Keine Datenerhebung ohne Zustimmung der Besucher! Betreiber von Websites sind für Like-Button und ähnliche Plugin mitverantwortlich

Wer auf einer Website den „Gefällt mir“-Button von Facebook oder andere Plugin einsetzt, mit denen personenbezogene Daten verarbeitet und an externe Dritte verschickt werden, muss seine virtuellen Besucher frühzeitig um Erlaubnis fragen. Frühzeitig heißt: Bevor das Plugin geladen wird! Das zeigt ein aktuelles Urteil vom Europäischen Gerichtshof (EuGH).

Der EuGH hat mit seinem Urteil C-40/17 vom 29. Juli 2019 ganz grundlegende Aussagen zur Einbindung von Plugins von Drittanbietern auf Webseiten getroffen. Das Urteil bezieht sich zwar noch auf die frühere Datenschutz-Richtlinie (EG 95/46/EG). Doch die Rechtsauffassung des Gerichts gilt auch für den Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO). Die Auswirkungen dieser Entscheidung dürften von großer Reichweite sein und zwingt die Webseiten-Betreiber zum Handeln, um Verstöße gegen die DSGVO zu vermeiden. Die Feststellungen im Einzelnen:

Der Betreiber der Website ist für die Datenerhebung durch den Plugin-Anbieter mitverantwortlich

Im Urteilsfall ging es konkret um eine Website mit dem Button „Gefällt mir“ von Facebook. Der Betreiber der Website hatte damit ein Plugin von Facebook eingebunden, das auch personenbezogene Daten von den Besuchern der Website erhebt und diese Daten an Facebook übermittelt. Eine Rückfrage bei den Besuchern der Website, ob diese mit der Datenverarbeitung einverstanden wären, gab es nicht. Der EuGH hat nun unmissverständlich klar gestellt, dass auch der Betreiber der Webseite als Verantwortlicher im Sinne der DSGVO anzusehen ist. Das gilt zumindest mit Blick auf die Datenerhebung und die hierdurch initiierte Übermittlung.

Gemeinsame Verantwortlichkeit des Betreibers der Webseite mit dem Anbieter des Plugin

Nach Auffassung des EuGH sind sowohl der Betreiber der Website, der Plugins zur Verarbeitung von personenbezogenen Daten einbindet, als auch der Anbieter dieser Plugins zukünftig als gemeinsame Verantwortliche nach Art. 26 DSGVO anzusehen. Die jeweiligen Verantwortlichen müssen in entsprechenden Vereinbarungen festgelegt werden. Die Verantwortlichkeit des Webseiten-Betreibers endet allerdings mit der Übermittlung, also dem Verlassen der personenbezogenen Daten aus seinem Machtbereich.

Informationspflicht und Einwilligungsvorbehalt

Webseiten müssen ihre Besucher vor dem Nachladen von Plugins umfassend über die Datenerhebung seitens des Plugin-Anbieters informieren.

Weiterhin kann der Betreiber einer Webseite solche Plugin, die personenbezogene Daten des Endgerätes des Webseiten-Besuchers verarbeiten, nur dann rechtmäßig einsetzen, wenn der Nutzer seine Einwilligung gegeben hat. Die nötige Grundlage für eine solche Einwilligung sind klare und umfassende Informationen.

Allerdings erstreckt sich die Informationspflicht des Webseiten-Betreibers sowie der Umfang der einzuholenden Einwilligung nur auf solche Vorgänge der Verarbeitung personenbezogener Daten, für die der Webseiten-Betreiber tatsächlich über die Zwecke und Mittel entscheidet.

Handlungsbedarf sowohl bei Webseiten-Betreibern als auch bei Plugin-Anbietern

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Prof. Dr. Caspar hat in seiner Presseerklärung vom 29.07.2019 darauf hingewiesen, dass „auch andere Methoden des Nutzer-Tracking, bei denen Seitenbetreiber bereitgestellte Analyse-Tools von dritten Anbietern nutzen, an diesen rechtlichen Anforderungen zu messen sind. Dies gilt insbesondere mit Blick auf die Einholung einer informierten Einwilligung durch Seitenbetreiber.“

Handlungsempfehlung

Wer Webseiten betreibt sollte zunächst prüfen, ob auf den eigenen Webseiten auch Plugin von Drittanbietern eingebunden sind. Ist das der Fall, sollte sich der Webseiten-Betreiber an den Empfehlungen orientieren, die die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) in ihren News vom 06.08.2019 veröffentlicht hat (siehe: www.gdd.de)

Formularbuch

2019 cover datennutzungs und datenschutzvertraege

Datenschutz braucht wirksame Datenschutzerklärungen, Datennutzungsverträge, Unternehmensrichtlinien, Betriebsvereinbarungen und vieles mehr. Rechtsanwalt Frank Henkel empfiehlt als Co-Autor das praxisrelevante Formularbuch "Datenschutz- und Datennutzungsverträge" in der 2. Auflage vom
Verlag Dr. Otto Schmidt.

Hier bestellen