EuGH-Urteil mit starker Breitenwirkung

EuGH-Urteil mit starker Breitenwirkung!

EuGH-Urteil

Der Europäische Gerichtshof (EuGH) hat in seinem Urteil vom 29. Juli 2019 in der Rechtssache C-40/17 Fashion ID GmbH & Co. KG gegen die Verbraucherzentrale NRW e.V., grundlegende Aussagen im Hinblick auf die Einbindung von PlugIns von Drittanbietern in Websites getroffen.

Anforderungen an die Einbindung von Drittanbieter-Plugins in Websites

Der Europäische Gerichtshof (EuGH) hat in seinem Urteil vom 29. Juli 2019 in der Rechtssache C-40/17 Fashion ID GmbH & Co. KG gegen die Verbraucherzentrale NRW e.V., grundlegende Aussagen im Hinblick auf die Einbindung von Plugins von Drittanbietern in Websites getroffen.

Prüfung des Handlungsbedarfs auf Grund des Urteils

Rechtsanwender sind dringend angehalten, die Feststellungen des EuGH auf die derzeitige Rechtslage anzuwenden und erforderlichenfalls kurzfristig Maßnahmen zu ergreifen, um bei dem Einsatz von Drittanbieter-Plugins auf ihren Websites keine sanktionsfähigen Verstöße gegen die DS-GVO zu begehen und so das Risiko von etwaigen Verbandsklagen und Abmahnungen zu minimieren.

Auf Grund des Zeitpunkts der Klageerhebung im Ausgangsverfahren setzt sich der EuGH in seinen Entscheidungsgründen zwar mit der bis zum 25. Mai 2018 geltenden Rechtslage auseinander. Allerdings finden sich die streitgegenständlichen Aspekte - wie bspw. Transparenzpflichten des Verantwortlichen - nahezu unverändert oder sogar verschärft in der DS-GVO wieder; zumal auch die ePrivacy-Richtlinie noch nicht durch die ePrivacy-Verordnung ersetzt wurde.

Bitte beachten Sie insoweit hierzu unsere Handlungsempfehlungen!

Hintergrund

Die Fashion ID GmbH & Co. KG (fortan: Fashion ID) hatte als Online-Händler für Modeartikel auf ihrer Website das Plugin „Gefällt mir“ des sozialen Netzwerks Facebook Ireland Ltd. (im Folgenden: Social Plugin) eingebunden.

Die Einbindung erfolgte laut Feststellung des OLG Düsseldorf derart, dass das Social Plugin nicht inhaltlicher Bestandteil der Website war, auf der das Plugin eingebunden wurde, sondern das Plugin bei jedem Seitenaufruf der Website von Facebook-Servern auf den Computer der Website-Besucher nachgeladen wurde (d.h. es erfolgte bei jedem Besuch der Fashion ID-Website automatisch ein Abruf sog. Drittanbieter-Inhalte von Facebook-Servern).

Exkurs: Technische Hintergrundinformationen

Bei diesem Vorgang des Skript-Nachladens übermitteln die Browser der Website-Besucher automatisch deren aktuellen IP-Adressen an Facebook-Server, sowie technische Browsereinstellungen als auch anhand der sog. Referrer-URL Informationen über die Website, in die das Social Plugin eingebunden ist. Loggt sich ein Facebook-Nutzer später mit derselben IP-Adresse in dem sozialen Netzwerk ein, ist Facebook technisch dazu in der Lage, die erhobenen Daten rückwirkend dem Nutzer zuzuordnen und auf diese Weise sein Profil für die werbliche Ansprache zu schärfen.

Diese Übermittlung personenbezogener Daten an Facebook Ireland Ltd. erfolgt - sofern keine besonderen Vorkehrungen des Seitenbetreibers getroffen wurden -, regelmäßig und ohne dass sich der Internet-Benutzer dessen bewusst ist und unabhängig davon, ob der Besucher Mitglied des sozialen Netzwerks Facebook ist oder die „Gefällt mir“-Schaltfläche des Facebook Plugins zuvor angeklickt wurde.

In erster Instanz hatte die Verbraucherzentrale NRW klageweise Fashion ID vor dem Landgericht (LG) Düsseldorf auf Unterlassung dieser Datenübermittlungspraxis an Facebook in Anspruch genommen und einen Teilerfolg erzielt.

Gegen diese Entscheidung hatte Fashion ID beim Oberlandesgericht (OLG) Düsseldorf Berufung eingelegt und Facebook war als Streithelferin zur Unterstützung der Fashion ID Anträge beigetreten. Das OLG Düsseldorf hatte daraufhin im Wege des Vorabentscheidungsverfahrens dem EuGH Rechtsfragen hinsichtlich der Anwendung der Europäischen Datenschutzrichtlinie 95/46 mit der Bitte um Entscheidung vorgelegt (Vorlagefragen siehe Rn. 42 des Urteils).

