Einwilligung bei Social Plugins? Die Fashion ID-Entscheidung des EuGH

Der Betreiber einer Website, die den „Gefällt mir“-Button von Facebook enthält, kann für das Erheben und die Übermittlung der personenbezogenen Daten der Besucher seiner Website gemeinsam mit Facebook verantwortlich sein. Dagegen ist er grundsätzlich nicht verantwortlich für die spätere Verarbeitung dieser Daten durch Facebook. Zu diesem Ergebnis gelangt der Europäische Gerichtshof in seiner kürzlich veröffentlichen Entscheidung („Fashion ID“, Urteil in der Rechtssache C-40/17, Fashion ID GmbH & Co. KG/Verbraucherzentrale NRW eV).

In dem zugrundeliegenden Sachverhalt ging es darum, dass der Betreiber der „Fashion ID“-Website einen herkömmlichen „Gefällt mir“-Button von Facebook nutzte. Dagegen klagte die Verbraucherzentrale NRW mit der Begründung, die Einbindung des „Gefällt mir“-Buttons von Facebook setze eine Einwilligung der Website-Besucher voraus. Diese würde Fashion ID aber nicht einholen. Der EuGH bestätigte nunmehr diese Auffassung im wesentlichen, verwies den Rechtsstreit aber zurück an das zuständige Gericht.

Im Wesentlichen kam der EuGH zu folgendem Ergebnis:

Facebook und Websitebetreiber sind zum Teil gemeinsam verantwortlich

Der Betreiber einer Website, der in diese Website ein Social Plugin (zum Beispiel den „Gefällt mir“-Button von Facebook) einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, ist als „Verantwortlicher“ im datenschutzrechtlichen Sinne anzusehen. Diese Verantwortlichkeit ist jedoch auf die Vorgänge beschränkt, für die er tatsächlich über die Zwecke und Mittel entscheidet, das heißt

  • das Erheben der in Rede stehenden Daten und
  • deren Weitergabe durch Übermittlung an Facebook (beziehungsweise jeden anderen Anbieter eines Social Plugins).

Das „berechtigte Interesse“ muss bei Facebook und beim Website-Betreiber vorliegen

In einer Situation, in der der Betreiber einer Website in diese ein Social Plugin einbindet, ist es erforderlich, dass der Betreiber und der Anbieter (zum Beispiel Facebook) mit diesen Verarbeitungsvorgängen jeweils ein berechtigtes Interesse (Art. 7 Buchst. f der Richtlinie 95/46) wahrnehmen, damit diese Vorgänge für jeden von ihnen gerechtfertigt sind. Dies gilt freilich nur dann, wenn es überhaupt auf ein solches berechtigtes Interesse ankommt.

Einwilligung nur beim Einsatz von Cookies erforderlich, dann aber vor Erhebung der Daten?

in einer Situation wie der des Fashion ID-Verfahrens, in der der Betreiber einer Website in diese Website ein Social Plugin einbindet, ist eine Einwilligung durch den Betreiber einzuholen, allerdings nur in Bezug auf den Vorgang, für den bzw. für die dieser Betreiber tatsächlich über die Zwecke und Mittel entscheidet. Und nur unter der Voraussetzung, dass Cookies eingesetzt werden.

Was die Einwilligung selbst betrifft, so muss diese vor dem Erheben der Daten der betroffenen Personen und deren Übermittlung erklärt werden. Daher obliegt es dem Betreiber der Website und nicht dem Anbieter des Social Plugins, diese Einwilligung einzuholen, da der Verarbeitungsprozess der personenbezogenen Daten schon dadurch ausgelöst wird, dass ein Besucher diese Website aufruft.

Die Einwilligung, die dem Betreiber gegenüber zu erklären ist, betrifft jedoch nur den Vorgang oder die Verarbeitungsvorgänge, für die er tatsächlich über die Zwecke und Mittel entscheidet.

Auch Informationspflichten sind vom Website-Betreiber zu erfüllen

Auch die gesetzlichen Informationspflichten betreffen den Betreiber der Website, wobei dieser die betroffenen Personen jedoch wieder nur in Bezug auf die Verarbeitungsvorgänge informieren muss, für die der Betreiber tatsächlich über die Zwecke und Mittel entscheidet.

