EuGH-Urteil zu Social Plugins

EuGH-Urteil zu Social Plugins

Der EuGH hat in seinem Urteil vom 29.7.2019 (C-40/17) über die datenschutzrechtliche Bewertung von Social Plugins entschieden.

1. Was sind Social Plugins?

Social Plugins sind „Werkzeuge“ sozialer Netzwerke (zum Beispiel der „Gefällt mir“-Button von Facebook, um den es auch in dieser Entscheidung geht), die Webseitenbetreiber in ihren eigenen Internetauftritt einbauen können. Ein KMU kann also auf seiner Webseite den „Gefällt mir“-Button integrieren. Klickt ein Seitenbesucher darauf, wird dies im Sozialen Netzwerk angezeigt. Die anderen User sehen, dass einem ihrer Kontakte der Internetauftritt und die Produkte dieses KMU gefallen. Über Social Plugins lässt sich Werbung optimieren.^[1]

2. Ausgangslage

Der EuGH beschreibt, dass zur Aktivierung eines Social Plugins auf der eigenen Internetseite ein technischer Verweis auf den Drittinhalt gesetzt werden müsse. Diesen Verweis erkennt der Browser des Users. Der Browser stellt nun eine Verbindung zum Server her, auf dem die Drittinhalte gespeichert sind und bekommt diese übermittelt. Im vorliegenden Fall geht der EuGH davon aus, dass nicht nur Inhalte vom Drittanbieter empfangen werden, sondern der Browser auch personenbezogene Daten des Users an den Drittanbieter übermittelt. Der Gerichtshof entnimmt der Vorlage, dass diese Daten wohl schon bei Aufrufen der Internetseite und nicht erst bei Anklicken des Buttons übermittelt werden.^[2] Darüber hinaus werden laut Urteil wohl auch personenbezogene Daten von Usern übermittelt, die keinen eigenen Account bei Facebook haben.^[3]

3. Entscheidung

Weil der Sachverhalt zeitlich vor Inkrafttreten der Datenschutzgrundverordnung (DSGVO) stattfand, bewertete der EuGH diesen noch nach der älteren Datenschutzrichtlinie (RL 95/46/EG). Die Vorschrift, die benennt, wer Verantwortlicher ist, wurde aber in der DSGVO (Art. 4 Nr. 7 DSGVO) inhaltlich nicht verändert. Die Wertungen des EuGH müssten also berücksichtigt werden.

Der EuGH ist der Auffassung, dass der Internetseitenbetreiber für das Erheben und Übermitteln der personenbezogenen Daten an den Drittanbieter datenschutzrechtlich verantwortlich ist.

Der Drittanbieter (hier Facebook) ist dafür zwar auch verantwortlich – aber eben nicht allein!^[4] Denn der Betreiber entscheidet mit dem Drittanbieter, durch das Einbinden eines Social Plugins personenbezogene Daten zu erheben und an den Drittanbieter zu übermitteln, um Werbung zu optimieren.^[5]

Zur Verarbeitung personenbezogener Daten braucht man allerdings eine Erlaubnis.

Nach aktuellem Recht erlaubt Art. 6 Abs. 1 Satz 1 Buchstabe f) DSGVO die Verarbeitung, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Daneben dürfen die Rechte der betroffenen Person nicht überwiegen. Da der Seitenbetreiber und der Drittanbieter für Erhebung und Übermittlung der Daten gemeinsam verantwortlich sind, müssen auch beide ein berechtigtes Interesse an dieser Verarbeitung haben, wenn sich einer der beiden auf diese Erlaubnisvorschrift berufen will.^[6] Auch die Einwilligung des Betroffenen erlaubt gem. Art. 6 Abs.1 Satz 1 Buchstabe a) DSGVO die Datenverarbeitung. 

Wenn die Datenverarbeitung bereits mit dem Aufrufen der Internetseite beginnt, muss eine Einwilligung nach Art. 6 Abs. 1 Satz 1 Buchstabe a) DSGVO eingeholt werden, bevor die Erhebung und Übermittlung beginnt. Auch die Informationen, insbesondere nach Art. 13 DSGVO, sind vorher zu erteilen.^[7]

Der EuGH hat aber klargestellt, dass der Seitenbetreiber nur für Erhebung und Übermittlung der Daten verantwortlich ist, nicht für das, was der Drittanbieter mit den Daten macht. Dementsprechend muss der Seitenbetreiber zwar über Erhebung und Übermittlung umfassend informieren, aber nicht darüber, was der Drittanbieter mit den Daten vorhat. Auch die Einwilligung ist für Erhebung und Übermittlung einzuholen.^[8] In die Datenschutzerklärung müssen alle Informationen zur Datenerhebung und –übermittlung aufgenommen werden.

