29.7.2019, EuGH: Like Button unzulässig und Cookie Opt In erforderlich

Heute hat der EuGH sein Urteil zum Like Button gefällt. Wie erwartet ist der Facebook Like Button nicht zulässig. Tatsächlich hat das Gericht seine neue Rechtsprechung zur Nutzung von Social Media aber bekräftigt und auch einige Aussagen zum Cookie Opt In eingestreut.

I. Die wesentlichen Ergebnisse des EuGH

  • Wie (nicht nur von uns) erwartet, ist ein Like Button nicht zulässig, wenn bei Aufruf der Website bereits Daten an den Anbieter übermittelt werden.
  • Weiter hat der EuGH bekräftigt, dass Du als Betreiber einer Website gemeinsam mit der Social Media Plattform für die Verarbeitung der Daten verantwortlich bist.
  • Unsere Hoffnung, dass der EuGH die gemeinsame Verantwortung auf die Zwecke und Mittel der Daten beschränkt, die konkret übertragen wurden, hat sich erfüllt. Damit ist die weitere Nutzung der Daten durch Facebook nicht mehr in Deiner Verantwortung.
  • Nach wie vor gilt, ohne Vereinbarung zur gemeinsamen Verantwortung ist die Nutzung von Social Media auf Deiner Website illegal – eine solche wird derzeit nur von Facebook angeboten, selbst die ist aber nach Meinung der Datenschützer noch unzureichend.
  • Jedes Setzen von Cookies bedarf (noch wahrscheinlicher als vorher) eines Opt Ins.
  • Verbrauchervereine können wirksam Abmahnungen nach der DSGVO aussprechen.

1. EuGH: Like Button unzulässig

Der EuGH hat entschieden, dass ein Like Button, der ohne vorherige Einwilligung des Nutzers Daten an Facebook sendet, unzulässig ist. Das ist gleichlautend mit vielen instanzgerichtlichen Urteilen in Deutschland. Von daher ist easyRechtssicher von Anfang an davon ausgegangen, dass Like Buttons nur mit dem Shariff Plugin zulässig verwendet werden können. Das findest Du bereits in diesem Beitrag von (fast exakt) vor zwei Jahren.

Das Urteil gilt aber nicht nur für Facebook, sondern wenigstens für alle andere Social Plugins, die Daten bereits bei Aufruf der Website an die Social Media Plattform senden. Das sind vor allem alle Plugins, mit denen sich Shariff betreiben lässt:

  • AddThis
  • diaspora
  • Facebook
  • Flattr
  • Google+
  • LinkedIn
  • Mail
  • Pinterest
  • Print
  • Qzone
  • reddit
  • StumbleUpon
  • Tencent Weibo
  • Threema
  • Tumblr
  • Twitter
  • Weibo
  • WhatsApp
  • XING

Die Nutzung solcher Buttons ist nur zulässig, wenn der Nutzer vorher in die Weitergabe der Daten eingewilligt hat. Was das konkret für Konsequenzen hat, betrachten wir genauer zu 3.

2. Gemeinsame Verantwortung

Keine wirkliche Überraschung nach dem Urteil vom 05.06.2018 ist, dass Du dadurch, dass Du den Like Button nutzt, gemeinsam mit Facebook verantwortlich für die Verarbeitung der Daten wirst. Siehe hierzu näher meine Besprechung dieses Urteils hier.

Konkret heißt das, dass Du für die Daten, die Du an Facebook überträgst erst mal ebenso verantwortlich bist wie Facebook. Du musst also alle (ca. 60) datenschutzrechtlichen Pflichten mit Facebook gemeinsam erfüllen. Dazu gehören die Informationspflichten (z.B. eine Datenschutzerklärung), die Pflichten zur Datensicherheit (sichere Aufbewahrung) und auch die Erfüllung sämtlicher Rechte des Nutzers, z.B. auf Auskunft, Übertragung oder Löschung. Es versteht sich von selbst, dass Du dem nicht nach kommen kannst.