Praktische Konsequenzen für die Onlinebranche

Das Urteil enthält für eingeweihte Branchenteilnehmer nichts wirklich Neues. Zunächst ist allerdings darauf hinzuweisen, dass die Klage sowie das Urteil auf Basis der alten EU-Datenschutzrichtlinie von 1995 erfolgten, die mit Wirkung vom 25. Mai 2018 durch die Datenschutzgrundverordnung ersetzt wurde. Vermutlich dürfte der EuGH aber auch auf der Basis der heutigen DSGVO ähnlich entscheiden. Dennoch enthält das Urteil einige Besonderheiten:

Der EuGH hatte bereits im Juni 2018 entscheiden, dass Fanpagebetreiber für die Verarbeitung der Daten ihrer Besucher mitverantwortlich sind (Rechtssache C-210/16 „Wirtschaftsakademie“). Nun hat der EuGH entschieden, dass dieses weite Verständnis gemeinsamer Verantwortlichkeit auch für die „Gefällt mir“-Buttons von Socialmedia-Plattformen gilt. Neu ist allerdings, dass die Verantwortlichkeit dort endet, wo die Daten den Facebook-Konzern erreicht haben.

Der EuGH lässt jedoch erstaunlicherweise eine der wichtigsten Fragen der Onlinebranche offen, nämlich ob die Websitebetreiber immer eine Einwilligung für die Einbindung von Social Plugins, wie zum Beispiel Facebooks Like-Button benötigen oder ob ein „berechtigtes Interesse“ (Im Sinne von Art. 7 Buchst. f der alten Richtline beziehungsweise heute Art. 6 Abs. 1 Buchst. f DSGVO) für den Betreiber als Rechtfertigungsgrund ausreichen kann. Zwar betont der EuGH indirekt (Randziffern 89, 91), dass das Setzen eines Cookies nach der Datenschutzrichtlinie immer eine Einwilligung voraussetze. Ob dies aber auch dann gilt, wenn, wie zum Teil auch bei einem Like-Button, kein Cookie gesetzt wird, lässt der EuGH offenbar bewusst offen. Er lässt auch offen, wie genau eine Einwilligung im Fall eines Cookies auszusehen habe und damit auch die umstrittene Frage, ob auch eine stillschweigende Einwilligung ausreichend sein könnte. Der EuGH gelangt nur zu dem Ergebnis, dass, sollte ein berechtigtes Interesse ausreichen, dieses sowohl bei Facebook als auch bei dem Betreiber der Website vorliegen müsse.

Die Frage, ob das berechtigte Interesse jedoch generell als Rechtsgrundlage ausreichend sein kann oder nicht, war nämlich nicht Gegenstand der Entscheidung. Diese Frage ist jedoch für die Onlinebranche von kaum zu überschätzender praktischer Bedeutung. Folgt man der Auffassung der deutschen Aufsichtsbehörden, ist die Einwilligung – nicht nur für Social-Media-Buttons, sondern bei sämtlichen Tracking-Maßnahmen – immer einzuholen. Das gilt auch für die Auffassung der Aufsichtsbehörden anderer EU-Länder wie zum Beispiel die französische CNIL oder das britische ICO.

Folgt man dagegen der Ansicht vieler betroffener Unternehmen und Branchenverbände, so lassen sich viele Datenverarbeitungen auch durch Art. 6 Abs. 1 Buchst. f DSGVO rechtfertigen und damit durch das „berechtigte Interesse“ des Verantwortlichen. Der entscheidende Unterschied: Eine Einwilligung würde dann für die Einbindung des Like-Buttons nicht benötigt.

Wer jedoch auf Nummer sicher gehen will, sollte zukünftig eine Einwilligung seiner Nutzer einholen, und zwar vor der eigentlichen Erhebung der Daten. Wie das am besten zu geschehen hat, lassen auch die Aufsichtsbehörden trotz der kürzlich veröffentlichen „Orientierungshilfe zu Telemedien“ (gemeint sind unter anderem Websites) offen. Eine technische Lösung, die diesen Anforderungen gerecht wird ist, allerdings nur für Social Plugins, schon heute die so genannte 2-Klick-Lösung. Dabei wird der Like-Button zunächst nur als Bild ohne Funktion eingebunden. Klickt der Nutzer dann auf das Icon, wird die Einwilligung eingeholt, mit der dann der richtige Like Button nachgeladen wird. Wie aber im Übrigen, insbesondere beim Einsatz von Cookies, die Einwilligung einzuholen ist, bleibt auch nach dem Urteil des EuGH unklar. Es wird zukünftig sicherlich sinnvoll sein, hier mit so genannten Consent Management-Plattformen (CMPs) zu arbeiten oder noch besser das so genannte Transparency and Consent Framework (TCF) des Interactive Advertising Bureau zu nutzen.

Eines ist jedoch klar: In beiden Fällen (Einwilligung oder berechtigtes Interesse) haben die Betreiber Informationspflichten gegenüber ihren Besuchern zu erfüllen, allerdings nur für die die Daten, für die der Betreiber mitverantwortlich ist. Der Website-Betreiber muss dagegen keine Information darüber geben, wie Facebook diese Daten weiterverarbeitet. Diese Informationen muss Facebook selbst erteilen. Das ist jedenfalls eine gewisse Erleichterung.

