Auf Webseiten werden meist eine ganze Reihe von Drittdiensten eingerichtet, um verschiedenste Funktionalitäten zu ermöglichen, z.B.
- um die Interaktion mit Social Media zu erleichtern (Facebook-Like-Button; sonstige Facebook-Plugins; YouTube-Plugin, usw.);
- um zu analysieren wie die Webseite genutzt wird (Google Analyses, Matomo);
- um das Schalten von Werbung zu ermöglichen;
- um Schriftarten und Weboberflächen einzubinden.
Als Rechtsgrundlage für diese Einbindung von Drittdiensten und die damit im Zusammenhang stehende Übertragung von personenbezogenen Daten wurde bisher von sehr vielen Webseitenbetreibern auf ein überwiegendes berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO gebaut. Für weitere Datenschutzinformationen wurde auf Google, Facebook und Co. als eigenständige Verantwortliche verwiesen.
Dieser Praxis hat der EuGH mit seinem Urteil vom 29.07.2019 (Az.: C-40/17) zum Facebook-Like-Button einen Riegel vorgeschoben. Damit setzt der EuGH seine strenge Rechtsprechung zur gemeinsamen Verantwortlichkeit fort.
Nach Ansicht des EuGH liegt eine solche gemeinsame Verantwortlichkeit zwischen dem Anbieter des Drittdienstes und dem Webseitenbetreiber bereits dann vor, wenn ein solches Plugin des Drittanbieters den Browser des Webseitenbesuchers zur Übermittlung von personenbezogenen Daten auffordert. Das ist allerdings fast immer der Fall, da zumeist wenigstens die IP-Adresse übertragen wird, die bereits als personenbezogenes Datum gilt. Dabei spielt es auch keine Rolle, ob der Seitenbetreiber überhaupt weiß, welche konkreten Daten der Drittdienst durch sein Plugin sammeln und übertragen lässt.
Der EuGH hat klar gemacht, dass für jeden einzelnen Verarbeitungsschritt geprüft werden muss, ob eine gemeinsame Verantwortlichkeit vorliegt. Dabei geht er bei der Erhebung und Weiterleitung der Daten an den Drittanbieter grundsätzlich von einer gemeinsamen Verantwortlichkeit aus. Infolge dieses Urteils wird es für Webseitenbetreiber nun wesentlich schwieriger, Drittdienste rechtskonform in ihren Onlineauftritt mit einzubauen.
Zunächst muss geprüft werden, ob im konkreten Fall eine Auftragsverarbeitung vorliegt. Das ist zu bejahen, wenn eine Art von Outsourcing unter der Kontrolle des Webseitenbetreibers als Verantwortlichem stattfindet (zum Beispiel die Einbindung eines Bewerbungsmanagementdienstes). In solchen Fällen kommt auch weiterhin ein überwiegendes berechtigtes Interesse als Rechtsgrundlage für die Verarbeitung infrage. Mit dem Dienstanbieter müsste dann aber trotzdem noch ein Auftragsverarbeitungsvertrag geschlossen werden.
Wesentlich schwieriger wird es, wenn (wie in den meisten Fällen) tatsächlich eine gemeinsame Verantwortlichkeit vorliegt. Einerseits muss in diesem Fall ein sog. Joint Controller Vertrag geschlossen werden und andererseits fällt das überwiegende berechtigte Interesse als Rechtsgrundlage nahezu aus.
Grund dafür ist, dass nach Ansicht des EuGH gleichzeitig bei beiden Verantwortlichen (also zum Beispiel beim Webseitenbetreiber und bei Facebook) ein überwiegendes berechtigtes Interesse vorliegen muss, damit sich auch nur einer von beiden darauf berufen kann.
Damit bleibt in den meisten Fällen nur noch die Einwilligung als mögliche Rechtsgrundlage übrig (Art. 6 Abs. 1 lit. f DSGVO). Vor einer wirksamen Erteilung einer Einwilligung muss der Besucher der Website allerdings darüber informiert werden, welche Daten erhoben werden und wie sie im Weiteren verarbeitet werden. Dies stellt die Webseitenbetreiber vor die schwierige Aufgabe, herauszufinden, welche Daten Facebook, Google und Co. überhaupt durch ihre Plugins erheben und an sich übertragen lassen.
Hat der Seitenbetreiber diese Hürde erst genommen und kann er die notwendigen Datenschutzinformationen vor der Einwilligung erteilen, muss er noch die eigentliche Einwilligung einholen. Dazu kommen im Wesentlichen die sog. Cookie-Banner in Frage. Dabei muss der Benutzer allerdings schon auf dem Cookie-Banner erkennen können, in welche Verarbeitungsvorgänge er einwilligen soll. Zudem muss er die Möglichkeit haben, die Einwilligung zu verweigern. Solange es keine Einwilligung gibt, dürfen die entsprechenden Dienste auch nicht verwendet werden.
Möchte der Webseitenbetreiber vermeiden, dass der Besucher der Seite nur vor der Wahl steht, ob er alle Drittdienste oder keinen Drittdienst zulassen möchte (wodurch im Zweifel alle Dienste deaktiviert werden), muss er innerhalb des Cookie-Banners noch nach den einzelnen Plugins unterscheiden.
Hierbei muss außerdem beachtet werden, dass der europäische Gesetzgeber vorgegeben hat die Voreinstellungen möglichst datenschutzfreundlich auszugestalten. Daher darf die Aktivierung aller Drittanbieterdienste auch nicht aufgedrängt werden (z.B. indem alle Dienste mit einem Häkchen versehen werden, die der Besucher der Webseite alle einzeln entfernen muss, um keine oder eine beschränkte Einwilligung zu erteilen).
Dieses Urteil, das vordergründig Facebook galt, wird nun für viele Unternehmen, die auf eine Einbindung von Drittdiensten zur vernünftigen Nutzung und Pflege ihrer Webseite angewiesen sind, zur großen Herausforderung. Bei Fragen, Problemen und jedweder Unterstützung bezüglich dieser und anderer Datenschutzthemen stehen wir Ihnen gerne zur Seite.
Alexander Siebert
Rechtsanwalt (Datenschutzrecht, Arbeitsrecht, Gesellschaftsrecht und allgemeines Zivilrecht)
TÜV-zertifizierter Datenschutzbeauftragter
Ihre Ansprechpartner
Rechtsanwalt Dieter Merz
Fachanwalt für Arbeitsrecht
Telefon: 0351 – 89692140
E-Mail: E-Mail an Dieter Merz
Rechtsanwalt Albrecht Lauf
Fachanwalt für Arbeitsrecht
Fachanwalt für Handels- und Gesellschaftsrecht
Telefon:
0351 – 89692140
E-Mail an Albrecht Lauf
Telefon:
0351 – 89692140
E-Mail an Sabrina Lahne