Aber der EuGH hat mit dem neuen Urteil (zu Rn. 76ff.) immerhin klar gestellt, dass Du nur für die Zwecke und Mittel der übertragenen Daten haftest. Das betrifft vor allem die Nutzung durch Dich (gemeinsam mit Facebook) im Rahmen Deiner Fanpage Nutzung (z.B. Werbung für Deine Produkte). Für die weitere Nutzung durch Facebook bist Du dann nicht verantwortlich. M.E. nach war das aber bereits in dem Urteil von 2018 angelegt, hier hat sich eher nichts geändert (in keinem Fall wurde die Verantwortlichkeit aber ausgeweitet, wie hier angenommen wird).

Nutzt Du easyRechtssicher für die Datenschutzerklärung auf Deiner Website (mit den Sektionen Social Links und Fanpages) und den Social Media Generator für die Datenschutzerklärung auf Deiner Fanpage, erfüllst Du diese Anforderungen so gut es geht, ohne dass wir dafür eine Garantie übernehmen können. Derzeit ist die Rechtsprechung hier zu sehr im Fluss, es kann immer nur darum gehen, Deine Angriffsfläche für Untersagungsverfügungen, Bußgeld oder Abmahnungen so klein wie möglich zu gestalten.

So oder so, eine Anforderung kannst Du derzeit nie erfüllen, deshalb ist jede Nutzung von Social Media streng genommen unzulässig: Nach der DSGVO müssen zwei Personen, die gemeinsam Verantwortliche für personenbezogene Daten sind, eine Vereinbarung darüber schließen, wie sie die daraus folgenden ca. 60 Pflichten von den Beteiligten erledigen (also wer was erledigt). Eine solche Vereinbarung bietet derzeit nur Facebook an. Selbst diese ist nach Meinung der Datenschützer aber unzureichend. Streng genommen ist die Nutzung von Social Media für gewerbliche Zwecke damit immer unzulässig nach der DSGVO.

3. Cookie Opt In immer erforderlich?

Der EuGH prüft auch, ob der Nutzer vorher in die Übertragung seiner Daten einwilligen muss. Der EuGH verweist für die Verpflichtung zur Zustimmung aber lapidar in Rn. 88f. auf die Cookie Richtlinie:

Vorab ist darauf hinzuweisen, dass diese Frage nach Ansicht der Kommission für die Entscheidung des Ausgangsrechtsstreits unerheblich ist, da die von Art. 5 Abs. 3 der Richtlinie 2002/58 verlangte Einwilligung der betroffenen Personen nicht eingeholt wurde.
Hierzu ist festzustellen, dass nach Art. 5 Abs. 3 der Richtlinie 2002/58 die Mitgliedstaaten sicherstellen müssen, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46 u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.

EuGH, Urteil vom 29.07.2019

Es ist also eine vorherige Einwilligung des Nutzers in die Weitergabe seiner Daten erforderlich. Daraus ist verbreitet gefolgert worden, dass ab jetzt immer ein Cookie Opt In erforderlich ist. Andere verweisen aber darauf, dass die Cookie Richtlinie nicht unmittelbar geltendes Recht ist.

Sicher ist aber, dass Du die Einwilligung für den Like Button auch anlässlich des Betätigen einholen kannst. Wenn Du also vor Weitergabe der Daten den Nutzer einwilligen lässt, ob die Weitergabe erfolgt, kannst Du die Zustimmung auch dann erst einholen. Dabei musst Du dann beachten, dass die Einwilligung des Nutzer nur informiert wirksam werden kann. Du musst dem Nutzer vor der Einwilligung also genau informieren, was mit seinen Daten geschieht. Das geht vor allem wieder durch Verweis auf Deine Datenschutzerklärung, in der passende Muster für alle Deine Social Media Fanpages enthalten sind.

Das macht aber nur Sinn, wenn Du nicht bereits aus anderen Gründen Cookies verwendest, die personenbezogene Daten Deiner Nutzer an Dritte senden, wie insbesondere Website-übergreifende Tracking Tools (Google Analytics, Facebook Pixel). Immer, wenn auf dem Endgerät des Nutzers Daten gespeichert oder ausgelesen werden, ist nach dem EuGH zu Like Buttons wohl eine vorherige Einwilligung im Rahmen eines Cookie Opt Ins erforderlich. Näher habe ich dies hier ausgeführt.

