Die Nutzung von (Social) Plug-Ins von Drittanbietern durch Webseitenbetreiber bietet eine Fülle an Vorteilen, um aus Marketingsicht kostenlos den Bekanntheitsgrad zu steigern. Allerdings ist grade die Nutzung der Facebook Social Plug-Ins mit erheblichen juristischen und datenschutzrechtlichen Risiken sowie Streitigkeiten verbunden. Nun hat der EuGH in einem Vorabentscheidungsverfahren im Juli diesbezüglich einige Entscheidungsgrundsätze festgelegt.
Gemeinsame Verantwortliche i.S.d. Art. 26 DSGVO
Der EuGH hat entschieden, dass bis zur Übermittlung der zuvor erhobenen personenbezogenen Daten der Webseitenbetreiber mit Facebook als gemeinsamer Verantwortlicher i.S.d. Art. 26 DSGVO zu sehen ist, da beide bei der erstmaligen Erhebung der personenbezogenen Daten über die Zwecke und Mittel entscheiden. Durch Einbindung des Social Plug-Ins (wie z.B. den „Gefällt mir“ Button von Facebook) wird es Betreibern der Website ermöglicht eine Werbungsoptimierung zu erreichen, indem diese in sozialen Netzwerken sichtbar gemacht werden, wenn ein Besucher der Website den Button anklickt. Um in den Genuss dieses wirtschaftlichen Vorteils kommen zu können, willigt der Betreiber der Website mit der Einbindung eines solchen Buttons bzw. Social Plug-Ins zumindest stillschweigend in die Erhebung personenbezogener Daten der Besucher der Website sowie deren Weitergabe durch Übermittlung ein. Als Gegenleistung für den oben beschriebenen kostenlosen Vorteil, kann Facebook über diese übermittelten Daten für eigene wirtschaftliche Zwecke frei verfügen. Unerheblich ist, dass der Seitenbetreiber nach der Übermittlung der Daten an Facebook oder einen anderen Anbieter des Social Plug-Ins gar keinen Zugriff mehr auf die personenbezogenen Daten hat. Somit werden diese Verarbeitungsvorgänge im wirtschaftlichen Interesse sowohl von dem Webseitenbetreiber als auch von Facebook durchgeführt.
Folgen des Urteils
Dies hat zur Folge, dass den Betreiber der Website eine umfassende Informationspflicht über die Datenverarbeitung trifft. Insbesondere ist bei der Nutzung des Facebook Plug-Ins darüber zu informieren, dass eine Übermittlung der personenbezogenen Daten an Facebook auch bei einer Nichtanmeldung bei dem sozialen Netzwerk erfolgt und sogar auch dann stattfindet, wenn überhaupt kein Account angelegt ist. Daher sollte eine Einwilligung der betroffenen Person über die Erhebung und die Übermittlung der Daten eingeholt werden. Sollte sich bei der Verarbeitung der Daten auf ein berechtigtes Interesse gestützt werden, so hat der EuGH darauf hingewiesen, dass jeder der (Mit-)Verantwortlichen ein solches berechtigtes Interesse an der Erhebung und der Übermittlung der personenbezogenen Daten haben muss, damit diese Vorgänge für jeden Einzelnen gerechtfertigt ist. Ob ein solches berechtigtes Interesse auch bei einem Anbieter eines Social Plug-Ins vorliegt, kann im Moment noch nicht abschließend beantwortet werden, sodass im Moment dem Erfordernis der Einwilligung eine größere Bedeutung zu kommt. Der Webseitenbetreiber sollte mithin in seiner Datenschutzerklärung auf die Funktionsweise des Plugins und die Widerspruchsmöglichkeit hinweisen.
Fazit und Umsetzung des Urteils
Ein Verzicht auf die Einbindung von Social Plug-Ins erscheint fernliegend, zumal ein datenschutzkonformes „Zusammenspiel“ aufgrund vielfältiger Maßnahmen möglich ist. Jedoch sollte das Einwilligungserfordernis oder die berechtigten Interessen sowie die Erforderlichkeit der Datenverarbeitung beachtet werden. Durch die Einbindung besonderer Plugins wie dem Shariff-Button, einem Open-Source-Programm, oder der Zwei-Klick-Lösung können Betreiber einer Website eine automatische Übermittlung von personenbezogenen Daten an die Anbieter des Social Plug-Ins beim Besuch des Internetauftritts zunächst unterbinden. Erst mit einem bzw. zwei vorgeschalteten Klicks wird dem Nutzer das Teilen von Inhalten ermöglicht und somit der Kontakt zwischen Nutzer und sozialem Netzwerk hergestellt. Auch kann ein Hinweis im Cookie-Banner auf die Social Plug-Ins, ihre Funktion und das Widerspruchsrecht hingewiesen werden. Allerdings ist nur ein solcher Hinweis allein wohl nicht sehr ausreichend und unter den Datenschutzbehörden sehr umstritten. Wie eine genaue datenschutzkonforme Umsetzung zu erfolgen hat, ist allerdings erst mit dem Urteil des OLG Düsseldorf, welches die Vorabentscheidung des EuGHs in seinem Urteil berücksichtigen muss, zu erwarten.