eine Erhebung und Weiterleitung der personenbezogenen Daten ohne eine vorherige Einwilligung der Seitenbesucher verhindert und eine aktive und freiwillige Einwilligung in die Datenverarbeitung über eine sogenannte „Opt-In-Lösung“ ermöglicht.
Hilfe und Beratung
Als Teilnehmer am Datenschutz-Rahmenvertrag zwischen blau direkt und basucon informieren wir Dich nicht nur regelmäßig über aktuelle Themen rund um den Datenschutz, sondern beraten Dich auch in der konkreten Umsetzung in besonderen Situationen.
Diese Beratung erstreckt sich über die Basics eines Datenschutzkonzeptes, wie die Verzeichnisse der technischen und organisatorischen Maßnahmen und der Verarbeitungstätigkeiten, bis hin zur Beratung und Unterstützung bei Datenschutzpannen oder Anfragen von Betroffenen.
Nähere Informationen zum Umfang und den Kosten des Rahmenvertrages erhältst Du unter office@basucon.de oder natürlich über Deinen Maklerbetreuer.
Wir freuen uns auf Deine Kontaktaufnahme!
