29.7.2019, EuGH: Like Button unzulässig und Cookie Opt In erforderlich

Heute hat der EuGH sein Urteil zum Like Button gefällt. Wie erwartet ist der Facebook Like Button nicht zulässig. Tatsächlich hat das Gericht seine neue Rechtsprechung zur Nutzung von Social Media aber bekräftigt und auch einige Aussagen zum Cookie Opt In eingestreut.

I. Die wesentlichen Ergebnisse des EuGH

  • Wie (nicht nur von uns) erwartet, ist ein Like Button nicht zulässig, wenn bei Aufruf der Website bereits Daten an den Anbieter übermittelt werden.
  • Weiter hat der EuGH bekräftigt, dass Du als Betreiber einer Website gemeinsam mit der Social Media Plattform für die Verarbeitung der Daten verantwortlich bist.
  • Unsere Hoffnung, dass der EuGH die gemeinsame Verantwortung auf die Zwecke und Mittel der Daten beschränkt, die konkret übertragen wurden, hat sich erfüllt. Damit ist die weitere Nutzung der Daten durch Facebook nicht mehr in Deiner Verantwortung.
  • Nach wie vor gilt, ohne Vereinbarung zur gemeinsamen Verantwortung ist die Nutzung von Social Media auf Deiner Website illegal – eine solche wird derzeit nur von Facebook angeboten, selbst die ist aber nach Meinung der Datenschützer noch unzureichend.
  • Jedes Setzen von Cookies bedarf (noch wahrscheinlicher als vorher) eines Opt Ins.
  • Verbrauchervereine können wirksam Abmahnungen nach der DSGVO aussprechen.

1. EuGH: Like Button unzulässig

Der EuGH hat entschieden, dass ein Like Button, der ohne vorherige Einwilligung des Nutzers Daten an Facebook sendet, unzulässig ist. Das ist gleichlautend mit vielen instanzgerichtlichen Urteilen in Deutschland. Von daher ist easyRechtssicher von Anfang an davon ausgegangen, dass Like Buttons nur mit dem Shariff Plugin zulässig verwendet werden können. Das findest Du bereits in diesem Beitrag von (fast exakt) vor zwei Jahren.

Das Urteil gilt aber nicht nur für Facebook, sondern wenigstens für alle andere Social Plugins, die Daten bereits bei Aufruf der Website an die Social Media Plattform senden. Das sind vor allem alle Plugins, mit denen sich Shariff betreiben lässt:

  • AddThis
  • diaspora
  • Facebook
  • Flattr
  • Google+
  • LinkedIn
  • Mail
  • Pinterest
  • Print
  • Qzone
  • reddit
  • StumbleUpon
  • Tencent Weibo
  • Threema
  • Tumblr
  • Twitter
  • Weibo
  • WhatsApp
  • XING

Die Nutzung solcher Buttons ist nur zulässig, wenn der Nutzer vorher in die Weitergabe der Daten eingewilligt hat. Was das konkret für Konsequenzen hat, betrachten wir genauer zu 3.

2. Gemeinsame Verantwortung

Keine wirkliche Überraschung nach dem Urteil vom 05.06.2018 ist, dass Du dadurch, dass Du den Like Button nutzt, gemeinsam mit Facebook verantwortlich für die Verarbeitung der Daten wirst. Siehe hierzu näher meine Besprechung dieses Urteils hier.

Konkret heißt das, dass Du für die Daten, die Du an Facebook überträgst erst mal ebenso verantwortlich bist wie Facebook. Du musst also alle (ca. 60) datenschutzrechtlichen Pflichten mit Facebook gemeinsam erfüllen. Dazu gehören die Informationspflichten (z.B. eine Datenschutzerklärung), die Pflichten zur Datensicherheit (sichere Aufbewahrung) und auch die Erfüllung sämtlicher Rechte des Nutzers, z.B. auf Auskunft, Übertragung oder Löschung. Es versteht sich von selbst, dass Du dem nicht nach kommen kannst.

Aber der EuGH hat mit dem neuen Urteil (zu Rn. 76ff.) immerhin klar gestellt, dass Du nur für die Zwecke und Mittel der übertragenen Daten haftest. Das betrifft vor allem die Nutzung durch Dich (gemeinsam mit Facebook) im Rahmen Deiner Fanpage Nutzung (z.B. Werbung für Deine Produkte). Für die weitere Nutzung durch Facebook bist Du dann nicht verantwortlich. M.E. nach war das aber bereits in dem Urteil von 2018 angelegt, hier hat sich eher nichts geändert (in keinem Fall wurde die Verantwortlichkeit aber ausgeweitet, wie hier angenommen wird).

Nutzt Du easyRechtssicher für die Datenschutzerklärung auf Deiner Website (mit den Sektionen Social Links und Fanpages) und den Social Media Generator für die Datenschutzerklärung auf Deiner Fanpage, erfüllst Du diese Anforderungen so gut es geht, ohne dass wir dafür eine Garantie übernehmen können. Derzeit ist die Rechtsprechung hier zu sehr im Fluss, es kann immer nur darum gehen, Deine Angriffsfläche für Untersagungsverfügungen, Bußgeld oder Abmahnungen so klein wie möglich zu gestalten.