4. Ergebnis

Social Media zu verwenden, wird nicht sicherer. Ohne eine Vereinbarung zur gemeinsamen Verantwortung (die derzeit wohl keine Plattform wirksam anbietet), wirst Du Social Media nicht rechtssicher nutzen können. Deine Nutzung ist unzulässig. Wenn Du auf Social Media nicht ganz verzichten willst, solltest Du

  • das Shariff Plugin nutzen
  • die Datenschutzerklärung auf Deiner Website anpassen
  • eine Datenschutzerklärung auf Social Media verwenden
  • ein Cookie Opt In nutzen

um Deine Angriffsfläche zu verringern.

Daneben bleibt nur noch, eine IT-Haftpflicht, Betriebshaftpflicht odr Cybersecurity-Versicherung abzuschließen, die möglichst viele Folgen der unzulässigen Nutzung von Social Media absichert. Wenn Du Kunde bei easyRechtssicher bist, erhältst Du dauerhaft 5 % Rabatt auf eine derartige Versicherung bei der Exali. Es gibt aber auch andere Anbieter entsprechender Versicherungen.

II.Verbleibende Lösungen, um Deine Angriffsfläche zu verringern

Wie Du Social Media rechtlich so weit wie möglich absichern kannst , habe ich hier ausführlich dargestellt. Im Ergebnis musst Du sowohl das Impressum als auch die Datenschutzerklärung auf Deiner Website anpassen, als auch eine Datenschutzerklärung und ein Impressum für jeden Deiner Social Media Accounts erstellen und verlinken. Am einfachsten geht das mit dem Komplett-Schutz von easyRechtssicher.

    Zum Komplett Schutz   

Da findest Du sowohl die Muster für Deine Datenschutzerklärung (im Sektor Social Links und Fanpages) als auch einen speziellen Generator für Deine Datenschutzerklärung und Dein Impressum auf Social Media.



10 Kommentare

  1. Vielen herzlichen Dank für den ausführlichen Artikel.

    Kann man denn Matomo weiterhin ohne Opt-in nutzen, falls man Matomo auf dem Server des Hostinganbieters der eigenen Webseite installiert und hierfür mit diesem einen Auftragsverarbeitungsvertrag abgeschlossen hat?

    • Dr. Ronald Kandelhard

      Hallo Thomas, ganz sicher ist in dem Bereich nicht. Als Anwalt muss ich also nein sagen. Aber ich meine, das hier gute Chancen bestehen, dass hier ein Cookie Opt Out ausreicht. Die Variante intern gehostetes Matomo ist einer der am wenigsten belastenden Tracking-Varianten für den Datenschutz. Von Online Unternehmer zu Online Untehmer sage ich also ja.

  2. Klasse, toller Artikel! Dazu aber eine sehr wichtige Frage! Nach dem Gerichtsurteil vom EuGH vom 29.7. muss ja künftig ein Nutzer einer Website sein Einverständnis (Opt-in) geben, bevor Tracking-Cookies von Google Analytics / Facebook gesetzt werden. Ein Opt-Out ist demnach nicht mehr zulässig, da dann bereits die Datenweitergabe im Hintergrund an die o.g. Betreiber fließen.
    Die meisten Cookie-Banner, die dies umsetzen, geben die Wahl: Entweder zustimmen, was bedeutet, dass der Code sich danach lädt und der Cookie gesetzt wird. Oder Ablehnen, was bedeutet, dass der Code nicht nachgeladen wird. Wer nichts tut (den Cookie-Banner stehen lässt), hat nicht zugestimmt, womit sich der Code ebenfalls nicht nachlädt.
    Soweit, so gut und verständlich. Doch die Frage ist, wie das Urteil zu verstehen ist (unabhängig davon, dass das OLG Düsseldorf das ganze noch für Deutschland entscheiden muss):
    Hintergrund des Urteils ist ja, dass der Nutzer eine echte Entscheidung treffen kann, BEVOR die entsprechenden Cookies gesetzt werden. Dies hat er mit der oben skizzierten Lösung zweifelsfrei. Was aber, wenn er folgende Wahl bekommt:
    1. Akzeptieren (setzt Cookie)
    2. Keine Auswahl, aber weitersurfen (setzt Cookie ab dem Besuch einer Folgeseite mit Ausnahme der Datenschutzseite – Erklärung siehe unten).
    3. Ablehnen (setzt keinen Cookie bzw. setzt den Opt-Out Cookie und macht seine frühere Entscheidung damit rückgängig)

