… wird geladen

zurück zur News-Übersicht

30.Juli 2019

Sind Social-Media Plug-Ins nicht mehr rechtskonform nutzbar?

Aus den Bereichen: TechnologieDigitalisierungDatenschutz

Management Summary

  • Website-Betreiber, die einen „Gefällt mir“-Button des Netzwerkes Facebook eingebunden haben, sind (mit)verantwortlich für die Erhebung und Übermittlung von Besucherdaten an Facebook.
  • Ihnen gegenüber können deshalb datenschutzrechtliche Auskunftsansprüche und Schadensersatzforderungen geltend gemacht sowie Bußgelder verhängt werden.
  • Die Entscheidung ist vermutlich auf andere Social-Media Plug-Ins übertragbar.
  • Derzeit begegnet die Nutzung von Social-Media Plug-Ins deshalb juristischen Bedenken.
  • Eine wirtschaftliche Risikoabwägung ist erforderlich.
  • Plug-Ins ohne messbaren Mehrwert sollten vorerst abgeschaltet werden.
  • Die Überprüfung der Datenschutzerklärung und der Cookie-Politik Ihrer Website ist erforderlich.

Was ist passiert?

Paukenschlag des europäischen Gerichtshofs: Mit der Entscheidung C-40/17 vom 29.07.2019 spricht das höchste europäische Gericht erneut Recht zum Thema Datenschutz und Facebook. Zwar erging die Entscheidung unter Zugrundlegung des alten Rechtsrahmens (vor Wirksamkeit der DSGVO), ist aber aufgrund vergleichbarer Rahmenbedingungen nach unserer Auffassung auf die derzeitige Rechtslage übertragbar.

Credo: Wer einen Facebook „Gefällt mir-Button“ auf seiner Website einbindet, ist für die Erhebung und Übermittlung von Nutzerdaten an Facebook mitverantwortlich.

Wo kommt es her?

Bereits im vergangenen Jahr entschied der EuGH, dass Betreiber einer Facebook-Fanpage datenschutzrechtlich „mitverantwortlich“ für die von Facebook vorgenommenen Datenverarbeitungen betroffener Seitenbesucher sind. Der mediale Aufschrei war groß. Reihenweise wurden Facebook-Fanpages abgeschaltet. Die Lösung des Problems erfolgte durch Facebook, indem Nutzungsbedingungen aktualisiert und Verantwortlichkeiten verteilt wurden. Die Internetgemeinde machte weiter wie bisher, ohne sich über die verbleibenden Fragen Klarheit zu verschaffen.

Nunmehr entschied der EuGH, dass auch die Nutzung des Social-Media Plug-Ins „Gefällt mir“ eine datenschutzrechtliche Mitverantwortlichkeit des Website-Betreibers verursacht. Das Gericht schränkt die Verantwortlichkeit des Website-Betreibers allerdings auf die Datenerhebung und Übermittlung an Facebook ein. Das bedeutet, für alles, was Facebook danach mit den Daten tut, ist primär Facebook verantwortlich.

Wozu dann die Aufregung?

Das Problem daran: Gegenüber einem Betroffenen ist der Website-Betreiber zunächst vollumfänglicher Ansprechpartner. Mit anderen Worten: datenschutzrechtliche Auskunftsanfragen, sowie Bußgeldbescheide und Schadensersatzforderungen können gegen jeden Mitverantwortlichen gerichtet werden.

Die datenschutzrechtliche Mitverantwortlichkeit nach Art. 26 DSGVO erfordert außerdem eine Vereinbarung über die gemeinsame Verantwortlichkeit. Ohne diese ist das Einbinden des „Gefällt mir“ Plug-Ins schon formal rechtswidrig.

Wenn Sie eine Website betreiben und Social-Media Plug-Ins einbinden, stehen Sie nach Erwägungen des Gerichts damit in der unmittelbaren Schusslinie.

Da viele Social-Media Plug-Ins (Facebook Pixel, Youtube, Instagram, Twitter, Google-Analytics etc.) vergleichbare Datenverarbeitungen vornehmen, dürften die Feststellungen des Gerichts auf einen Großteil der üblichen Website-Plug-Ins übertragbar sein.

Ist nun alles abzuschalten?

In der Regel bieten Ihnen die Dienste aktuell keine Vereinbarung über die gemeinsame Verantwortlichkeit. Die Nutzung der Plug-Ins wäre deshalb unzulässig.

Sollten Sie nun bis auf Weiteres von der Nutzung derartiger Plug-Ins absehen?

Wir empfehlen eine wirtschaftliche Risikoabwägung. Nehmen Sie die Entscheidung zum Anlass und prüfen Sie, welche Plug-Ins Ihre Website nutzt. Anschließend werten Sie aus, welche Plug-Ins Ihnen tatsächlich einen wirtschaftlichen Mehrwert bringen.

Alle Plug-Ins, die Ihnen keinen messbaren Vorteil verschaffen, sollten Sie bis zur endgültigen Klärung abschalten.

Bezüglich der anderen Plug-Ins stellen Sie den aus der Nutzung erlangten Vorteil dem möglichen Risiko einer Inanspruchnahme gegenüber. In der Regel dürfte der erlangte Vorteil aufgrund der ungewissen Rechtslage überwiegen. Das Risiko, dass ausgerechnet Ihre Website Gegenstand einer Überprüfung wird, ist insgesamt als gering einzustufen.

Was muss ich noch beachten?

Überprüfen Sie ferner die Datenschutzerklärung und die Cookie-Politik Ihrer Website.

In der Datenschutzerklärung sollten Sie über die Einbindung der Plug-Ins sowie die Datenübermittlungen an den jeweiligen Dienst – soweit es Ihnen möglich ist – informieren.

Setzen die eingebunden Social-Media Plug-Ins Cookies auf den Endgeräten Ihrer Seitenbesucher (Regelfall), ist ein rechtskonformer Cookie-Banner erforderlich. Denn für alle Cookies, die nicht für den technischen Betrieb Ihrer Website erforderlich sind, benötigen Sie vor dem Setzen des Cookies die Einwilligung des Seitenbesuchers. Cookie-Hinweise á la „durch die weitere Nutzung dieser Website erklären Sie sich mit dem Setzen von (…) einverstanden“ genügen dafür nicht. Es ist eine aktive Zustimmung des Besuchers erforderlich.