Der europäische Gerichtshof (EuGH) hat am 29.7.2019 eine wegweisende Entscheidung für Betreiber von Webseiten und Apps getroffen. Dabei geht es zum einen um die Einbindung von Plugins und Drittinhalten, zum anderen um die Frage, ob Datenschutzverstöße in Deutschland nach dem Gesetz gegen unlauteren Wettbewerb (UWG) abgemahnt werden können. 

Ausgangspunkt ist ein Verfahren der Verbraucherzentrale NRW gegen einen deutschen Online-Händler. Die Verbraucherzentrale hat beanstandet, dass der Händler auf der eigenen Webseite den Facebook-Like-Button eingebunden hat, ohne dass die Benutzer der Webseite in die Datenübermittlung zu Facebook einwilligen mussten oder jedenfalls darüber aufgeklärt wurden. Der EuGH musste vor diesem Hintergrund entscheiden, ob Datenschutzverstöße überhaupt von Verbraucherschutzverbänden nach dem deutschen UWG abgemahnt werden können und ob der Onlinehändler für die Datenübermittlung und möglicherweise die Datenverarbeitung durch Facebook (mit-)verantwortlich ist.

Beim Facebook-Like-Button bindet der Betreiber der Webseite einen kurzen Code in seine Webseite ein, der eine Anwendung auf Servern von Facebook startet. Dabei kann Facebook auch dann Daten vom Besucher der Webseite erheben, wenn dieser gar nicht auf den Like-Button klickt, unter anderem die IP-Adresse, aber auch Daten über das genutzte Gerät. Sofern ein Nutzer selbst über ein Benutzerkonto bei Facebook verfügt, werden diese Informationen mit seinem Benutzerkonto geknüpft, aber auch wenn der Nutzer nicht bei Facebook registriert ist, werden seine Daten von Facebook verarbeitet. Im konkreten Fall hatte der Nutzer keine Möglichkeit, diese Datenübermittlung zu verhindern.

Das Verfahren war noch nach dem Recht der EU-Datenschutzrichtline von 1995 (RL 95/46/EG) zu entscheiden, nicht nach der EU-Datenschutz-Grundverordnung (DSGVO). Gleichwohl hat das Urteil auch unter der DSGVO erhebliche Bedeutung, da insbesondere die Reglungen zur gemeinsamen Verantwortung und die Rechtsgrundlagen im Wesentlichen unverändert aus der Datenschutzrichtlinie in die DSGVO übernommen worden sind.

Der EuGH hat entschieden, dass keine Mitverantwortung der Seitenbetreibers besteht, wenn er auf die tatsächliche Verarbeitung durch einen anderen Verantwortlichen keinen Einfluss hat, also die Zwecke und Mittel der Verarbeitung nicht bestimmt. Im konkreten Fall heißt das, dass der Online-Händler nicht für alle Datenverarbeitungen durch Facebook mitverantwortlich ist.

Allerdings meint der EuGH, dass der Händler durch die Einbindung des Plugins auf seiner Seite die Datenverarbeitung beeinflusst und daher die Mittel der Verarbeitung mit Facebook gemeinsam bestimmt hat. Hinsichtlich der Zwecke der Verarbeitung meint der EuGH, dass die Einbindung des Plugins der besseren Sichtbarkeit der Angebote des Händlers auf Facebook dient und daher der Händler und Facebook auch gemeinsam jedenfalls einen Zweck (Werbung) definiert haben. Allerdings schränkt der EuGH ein, dass das OLG Düsseldorf die konkreten Umstände nochmals genau zu prüfen hat.

Wenn schon die bloße Ermöglichung der Datenerhebung durch einen anderen Verantwortlichen zu einer gemeinsamen Verantwortung führt, läge eine solche wohl bei jeder Einbindung von Drittinhalten wie z. B. Videos, Bilder, Wetterberichten, Börsenkursen, etc. vor. Die Einbindung der Drittinhalte ermöglicht die Datenerhebung durch den Anbieter der Inhalte und wird meist auch im Interesse des einbindenden Webseitenbetreibers liegen.

Die Entscheidung enthält leider keine konkreten Kriterien für die Abwägung. Die Tatsache, dass dem Besucher der Seite im konkreten Fall gar nicht bewusst war, dass Daten an Facebook übermittelt werden, wird zwar mehrfach erwähnt, findet aber bei der Feststellung der gemeinsamen Verantwortung keine Berücksichtigung. Damit ist unklar, ob eine technische Einbindung, bei der eine Datenübermittlung an den anderen Verantwortlichen erst erfolgt, wenn der Besucher aktiv auf das Plugin oder den Drittinhalt klickt, datenschutzrechtlich anders zu beurteilen wäre. Das aktuelle Urteil des EuGH kann sogar so verstanden werden, dass jeder Link auf eine andere Webseite schon eine gemeinsame Verantwortung auslöst. Die Konsequenzen wären unüberschaubar.

Sofern die Datenverarbeitung auf ein berechtigtes Interesse gestützt werden soll, muss ein solches berechtigtes Interesse bei jedem der gemeinsam Verantwortlichen vorliegen.

Hinsichtlich der Abmahnfähigkeit von Datenschutzverstößen durch Verbraucherverbände hat sich der EuGH klar positioniert und die nationalen deutschen Regelungen für zulässig erachtet. Ob sich diese Einschätzung auch auf die heutige Rechtslage unter der DSGVO übertragen lässt ist fraglich, da sich die konkreten Regelungen inhaltlich unterscheiden und die DSGVO anders als die Richtlinie grundsätzlich vorrangiges Recht ist. Auch hier wird das Urteil in der Praxis für mehr Fragen sorgen als es Antworten geliefert hat.

Praxistipp:

Die Entscheidung erhöht die Haftungsrisiken von Seitenbetreibern bei der Einbindung von Plugins und Drittinhalten ganz erheblich. Derzeit bieten nach unserem Kenntnisstand Anbieter von externen Inhalten keine entsprechenden Vereinbarungen zur gemeinsamen Verantwortung an. In einem ersten Schritt sollten Seitenbetreiber daher prüfen, ob und ggf. welche externen Inhalte in der eigenen Seite integriert sind. Sofern weiter externe Inhalte wie Social-Media-Plugins, Kartendienste, Videos, Bilder, Webschriftarten, etc. in der eigenen Seite eingebunden bleiben sollen, raten wir dazu, diese jedenfalls erst nach einer aktiven Handlung der Besucher nachzuladen, z. B. durch Einbettung von Vorschaubildern, die die aktiven Inhalte erst nach einem Klick laden oder durch Verwendung von Lösungen wie der ursprünglich vom Heise-Verlag entwickelten Open Source Lösung Embetty (früher Shariff). In jedem Fall sollte die Datenschutzerklärung geprüft und ggf. ergänzt werden. Je nach Art des externen Inhaltes kann auch eine andere datenschutzrechtliche Gestaltung möglich sein, z. B. eine Auftragsverarbeitung. Sprechen Sie Ihre Inhaltslieferanten auf die EuGH Entscheidung an. Wir unterstützen Sie bei Bedarf gern.