    Entscheidend ist hier Variante 2.
    Der Text im Cookie-Banner würde lauten: „Wir setzen Cookies ein und möchten externe Dritt- und Analysedienste gemäß unserer Datenschutzerklärung (verlinkt auf die Datenschutzbestimmungen) einsetzen. Damit können wir z.B. anonymisiert das Nutzerverhalten auswerten und so unser Online-Angebot kontinuierlich für alle Nutzer verbessern. Ohne Ihre Auswahl erklären Sie sich durch den Besuch von Folgeseiten einverstanden.“
    Das Aufrufen der Datenschutzseite führt noch nicht zum Setzen des Cookies, erst der Besuch weiterer Seiten. Sollte der Nutzer danach auf Ablehnen klicken, verschwinden die Codes wieder und der Cookie wird entfernt bzw. ein Opt-Out-Cookie gesetzt.

    Der Nutzer gibt bei Variante 2 zwar nicht sein explizites Einverständnis. Jedoch bekommt er eine echte Wahl, bevor Cookies gesetzt werden. Und er wird rechtzeitig und klar verständlich informiert, dass er entweder ablehnen kann oder durch zwei Möglichkeiten zustimmen kann, nämlich aktiv klicken oder weitersurfen. In den Datenschutzbestimmungen wird er dann nochmals darüber informiert, was dies bedeutet.

    Meine Frage nun: Ist Variante 2 rechtens bzw. könnte es so angesehen werden mit der Begründung, dass der Nutzer eine echte Wahl hat und er rechtzeitig und umfassend informiert wird? Ggf. in Bezug auf „berechtigtes Interesse“ oder ähnliches?

    • Dr. Ronald Kandelhard

      Hallo Jens, danke für die ausführliche Frage, aber Du hast es selbst bemerkt, bei der 2 fehlt das explizite Einverständnis. Dies hat der EuGH in seiner neuen Entscheidung vom 1.10.2019 aber explizit gefordert. Also nicht zulässig.

  3. Danke, soweit alles verstanden, vor allem nach Lektüre des genanntebn Artikels.
    Nun bleibt aber noch die Frage nach dem Zeitpunkt der Wirksamkeit. Sprich: Bedeutet das Urteil vom 1.10., dass alle Seiten, die ab 2.10. das nicht wie gefordert umgesetzt haben, abmahnfähig sind? Oder muss das OLG Düsseldorf das EU-Urteil noch in nationales Recht verwandeln? Gibt es hier ähnlich wie bei der DSGVO-Umsetzung eine Frist, bis wann jeder Website-Betreiber das umgesetzt haben muss? Oder setzt das OLG diese Frist?
    Ich kann mir nicht vorstellen, dass das sofort wirksam wird, oder?

    • Ergänzung zu gerade eben: Ein anderer IT-Anwalt sagt dazu:
      „Der Fall selbst ist zwar noch nicht entschieden. Das Endurteil wird von dem Bundesgerichtshof (BGH) gesprochen.
      Der BGH hatte jedoch den EuGH um eine Beantwortung der Fragen zu der Opt-In-Pflicht gebeten. Da der Datenschutz in der EU harmonisiert ist (d.h. einheitlich ausgelegt), müssen derart schwerwiegende Fragen zentral entschieden werden.
      Die Antwort des EuGH ist allerdings für den BGH verbindlich. Angesichts der eindeutigen Antwort des EuGH, wird der BGH jedoch kaum anders entscheiden können. D.h. mit aller Wahrscheinlichkeit wird der auch der BGH eine Opt-In-Pflicht bejahen. Das bedeutet, eine Datenschutzbehörde kann z.B. schon heute eine Opt-In-Pflicht anordnen oder bei Weigerung ein Bußgeld verhängen. Sie kann sich sicher sein, dass ihre Bescheide vor Gericht Bestand haben werden. Das gilt für etwaige Abmahnungen.“

      Zustimmung zu dieser Meinung? Also Abmahngefahr ab sofort?

      P.S. Ich meinte oben nicht das OLG, sondern den BGH 😉

      • Dr. Ronald Kandelhard

        Ja, siehe oben, gilt sofort, Abmahngefahr sofort. Wie ein Cookie Banner aussehen kann/muss, findet Ihr im Mitgliederbereich von easyRechtssicher mit Mustern und Gestaltungsvorschlägen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.