Ferner führt die vom EuGH angenomme gemeinsame Verantwortlichkeit nach der DSGVO zu der  Verpflichtung für den Websitebetreiber, die datenschutzrechtlichen Pflichten in einer Vereinbarung gemäß Art. 26 DSGVO (ein Muster wird von den Aufsichtsbehörden zu Verfügung gestellt)  zu regeln. Eine solche Vereinbarung werden die Anbieter von Social Plugins vermutlich zukünftig bereitstellen.

Fazit: Was ist also zu tun bei Social Pugins?

  • mindestens 2- Klick Lösung anwenden
  • Entscheidung über generelle Einwilligungslösung fällen
  • beim Anbieter auf Vereinbarung nach Art. 26 DSGVO drängen
  • in der Datenschutzerklärung transparent auf Einbindung von Social Plugin hinweisen

Bei weiteren Fragen wenden Sie sich gerne an uns (eickmeier@unverzagt.law).

Facebook Custom Audiences – doch datenschutzkonform ?

Die Bayerischen Datenschutzbehörden überprüfen derzeit den Einsatz von Facebook-Custom-Audiences. Zu diesem Zweck versendet das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) derzeit Fragebögen zu Facebook-Custom-Audiences und dessen Verwendung. Dieser Fragebogen erfasst beide derzeit häufig eingesetzten Varianten von Facebook-Custom-Audiences, nämlich der Einsatz von Facebook-Custom-Audiences über die eigenen Kundenlisten (CRM) und der Einsatz von Facebook-Custom-Audiences über die eigene Website (Custom Audiences from your Website).

In seinem Schreiben vertritt das BayLDA die Auffassung, dass der Einsatz von Facebook-Custom-Audiences über die Kundenlisten nur auf der Grundlage einer Einwilligung des Webseitennutzers zulässig ist.

Dagegen ist der Einsatz von Facebook-Custom-Audiences from your Website unter Beachtung der Voraussetzungen des § 15 Abs. 3 TMG zulässig ! Das bedeutet, dass der Verwender in seiner eigenen Datenschutzerklärung über den Einsatz von Facebook-Custom-Audiences in seiner Datenschutzerklärung hinweisen muss und darüber hinaus ein Opt-Out-Verfahren zur Verfügung stellt, mit dem der Nutzer der Nutzung seiner Daten im Rahmen dieses Prozesses widersprechen kann.

Damit schafft das BayLDA immerhin für Facebook-Custom-Audiences from your Website endlich eine datenschutzrechtliche Klarstellung, die sehr erfreulich ist. Wie der Einsatz von Facebook-Custom-Audiences über die eigenen Kundenlisten endgültig durch das BayLDA entschieden wird, bleibt noch abzuwarten.

 

 

Twitter und Geotargeting

Twitter ermöglicht nun auch Geotargeting. Hierbei handelt es sich um eine Option für Werbetreibende, die auf Twitter geschaltete Werbung nun auch ortsgebunden anzeigen zu können. In Deutschland ermöglicht Twitter bisher die Auswahl aus 16 Städten, in den USA hingegen ist schon eine Auswahl bis auf die Postleitzahl möglich.

Datenschutzrechtlich bietet der neue Service von Twitter für sich genommen keine Bedenken. Zwar arbeitet Twitter mit personenbezogenen Daten, um die Zielgruppe auszuwählen, diese Daten werden laut Twitter nur akkumuliert und damit anonymisiert oder mit Erlaubnis weitergegeben. Für weitere Fragen zu dieser Thematik empfehlen wir auch unseren Beitrag zum location based advertising.

Vortrag auf dem Online Marketing Forum am 05.05.2015 in Hamburg

Dr. Frank Eickmeier wird am 5. Mai 2015 einen Vortrag zum Thema „Facebook Website Custom Audiences“ halten. Der Vortrag wird sich insbesondere damit beschäftigen, welche rechtlichen Probleme beim Einsatz von Facebook Website Custom Audiences in der Praxis entstehen. Weitere Informationen zum Tagungsprogramm sowie die Möglichkeit zur Anmeldung beim Online Marketing Forum finden Sie unter dem folgenden Link:

http://www.onlinemarketingforum.de/Programm/Hamburg-05.-Mai-2015

Workshop am 26.02.2015 auf der Social Media Week in Hamburg

Dr. Petra Hansmersmann, LL.M. (New York), wird am 26.02.2015 in dem Workshop „Mobile Marketing & Recht“ einen Überblick über die beim Mobile Marketing relevanten rechtlichen Rahmenbedingungen, insbesondere im Bereich Datenschutz, geben.

Eine Anmeldung für den Workshop ist unter dem folgenden Link möglich:
http://socialmediaweek.org/hamburg/events/mobile-marketing-recht/