Datenschutz und soziale Medien

Alte und neue Probleme nach der „Like-Button-Entscheidung“ des EuGH vom 29. Juli 2019, Az. C-40/17

Das Urteil des EuGH vom 29. Juli 2019, AZ. C-40/17 war Gegenstand der bundesweiten Presseberichterstattung.

Dieses Urteil auch bekannt als „Like-Button-Entscheidung“ hat sich mit den rechtmäßigen Voraussetzungen von Social Media Plugins – im konkreten dem „Facebook-Like-Button“– auseinandergesetzt. Angemerkt werden muss, dass der EUGH sich hierin nicht mit der aktuellen Rechtslage auseinandergesetzt hat, sondern mit der Richtlinie 95/46/EG, welche seit dem 25.05.2018 durch die DSGVO aufgehoben und ersetzt wurde. Allerdings darf davon ausgegangen werden, dass die dortigen Ausführungen sich auch auf die geltende Rechtslage übertragen lassen.

Zunächst muss voran gestellt werden, dass der EuGH vorliegend einen Verbraucherverband als klagebefugt angesehen hat, gegen den mutmaßlichen Verletzer von Datenschutzverstößen Klage zu erheben. Bislang war es unklar, ob dies möglich ist.

In dem oben erwähntem Urteil hat der EuGH ferner entschieden, dass grundsätzlich der Betreiber einer Website, der einen Social Media Plugin in seine Website mit einbindet für die Übertragung von Daten an die sozialen Medien, hier Facebook, verantwortlich ist und hierüber im Übrigen in der Datenschutzerklärung seiner Website aufzuklären hat.

Dies ist aus unserer Sicht wenig überraschend. Schon in Vorbereitung auf die Geltung der DSGVO war fraglich, inwieweit Social Media Plugins datenschutzkonform in die eigene Website mit eingebunden werden können. Der Datenfluss hierüber an den Betreiber der sozialen Kanäle wurde allgemein als kritisch gesehen und die Erwähnung in der Datenschutzerklärung der Website wurde als zwingend erachtet.

Fraglich war aber, auf welcher Rechtsgrundlage diese Plugins datenschutzkonform mit in die Website eingebunden werden konnten, bzw. ob hierfür ein eigenes berechtigtes Interesse des Websitenbetreibers angenommen werden könne (Art. 6 I f DSGVO), oder aber eine Einwilligung des Betroffenen hierfür erforderlich sei (Art. 6 I a DSGVO).

Offengelassen hat der EuGH aus unserer Sicht weiterhin genau diese Frage, wenngleich die meisten Medien dies anders berichten. Der EuGH stellt nämlich darauf ab, dass entscheidend sei, ob vorliegend durch den Social Media Plugin ein Cookie auf dem Endgerät desjenigen gesetzt werde, der die Website besuche, was aber zunächst noch festzustellen sei. Falls Cookies gesetzt würden, sei eine Einwilligung des Betroffenen hierfür erforderlich.

Sollte der EuGH diese Auffassung nicht nur bei Cookies, sollten diese überhaupt durch Plugins gesetzt werden, vertreten, deren Auslese der Markterforschung dient, sondern auch bei Cookies gelten, die für die technische Funktionalität gesetzt werden, so hätte dies erheblich weitreichendere Konsequenzen.

Dies würde dann nämlich bedeuten, dass entsprechende Cookie-Banner vorgehalten werden müssen, bei denen eine aktive und informierte – nicht voreingestellte - Einwilligung zur Setzung und Auslese der Cookies von dem Websitebesucher abgegeben werden muss. Die Anforderungen an diese Einwilligungserklärung sind nicht unerheblich, da es sich um eine informierte Einwilligung handeln muss.

Unabhängig von der Entscheidung des EuGH stellt sich aus unserer Sicht jedoch ein ganz anderes Problem in der Praxis.

Im vergangenen Jahr hat der EuGH entschieden, dass der Betreiber einer Facebook-Fanpage gemeinsam mit Facebook verantwortlich für die Verarbeitung von personenbezogenen Daten ist, welche durch Besuch der Fanpage stattfindet.

Unabhängig davon, dass derzeit wohl keine datenschutzkonformen Vereinbarungen zwischen den Betreibern der sozialen Netzwerken und deren Mitgliedern zur gemeinsamen Verantwortlichkeit geschlossen werden, bzw. zur Verfügung stehen, hat sich noch nicht wirklich herumgesprochen, dass diejenigen Unternehmen, die auf den Social Media Kanälen Präsenzen unterhalten, für die jeweiligen Präsenzen eigene Datenschutzinformationen vorhalten müssen.

Ein einfacher Blick auf zahlreiche Web-Präsenzen von Unternehmen und gar Behörden in sozialen Medien zeigt aber, dass hierbei häufig entweder keinerlei Datenschutzinformationen vorgehalten werden oder ein bloßer Verweis auf die Datenschutzinformationen der Unternehmens- oder Behördenwebsiten erfolgt. Sieht man sich jedoch die Datenschutzinformationen auf den jeweiligen Websiten dann an, finden sich hier keinerlei Ausführungen zu der konkreten Datenverarbeitung auf den jeweiligen sozialen Medienkanälen, sondern vielmehr nur allgemeine Ausführungen zu Media Plugins, wenn überhaupt.

Hier sehen wir jedenfalls in dem „Jahr der Kontrolle“, wie es der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, Herr Dr. Stefan Brink, ausgerufen hat, erhöhten Handlungsbedarf für zahlreiche Unternehmen und Behörden.

Tätigkeitsfelder von Cornelius Weiß

  • Banken, Kapitalmarkt und Versicherungen
  • IP, IT und Datenschutz
  • Prozessführung und Schiedsgerichtsbarkeit