So oder so, eine Anforderung kannst Du derzeit nie erfüllen, deshalb ist jede Nutzung von Social Media streng genommen unzulässig: Nach der DSGVO müssen zwei Personen, die gemeinsam Verantwortliche für personenbezogene Daten sind, eine Vereinbarung darüber schließen, wie sie die daraus folgenden ca. 60 Pflichten von den Beteiligten erledigen (also wer was erledigt). Eine solche Vereinbarung bietet derzeit nur Facebook an. Selbst diese ist nach Meinung der Datenschützer aber unzureichend. Streng genommen ist die Nutzung von Social Media für gewerbliche Zwecke damit immer unzulässig nach der DSGVO.

3. Cookie Opt In immer erforderlich?

Der EuGH prüft auch, ob der Nutzer vorher in die Übertragung seiner Daten einwilligen muss. Der EuGH verweist für die Verpflichtung zur Zustimmung aber lapidar in Rn. 88f. auf die Cookie Richtlinie:

Vorab ist darauf hinzuweisen, dass diese Frage nach Ansicht der Kommission für die Entscheidung des Ausgangsrechtsstreits unerheblich ist, da die von Art. 5 Abs. 3 der Richtlinie 2002/58 verlangte Einwilligung der betroffenen Personen nicht eingeholt wurde.
Hierzu ist festzustellen, dass nach Art. 5 Abs. 3 der Richtlinie 2002/58 die Mitgliedstaaten sicherstellen müssen, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46 u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.

EuGH, Urteil vom 29.07.2019

Es ist also eine vorherige Einwilligung des Nutzers in die Weitergabe seiner Daten erforderlich. Daraus ist verbreitet gefolgert worden, dass ab jetzt immer ein Cookie Opt In erforderlich ist. Andere verweisen aber darauf, dass die Cookie Richtlinie nicht unmittelbar geltendes Recht ist.

Sicher ist aber, dass Du die Einwilligung für den Like Button auch anlässlich des Betätigen einholen kannst. Wenn Du also vor Weitergabe der Daten den Nutzer einwilligen lässt, ob die Weitergabe erfolgt, kannst Du die Zustimmung auch dann erst einholen. Dabei musst Du dann beachten, dass die Einwilligung des Nutzer nur informiert wirksam werden kann. Du musst dem Nutzer vor der Einwilligung also genau informieren, was mit seinen Daten geschieht. Das geht vor allem wieder durch Verweis auf Deine Datenschutzerklärung, in der passende Muster für alle Deine Social Media Fanpages enthalten sind.

Das macht aber nur Sinn, wenn Du nicht bereits aus anderen Gründen Cookies verwendest, die personenbezogene Daten Deiner Nutzer an Dritte senden, wie insbesondere Website-übergreifende Tracking Tools (Google Analytics, Facebook Pixel). Immer, wenn auf dem Endgerät des Nutzers Daten gespeichert oder ausgelesen werden, ist nach dem EuGH zu Like Buttons wohl eine vorherige Einwilligung im Rahmen eines Cookie Opt Ins erforderlich. Näher habe ich dies hier ausgeführt.

4. Ergebnis

Social Media zu verwenden, wird nicht sicherer. Ohne eine Vereinbarung zur gemeinsamen Verantwortung (die derzeit wohl keine Plattform wirksam anbietet), wirst Du Social Media nicht rechtssicher nutzen können. Deine Nutzung ist unzulässig. Wenn Du auf Social Media nicht ganz verzichten willst, solltest Du

  • das Shariff Plugin nutzen
  • die Datenschutzerklärung auf Deiner Website anpassen
  • eine Datenschutzerklärung auf Social Media verwenden
  • ein Cookie Opt In nutzen

um Deine Angriffsfläche zu verringern.

Daneben bleibt nur noch, eine IT-Haftpflicht, Betriebshaftpflicht odr Cybersecurity-Versicherung abzuschließen, die möglichst viele Folgen der unzulässigen Nutzung von Social Media absichert. Wenn Du Kunde bei easyRechtssicher bist, erhältst Du dauerhaft 5 % Rabatt auf eine derartige Versicherung bei der Exali. Es gibt aber auch andere Anbieter entsprechender Versicherungen.

II.Verbleibende Lösungen, um Deine Angriffsfläche zu verringern

Wie Du Social Media rechtlich so weit wie möglich absichern kannst , habe ich hier ausführlich dargestellt. Im Ergebnis musst Du sowohl das Impressum als auch die Datenschutzerklärung auf Deiner Website anpassen, als auch eine Datenschutzerklärung und ein Impressum für jeden Deiner Social Media Accounts erstellen und verlinken. Am einfachsten geht das mit dem Komplett-Schutz von easyRechtssicher.

    Zum Komplett Schutz   

Da findest Du sowohl die Muster für Deine Datenschutzerklärung (im Sektor Social Links und Fanpages) als auch einen speziellen Generator für Deine Datenschutzerklärung und Dein Impressum auf Social Media.



Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.