Auf ein neues: Social Plugins auf Webseiten … Wer ist für die Erhebung der User-Daten (mit-)verantwortlich?

Kaum ein Internetnutzer kommt beim täglichen Surfen um die Social Plugins der größten Social Media Plattformen herum. Egal ob beim Online-Shopping, einer einfachen Recherche oder Multimediakonsum, die Plugins sind allgegenwärtig auf den Internetseiten vertreten. Bunt, meist mehrfach vorhanden, werben Sie um das „Like“ des Nutzers und verknüpfen dies bequem mit dessen Social Networks. Was besonders nutzerfreundlich sein soll, ist aber vor allem datenschutzrechtlich höchst bedenklich, was nun auch der EuGH mit Urteil vom 29.07.2019, C-40/17 bestätigt hat.

Der EuGH konkretisiert den Begriff des „Verantwortlichen“ im europäischen Datenschutzrecht. Im Fokus dieser Entscheidung steht die Frage: Wer ist in welcher Form für die Verarbeitung meine Daten verantwortlich? Der EuGH entschied dazu, dass sowohl der Anbieter der Plugins, als auch (wenn mit Einschränkungen) der Webseitenbetreiber gemeinsam verantwortliche sind im Sinne des Artikel 2 d der europäischen Richtlinie 95/46.

Im Rechtsstreit zwischen einem Verbraucherschutzverband und der Onlinetochter eines Modehandelsunternehmens) legte das OLG Düsseldorf dem EuGH diverse Rechtsfragen zur Vorabentscheidung bezüglich der Verarbeitung von personenbezogenen Daten vor. Im Wesentlichen machte der VerbraucherschutzverbandUnterlassungsansprüche aufgrund des Vorwurfs datenschutzrechtlicher Verstöße geltend. Im Mittelpunkt dieses Rechtsstreits stehen die von Online-Modeversandhandel auf ihrer Website eingebundenen Social Media Plugins. Diese Social Media Plugins ermöglichen es den Nutzern der Website u.a. diese zu betätigen und mit ihren Social Media Accounts zu verknüpfen. Bereits beim Aufrufen der Website wurde die jeweilige IP-Adresse des Nutzers erhoben und an den Anbieter des Plugins übermittelt. Dies geschah unabhängig davon, ob der Nutzer einen Account bei der jeweiligen Social Media Plattform hatte oder nicht. Selbst wenn der Nutzer das Social Media Plugin nicht betätigte, wurden personenbezogene Daten erhoben und an den Anbieter des Plugins übermittelt.

Muss für die Verarbeitung dieser personenbezogenen Daten nun der Webseitenbetreiber oder allein der Drittanbieter ausreichende Schutzmaßnahmen treffen und sich dafür verantworten?

Nach Artikel 2 der (früheren) europäischen Richtlinie 95/46 sind „Verantwortliche“ für die personenbezogenen Daten diejenigen, die allein oder gemeinsam über den Zweck oder die Mittel der Verarbeitung entscheiden. Diese Richtlinie wurde zwar von der Datenschutzgrundverordnung (DS-GVO) ersetzt, jedoch waren die dortigen Bestimmungen hinsichtlich des Verantwortlichen im Wesentlichen deckungsgleich mit den Artikel 24 und 26 DS-GVO., sodass sich die Rechtsprechung des EuGHs wohl auch auf die aktuell geltende Gesetzeslage übertragen lässt.
Hinsichtlich des Begriffs des Verantwortlichen orientiert sich der EuGH an seiner bisherigen Rechtsprechung (siehe auch unseren Artikel zum Urteil des EuGH vom 05.06.2018- C-210/16- Verantwortliche für Fanpagebetreiber auf Social Media Plattformen). Das Online-Modeversandhandelsunternehmen ermöglichte erst mit der Einbettung des Plug-Ins auf ihrer Website, dass personenbezogene Daten der Nutzer verarbeitet und auch an Drittanbieter übermittelt werden konnten.

Es ist daher nach Auffassung des EuGH als Mitverantwortliche im Sinne des Artikel 2 d der europäischen Richtlinie 95/46 (bzw. Artikel 24, 26 DS-GVO) zu sehen.

Jedoch schränkt der EuGH hier die Verantwortlichkeit ein, in dem er diese nur auf die Erhebung und auf die Weitergabe der personenbezogenen Daten an den Drittanbieter bejaht. Zur Begründung führt der Europäische Gerichtshof aus, bezüglich der späteren (Weiter-)Verarbeitung der personenbezogenen Daten insgesamt hätten die Beteiligten keine gemeinsame Entscheidung hinsichtlich des Zweckes und des Mittels der Verarbeitung getroffen.

 

Was hat dies nun für Auswirkungen auf die Verwendung von Plug-Ins?

Als Verantwortlicher müssen eigenständig die Vorschriften des Datenschutzes überwacht und eingehalten werden. Das bedeutet im Einzelnen: Der Informationspflicht gegenüber dem Nutzer der Website ist nachzukommen. Außerdem muss ggf. – so kein überwiegendes berechtigtes Interesse des Seitenbetreibers zu bejahen ist – eine (vorherige) ausdrückliche Einwilligung (keine sog. Opt-Out-Lösung!) des Nutzers zur Erhebung und Weitergabe seiner Daten eingeholt werden.
Dabei hat sich der EuGH auch hinsichtlich des Themas „Cookies“ geäußert und bestätigt, dass nach der europäischen Richtlinie 2002/58 EG eine vorherige Einwilligung für das Setzen von Cookies notwendig ist.
Offen ließ der EuGH im konkreten Fall, ob eine Einwilligung im Sinne des Artikel 5 Absatz 3 der europäischen Richtlinie 95/46 erforderlich sei oder ein berechtigtes Interesse im Sinne des Artikel 7 der europäischen Richtlinie 95/46 vorliege. Dies muss das OLG Düsseldorf erst noch entscheiden.

Im Ergebnis dürfte aber die Abgrenzung von Einwilligung und berechtigtem Interesse in der Praxis wenig Auswirkung haben, da schon die konsequente Erfüllung der datenschutzrechtlichen Informationspflichten im Zusammenhang mit Social Networks (unterstellt, man wisse genau, was diese mit den Daten dann vorhaben) vor (!) Datenerhebung und –weitergabe eine erhebliche „Absprungrate“ der Seitennutzer begründen würde.

 

Was sollte ein Webseitenbetreiber mithin beachten?

Empfehlenswert wäre es zunächst, eine sog. „Zwei-Klick“ Lösung einzurichten. Damit wird verhindert, dass bereits beim Aufruf einer Website mit Plugins personenbezogene Daten der Nutzer durch Plugin-Anbieter erhoben und an den Drittanbieter weitergegeben werden. Diesbezüglich sollte vorab auch ausreichend über die Verarbeitung der personenbezogenen Daten informiert werden und – vor dem Aktivieren des Plugins – eine ausdrückliche Einwilligung des Nutzers eingeholt werden.

Technisch gesehen ist die sog. „Zweiclick-Lösung“ eine gängige und regelmäßig recht leicht integrierbare Maßnahme. Vor Probleme stellt den Websitebetreiber vielmehr die Frage, was genau mit dem (dank ihm erhobenen) Daten bei dem Anbieter der Social-Media-Plugins geschieht, und mithin, wie er seine Informationspflichten wirksam erfüllen soll. Über die Zulässigkeit der nicht selten anzutreffenden Formulierung, dass auch der Seitenbetreiber über den Umfang der Verarbeitung „im Dunklen tappe“, wurde gerichtlich noch nicht entschieden.