4. Wie geht es nun weiter?

In einem ersten Schritt ist dem Internetseitenbetreiber zu raten, beim Drittanbieter (wie Facebook) in Erfahrung zu bringen, ob durch ein Social Plugin die Datenverarbeitung schon bei Aufrufen der Internetseite oder erst beim Klick auf das Plugin beginnt. Je nach dem sind die Informationen an die User zu formulieren. Hiernach bestimmt sich auch, ob die Einwilligung direkt beim Aufrufen der Seite einzuholen ist.

Werden die Daten tatsächlich bereits beim Aufrufen der Internetseite verarbeitet, steht der Internetseitenbetreiber vor der Frage, wie er seinen Pflichten rechtzeitig nachkommen kann. Diesbezüglich stehen technische Lösungen zur Verfügung, die den Zeitpunkt der Datenverarbeitung durch das Social Plugin quasi nach hinten verlagern können. Man umgeht also, dass der Browser direkt beim Aufrufen der Seite Daten mit dem Drittanbieter austauscht.

Eine schon länger entwickelte Lösung für dieses Problem ist die „Zwei-Klick-Lösung“. Diese verhindert, dass Daten direkt beim Aufrufen der Seite verarbeitet werden. Das Social Plugin ist bei Aufrufen der Internetseite sozusagen deaktiviert, der Browser startet noch keinen Datenaustausch mit dem Drittanbieter. Der User muss das Social Plugin einmal anklicken um es zu aktivieren; per Mouseover wird er darüber aufgeklärt, dass es zu einem Datenaustausch kommt. Mit dem zweitem Klick setzt der User dann den Like.^[9] An der Zwei-Klick-Lösung wurde aus juristischer Sicht kritisiert, dass die Mouseover-Funktion, über die die Information erteilt wird, bei Smartphones nicht gut funktioniere.^[10] Der zweite Kritikpunkt war, dass der Internetseitenbetreiber nicht darüber informieren kann, was der Drittanbieter mit den Daten macht. Denn dies sei dem Seitenbetreiber nicht vollständig bekannt.^[11]

Zumindest der zweite Kritikpunkt scheint ausgeräumt, nach dem der EuGH den Umfang der Einwilligung und Information geklärt hat.

Auf die Zwei-Klick-Lösung folgte „Shariff“. Dieses Programm wird vom Hersteller als Nachfolger der Zwei-Klick-Lösung bezeichnet – wobei letztere „immer noch eine sinnvolle Alternative zu den offiziellen Standard-Buttons“^[12] sei. Dabei wird das Social Plugin als HTML-Link, der grafisch individuell gestaltet werden kann, eingebettet. Weitergeleitet wird nicht die IP-Adresse des Users, sondern die Serveradresse. Der Nutzer bleibe „unsichtbar“, so lange er nicht auf den Link klickt.^[13] Aus juristischer Perspektive wurde Shariff als „vorteilhafte Alternative“^[14] bezeichnet. Die Daten würden erst erhoben, wenn der User den Link anklickt, also nicht beim Internetseitenanbieter, sondern beim Drittanbieter direkt.^[15]

[1] EuGH, Urteil vom 29.7.2019 – C-40/17, Rn. 80.

[2] Fn. 1, Rn. 26, 27 sowie 75.

[3] Fn. 1, Rn. 27 und 75.

[4] Fn. 1, Rn. 84.

[5] Fn. 1, Rn. 78 bis 81.

[6] Fn. 1, Rn. 96.

[7] Fn. 1, Rn. 102 und 103.

[8] Fn. 1, Rn. 105 und 106.

[9] https://www.heise.de/newsticker/meldung/Fuer-mehr-Datenschutz-Neue-Version-der-2-Klick-Empfehlungsbuttons-2101045.html, abgerufen am 02.08.2019; https://www.heise.de/ct/artikel/2-Klicks-fuer-mehr-Datenschutz-1333879.html, abgerufen am 02.08.2019;  Solmecke, Hoeren/Sieber/Holznagel, Multimedia-Recht, Ergänzungslieferung 42, Juni 2015, Teil 21.1, Rn. 49.

[10] Föhlisch/Pilous: Der Facebook-Like-Button – datenschutzkonform nutzbar? – Analyse und Risikoeinschätzung des „Gefällt mir“-Buttons auf Webseiten, in: MMR 2015, 631 (635).

[11] Fn. 10.

[12] https://www.heise.de/ct/ausgabe/2014-26-Social-Media-Buttons-datenschutzkonform-nutzen-2463330.html, abgerufen am 02.08.2019.

[13] Fn. 12, abgerufen am 02.08.2019.

[14] Fn. 10, (636).

[15] Fn. 14.

Autor: Julian Kanert | August 2019