Hinsichtlich der ersten Vorlagefrage, bestätigte der EuGH, dass es seitens des deutschen Gesetzgebers zulässig war, mit dem Erlass des Unterlassungsklagegesetzes eine nationalstaatliche Regelung zu schaffen, die es Verbänden erlaubt, eine Unterlassungsklage gegen Unternehmen anzustrengen, die Vorschriften zum Schutz personenbezogener Daten verletzen (s. Antwort auf die Vorlagefrage Nr. 1, a.E. des Urteils sowie ausführlich Rn. 43 f. (63)).

Seit 25. Mai 2018 sieht der Verordnungsgeber die Möglichkeit der Interessenvertretung durch Verbände ausdrücklich in Art. 80 DS-GVO vor.

Ungleich massivere Auswirkungen dürfte jedoch von der Beantwortung der anderen Vorlagefragen ausgehen:

Verantwortlichkeit des Website-Betreibers für Datenerhebung des Plugin-Anbieters

So qualifiziert der EuGH Website-Betreiber, die ein Plugin in ihre Website einbinden, das personenbezogene Daten der Website-Besucher ohne weitere Rückfrage erhebt und an Dritte übermittelt (hier: Facebook als Anbieter des Social Plugins „Gefällt mir“), als Verantwortliche im Sinne des Datenschutzrechts, zumindest für diese Datenerhebung und die hierdurch initiierte Übermittlung (siehe Antwort Nr. 2 auf die Vorlagefragen; a.E. des Urteils sowie 64 f. (85)).

Gemeinsame Verantwortlichkeit des Website-Betreibers mit Plugin-Anbieter

Angesichts von Art. 26 DS-GVO wird man solche Plugins einbindende Website-Betreiber und Anbieter solcher Plugins zukünftig als gemeinsame Verantwortliche qualifizieren und in entsprechenden Vereinbarungen die jeweiligen Verantwortlichkeiten im Sinne von Art. 26 DS-GVO festlegen müssen.

Unter Berücksichtigung der Auffassung des Spruchkörpers wird jedoch davon auszugehen sein, dass die Verantwortlichkeit des Website-Betreibers mit der Übermittlung, und somit dem Verlassen der personenbezogenen Daten aus seinem Machtbereich, endet (vgl. Rn. 85). Insoweit bestätigt der EuGH mit diesem Urteil die von der GDD bislang vertretene sog. Ketten-Theorie zur gemeinsamen Verantwortlichkeit.

Informationspflicht und Einwilligungsvorbehalt bzgl. Drittanbieter-Plugin

Nach EuGH-Auffassung sind Websitebetreiber nach Art. 10 EG Richtlinie 95/46 (fortan: DSRL) dazu verpflichtet, die Website-Besucher vor(!) dem Nachladen des Plugins umfassend über die hierdurch stattfindende Datenerhebung seitens des Plugin-Anbieters zu informieren.

Zudem folge aus Art. 5 Abs. 3 EG-Richtlinie 2002/58 (fortan: ePrivacyRL), dass ein Website-Betreiber ein solches Plugin, mit dessen Einsatz die Verarbeitung personenbezogener Daten des Endgeräts des Website-Besuchers verbunden ist, nur dann rechtmäßiger Weise einsetzen dürfe, wenn der „Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er [...] u.a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat“ (Rn. 88 f. (89)).

Dies wiederum dürfte neben dem Social Plugin von Facebook auf zahlreiche derzeit im Einsatz befindliche Plugins von Drittanbietern zutreffen (z.B. Adobe Truetype, Google Analytics, Google ReCaptcha uvm.).

Die Informationspflicht, der der Website-Betreiber im Rahmen der Einbindung eines solchen Plugin unterliegt, sowie der Umfang der einzuholenden Einwilligung, beschränkt sich nach Auffassung der Brüsseler Richter alleinig auf „den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten“ „für den bzw. für die dieser [...] tatsächlich über die Zwecke und Mittel entscheidet“.

Dringender Handlungsbedarf bei Website-Betreibern und Plugin-Anbietern

Das Urteil hat somit nicht nur zur Folge, das Anbieter von Social Plugins, wie Twitter, Facebook, Google uvm. zukünftig den Website-Betreibern Vereinbarungen nach Art. 26 DS-GVO zur Verfügung stellen müssen.

Es werden auch zahlreiche Website-Betreiber, die Plugins von Drittanbietern einsetzen, ihre Erklärungen zum Datenschutz anpassen und in technischer Hinsicht dafür Sorge tragen müssen, dass das Nachladen solcher Plugins, bei denen eine Übermittlung personenbezogener Daten an den Plugin-Anbieter erfolgt, nur dann geschieht, wenn die Website-Benutzer ihre Einwilligung hierzu erteilt haben (vgl. GDD-Handlungsempfehlungen unten).

