EuGH und Datenschutz - und noch ein Klick mehr für den Website-Nutzer bei Plug-ins
Gespeichert von Dr. Axel Spies am
Schon seit Jahren drängen aktive deutsche Datenschützer darauf, dass Betreiber so genannte „Gefällt mir“ Buttons von ihren Webseiten runternehmen, weil diese nach ihrer Ansicht unzulässig personenbezogene Daten sammeln (vgl. die Diskussion im Blog hier).
Der EuGH hat heute die Voraussetzungen für solche Buttons rechtlich klargestellt (Rs. C-40/17). Für Webseiten-Betreiber hat das Urteil einige Konsequenzen, auch wenn das Urteil noch auf der „alten“ Datenschutz-RiLi 95/46/EC basiert und nicht auf der DS-GVO. Die Problematik ist dieselbe.
Vermutlich kommt noch mehr Häkchen-Setzen als bisher auf die Besucher einer Webseite zu.
Hintergrund der Entscheidung ist eine Klage der Verbraucherzentrale NRW. Diese hatte der Fashion ID, einem deutschen Online-Händler für Modeartikel vorgeworfen, personenbezogene Daten der Besucher ihrer Website ohne deren Einwilligung und unter Verstoß gegen die Informationspflichten nach der Datenschutz-RiLi an FB Ireland übermittelt zu haben. Auf der Website war ein „Gefällt mir“-Button eingebunden, mittels dessen Besucher direkt auf FB posten konnten, dass ihnen ein bestimmtes Produkt gefällt. Allerdings wurden bereits beim Besuchen der Website personenbezogene Daten der Besucher an FB Ireland übermittelt, ohne dass der Button überhaupt angeklickt wurde.
Das heißt:
- Der Betreiber ist für die Daten (Mit)-Verantworlicher. Zitat aus dem Urteil:
“Der Betreiber einer Website wie die Fashion ID GmbH & Co. KG, der in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, kann als für die Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. D der Richtlinie 95/46 angesehen werden. Diese Verantwortlichkeit ist jedoch auf den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten beschränkt, für den bzw. für die er tatsächlich über die Zwecke und Mittel entscheidet, d.h. das Erheben der in Rede stehenden Daten und deren Weitergabe durch Übermittlung.”
- Der Betreiber muss über diese Datenerhebung und -übermittlung informieren sowie eine Einwilligung in diese Verarbeitung gemäß der Richtlinie 95/46/EC (jetzt Art. 6 (1) (a) DS-GVO) einholen, und zwar „vor dem Erheben der Daten.“ Denkbar ist etwa ein „Hinweiskasten“, in dem über die Datenerhebung und –übermittlung aufgeklärt und dem Besucher die Möglichkeit gegeben wird, Social-Media-Plugins zu aktivieren oder deaktivieren. In welchen Fällen die Rechtsgrundlage "berechtigtes Interesse" nach der DS-GVO ausreicht (vormals Art. 7 f der Richtlinie), geht aus der Entscheidung m.E. nicht klar hervor.
- Der Betreiber ist für die Datenverarbeitungsvorgänge, die der Empfänger nach der Übermittlung der Daten vorgenommen hat, wohl nicht verantwortlich, wenn die genannten Voraussetzungen gewahrt sind.
Fashion ID hat auf der überarbeiteten Webseite folgenden neuen Text aufgenommen:
"Social Media aktivieren: Aktivieren Sie Social Media, wenn Sie Inhalte in sozialen Netzwerken teilen möchten. Mit der Aktivierung von Social Media stimmen Sie zu, dass Daten an die Betreiber der sozialen Netzwerke übertragen werden. Weitere Informationen hierzu finden Sie in unseren Datenschutzbestimmungen [Link]."