Am 29. Juli 2019 hat der Europäische Gerichtshof entschieden (Urteil vom 29.07.2019, Az. C‑40/17), dass Websitebetreiber, die einen sog. Like-Button („Gefällt Mir“-Button) auf ihrer Website einbinden, gemeinsam mit Facebook datenschutzrechtlich verantwortlich sind. In der Folge muss der Websitebetreiber vom Nutzer vor der Nutzung des Like-Buttons eine Einwilligung einholen und den Nutzer entsprechend informieren.
Startups, die Social-Media-Plugins einsetzen, müssen nun dringend ihren Datenschutz anpassen.
Der Fall: Verbraucherzentrale gegen Fashion-ID
Die Verbraucherzentrale NRW ist gegen den Websitebetreiber Fashion-ID vorgegangen, der den Facebook Like-Button („Gefällt Mir“-Button) auf seiner Website eingesetzt hatte. Laut Verbraucherzentrale würden über den Like-Button personenbezogene Daten an Facebook übermittelt werden, ohne dass eine dazu erforderliche Einwilligung vom Nutzer eingeholt würde.
Die Entscheidung des EuGH
Der EuGH hat sich der Argumentation der Verbraucherzentrale weitestgehend angeschlossen und entschieden, dass ein Websitebetreiber gemeinsam mit Facebook für die Datenverarbeitung verantwortlich ist, wenn der der Websitebetreiber auf seiner Website den Like-Button von Facebook einsetzt. Demnach hat der Websitebetreiber auch die datenschutzrechtlichen Vorgaben einzuhalten.
Folgen des EuGH Urteils
In der Folge dürfen Startups nur nach vorheriger Einwilligung oder auf Grundlage einer Interessenabwägung Daten des Nutzers über den Like-Button erheben bzw. durch Facebook erheben lassen. Tools wie die Shariff-Lösung oder Embetty von Heise können dabei helfen, Daten nur dann zu übertragen, wenn der Nutzer auch tatsächlich auf den Like-Button klickt. Ob die Einbindung dieser Tools allerdings Rechtssicherheit verschafft, ist derzeit noch unklar.
Zudem müssen Startups eine Vereinbarung über die gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO (sog. Joint Controller) abschließen. Wir gehen davon aus, dass Facebook seine Nutzungs- und Datenschutzbedingungen in Kürze entsprechend anpassen wird, um den Websitebetreibern den Abschluss einer solchen Vereinbarung zu ermöglichen. Bis dahin ist die Nutzung des Like-Buttons allerdings rechtswidrig.
Schließlich muss der Websitebetreiber den Nutzer über die Verarbeitung der Daten durch Facebook und die gemeinsame Verantwortlichkeit in seiner Datenschutzerklärung informieren. Startups müssen ihre Datenschutzerklärung entsprechend anpassen.
Das müssen Startups jetzt tun?
- Like-Buttons dürfen nicht mehr ohne weiteres auf Websites eingebunden werden. Vielmehr muss der Nutzer vor Erhebung seiner Daten einwilligen. Empfehlenswert ist die Nutzung der Shariff-Lösung oder Embetty von Heise. Ob diese den datenschutzrechtlichen Anforderungen des neuen Urteils genügen ist allerdings unklar.
- Vereinbarung mit Facebook zur gemeinsamen Datenverarbeitung (sog. Joint Controller) nach Art. 26 DSGVO schließen. Wir gehen davon aus, dass Facebook die Bedingungen in Kürze anpassen wird.
- Datenschutzerklärung anpassen und über die gemeinsame Datenverantwortung mit Facebook informieren.
Gemeinsame Verantwortlichkeit beschränkt auf Erhebung und Übermittlung der Daten
Positiv ist, dass der EuGH die gemeinsame Verantwortlichkeit auf die Erhebung der Daten über den Like-Button und die Übermittlung dieser Daten an Facebook beschränkt hat. Startups sind daher nicht für die weitere Verwendung der Daten durch Facebook, wie z.B. Analyse- und Werbemaßnahmen, verantwortlich.
Urteil gilt nicht nur für Facebook Like-Button
Die datenschutzrechtliche Verantwortlichkeit für Startups endet jedoch nicht bei der Verwendung des Facebook Like-Buttons. Auch wenn der EuGH im konkreten Fall nur über den Like-Button von Facebook entschieden hat, lässt sich die Entscheidung auch auf andere Social-Media-Plugins übertragen.
Viele der Social Media Networks bieten jedoch derzeit keine entsprechende rechtliche Vereinbarung für ein Joint Controllership an. Es bleibt zu hoffen, dass die anderen Netzwerke kurzfristig nachziehen und ihre Bedingungen anpassen. Bis dahin ist die Nutzung von Social-Media-Plugins rechtswidrig.
Auswirkungen auf Cookies?
Bei konsequenter Umsetzung des Urteils wären neben den Social-Media-Plugins auch weitere Online-Marketing und Tracking-Tools von dem Urteil betroffen. Konsequenter Weise müssten Startups dann auch für die Nutzung von z.B. Google Analytics eine Einwilligung des Nutzers einholen.
Dies lässt sich am einfachsten über einen Cookie-Banner bewerkstelligen. Dieser muss jedoch so gestaltet sein, dass die Cookies tatsächlich erst dann geladen werden, wenn der Nutzer seine Einwilligung erteilt ist. Im Großen und Ganzen muss der Nutzer die Website daher auch ohne Bestätigung der Cookies nutzen können. Zudem müssen im Cookie Banner die einzelnen Anbieter, wie z.B. Google und Facebook, aufgeführt werden und der Nutzer muss die Möglichkeit haben, einzelne Cookies anzunehmen bzw. abzulehnen. Es muss dem Nutzer auch möglich sein, seine Einwilligung später zu wiederrufen, indem er seine Einstellungen wieder ändern kann. Viele Cookie-Banner erfüllen diese Voraussetzungen jedoch nicht.
Das müssen Startups bei der Gestaltung eines Cookie-Banners beachten:
- Laden der Cookies erst nach Einwilligung des Nutzers
- Anbieter einzeln aufführen und benennen
- Unterscheidung nach Art/ Funktionsweise der Cookies (Verweis auf Datenschutzerklärung)
- Spätere Änderung der Einstellung ermöglichen
- Die Nutzung der Website muss auch ohne Einwilligung möglich sein.
Fazit – Weitreichende Haftung und Pflichten für Startups
Das Urteil des EuGH gilt als wegweisend und zieht weitreichende Verpflichtungen für Startups mit sich. Startups sollten dringend die Einbindung von Social-Plugins überarbeiten und den Datenschutz entsprechend anpassen. Tools wie die Shariff-Lösung oderEmbetty können dabei helfen, Social-Media-Plugins technisch so einzubinden, dass nur nach ausdrücklichem Klick auf das Plugin Daten übertragen werden. Auch die Einbindung eines rechtskonformen Cookie-Banners ist in Konsequenz des Urteils ratsam.
Du hast Interesse an detaillierten Informationen zum Thema oder rechtliche Fragen?
Kontaktiere gerne unsere Expertin.
Der #StartupTrend ist eine Publikation zu rechtlichen Themen, die vor allem für Gründer, Startups und junge Unternehmen relevant sind.
Mehr #StartupTrends: hier klicken.