Handlungsempfehlung

Das Urteil des EuGH bringt Klarheit aber auch Handlungsbedarf bei den Betreibern von Websites mit eingebundenen Drittanbieter-Plugins mit sich. Um in Zukunft eine Website datenschutzkonform zu betreiben, sollten folgende Punkte beachtet werden:

1. Handlungsbedarf abklären

Bitten Sie die Fachabteilungen um Klärung der Frage, ob auf der Unternehmenswebsite Skripte bzw. Plugins von Drittanbietern zum Einsatz gelangen, die automatisch bei Besuch der Website auf den Computern der Website-Besucher nachgeladen werden und hierdurch personenbezogene Daten der Websitebesucher übermitteln. Achtung: Dies umfasst auch die bloße, womöglich technisch bedingte, Übermittlung der IP-Adresse. Denn diese gelten lt. Legaldefinition in Art. 4 Nr. 1 DS-GVO als personenbezogenes Datum; jedenfalls, dann wenn der Anbieter - wie bspw. Facebook - wohlmöglich die faktische Möglichkeit hat, über Zusatzinformationen herauszufinden, wer sich hinter der IP-Adresse verbirgt. Letzteres trifft auf alle Anbieter zu, die Plattformen/Websites mit eigenen Nutzerkonten betreiben (z.B. Adobe, Google, Twitter, etc. pp.).

Falls Drittanbieter-Plugins zum Einsatz gelangen, bitten Sie um Prüfung, ob nicht auch alternativ ein Einsatz des/der Plugins auf dem eigenen Webserver möglich ist (sog. „on premise“-Lösungen), so dass ein Nachladen des Drittanbieter-Plugins und die hiermit einhergehende Datenübermittlung technisch obsolet wird (so z.B. bei Google Fonts möglich).

Häufig existieren auch Alternativen, die auf dem eigenen Server betrieben werden können, z.B. die Reichweitenanalysesoftware Matomo (ehemals: Piwik), siehe matomo.org.

2. Erforderlichenfalls Datenschutzerklärungen anpassen

Die Informationspflichten des Website-Betreibers umfassen sämtliche Verarbeitungsvorgänge von personenbezogenen Daten, für die der Betreiber der Website die Zwecke und Mittel festlegt. So muss er über die Einbindung des Plugins und die Übermittlung der Daten an den Anbieter des Plugins (z.B. Facebook Ireland Ltd.) gemäß den Vorgaben des Art. 13 DS-GVO informieren. Wie oben ausgeführt beschränkt sich die Informationspflicht jedoch nur auf den seiner Verantwortlichkeit unterliegenden Teil der Datenverarbeitung.

3. Einwilligung / Opt-In für das Drittanbieter-Plugin umsetzen

Für die Einholung der Einwilligung bzw. Gestaltung der Opt-In Lösung gibt es zwei gut umsetzbare Optionen:

(1) Einsatz von Cookie-Konsensmanagern

Konsensmanager ermöglichen die Einholung der vorgeschriebenen Einwilligung ihrer Websitebesucher mithilfe eines Tools. Einige dieser Tools finden sie unter folgendem Link: https://www.cookiechoices.org/ (Achtung, es handelt sich um eine Website von google)

(2) Zwei-Klick-Lösung

Bei der Zwei-Klick-Lösung findet eine Datenübertragung erst beim Klick auf die Social Media Buttons statt und nicht bereits beim bloßen Aufrufen der Website. Mittels Klick auf den Button erklärt sich der Besucher der Website mit der Datenübertragung einverstanden und kann dann liken, teilen und kommentieren oder Videos betrachten.((Quelle: https://www.heise.de/ct/ausgabe/2014-26-Social-Media-Buttons-datenschutzkonform-nutzen-2463330.html))

(3) c’t-Shariff-Lösung

Die c’t-Shariff-Lösung umgeht - ähnlich wie die 2-Klick-Lösung - das Nachladen der Drittanbieter-Plugins und stellt seinerseits optisch prominent HTML-Links bereit, die mittels CascadingStyleSheets (CSS) individuell an das vorhandene Website-Design angepasst werden können. Die Shariff-Lösung schützt die Websitebesucher ebenso wie die Zwei-Klick-Lösung, erspart ihnen jedoch einen Klick und überträgt so lange nicht ihre IP-Adresse, bis die Websitebesucher die mittels Shariff-eingebundenen Social-Media-Schaltflächen anklicken. Sie bietet jedoch neben der designtechnischen Anpassbarkeit den Mehrwert, dass die statistischen Informationen der Social-Plugin-Anbieter abgerufen werden, z.B. wie häufig die Schaltflächen schon angeklickt bzw. benutzt wurden (z.B. zum Liken oder Twittern).((Quelle: https://www.heise.de/ct/ausgabe/2014-26-Social-Media-Buttons-datenschutzkonform-nutzen-2463330.html))

Informationen für Webmaster, die die Shariff-Lösung einsetzen möchten:

https://www.heise.de/ct/artikel/Shariff-Social-Media-Buttons-mit-Datenschutz-2467514.html

bzw.

https://github.com/heiseonline/shariff

Externer Link zum Urteil