Rechtskonformer Einsatz von Social Plugins
Beitrag verfasst von Dr. Claudia Gabauer am 03.09.2019 – KTR-Newsletter Sept 2019
EuGH 29.7.2019, C-40/17, Fashion ID GmbH & Co KG/Verbraucherzentrale NRW e.V.
Da sich nicht nur die nationalen Gerichte mit Datenschutzrecht befassen, sondern auch der EuGH erneut mit einer Datenverarbeitung durch einen Facebook-Dienst in seinem Urteil ZUM URTEIL (curia.europa.eu) vom 29. Juli 2019 (Rechtssache C-40/17, Fashion ID GmbH & Co KG/Verbraucherzentrale NRW e.V.) und dort grundlegende Aussagen zu den Anforderungen an die datenschutzrechtskonforme Einbettung von sogenannten „Social Plugins“ auf Webseiten trifft, haben wir unsere Rechtsanwaltsanwärterin Dr. Claudia Gabauer, LL.M. gebeten, dieses Urteil für Sie zu analysieren und Handlungsempfehlungen für dessen Umsetzung in der Praxis zu geben:
Ausgangsfall dieses Urteils ist die Einbindung von „Gefällt mir“-Buttons von Facebook Ireland („Facebook“) auf der Webseite des bekannten Modeunternehmens. Der EuGH stellt fest, dass die Einbindung dieses Social Plugins zur Folge hat, dass bereits beim Aufruf der Fashion ID-Webseite die personenbezogenen Daten der Besucher an Facebook übermittelt werden. Offenbar erfolgt diese Übermittlung, ohne dass sich die Besucher dessen bewusst sind und unabhängig davon, ob sie Mitglieder des sozialen Netzwerks Facebook sind oder den „Gefällt mir“-Button angeklickt haben.
Zur gemeinsamen Verantwortlichkeit von Facebook und Webseiten-Betreiber
Der EuGH hält fest, dass ein Webseiten-Betreiber, der den „Gefällt mir“-Button von Facebook auf seiner Webseite eingebunden hat, für die Vorgänge des Erhebens der personenbezogenen Daten der Besucher der Webseite (IP-Adresse des Rechners des Besuchers sowie technische Informationen des Browsers) und deren Weiterleitung durch Übermittlung an Facebook als gemeinsam mit Facebook verantwortlich iSd Art 2 lit d Datenschutz-Richtlinie 95/46/EG („Datenschutz-Richtlinie“) angesehen werden kann, da der Webseiten-Betreiber und Facebook gemeinsam über die Zwecke und Mittel der Datenverarbeitung entscheiden. Dahingegen ist der Webseiten-Betreiber nicht verantwortlich für Vorgänge, die Facebook nach der Übermittlung dieser Daten vorgenommen hat, wenn der Webseiten-Betreiber nicht über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten entscheidet.
Ist eine Einwilligung erforderlich?
Der EuGH weist darauf hin, dass nach Art 5 Abs 3 der Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG („e-Privacy-RL“) die Mitgliedstaaten sicherstellen müssen, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf Grundlage von klaren und umfassenden Informationen, die er gemäß der Datenschutz-Richtlinie u.a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Kann der Anbieter eines Social Plugins auf Informationen zugreifen, die im Endgerät des Besuchers der Webseite des Betreibers gespeichert sind, so bedarf es demnach einer Einwilligung des Besuchers.
Wem gegenüber muss die Einwilligung erklärt werden?
Der EuGH stellt klar, dass die Einwilligung gemäß Art 2 lit h und Art 7 lit a der Datenschutz-Richtlinie vor dem Erheben der Daten der betroffenen Person und deren Weitergabe durch Übermittlung erklärt werden muss. Daher obliegt es dem Betreiber der Webseite und nicht dem Anbieter des Social Plugins, diese Einwilligung einzuholen, da der Verarbeitungsprozess der personenbezogenen Daten dadurch ausgelöst wird, dass ein Besucher diese Webseite aufruft. Die Einwilligung, die dem Betreiber gegenüber zu erklären ist, betrifft jedoch nur jene Vorgänge der Verarbeitung personenbezogener Daten, für die er tatsächlich über die Zwecke und Mittel entscheidet.
Wen trifft die Informationspflicht?
Das Gleiche gilt für die Informationspflicht nach Art 10 der Datenschutz-Richtlinie. Aus dem Wortlaut dieser Bestimmung ergibt sich, dass der Verantwortliche – oder sein Vertreter – der Person, bei der die Daten erhoben werden, mindestens die in dieser Bestimmung genannten Informationen bereitstellen muss. Es scheint somit, dass der Verantwortliche diese Information sofort zu geben hat, d.h. zum Zeitpunkt des Erhebens der Daten. Daraus folgt für den vorliegenden Fall, dass die Informationspflicht nach Art 10 der Datenschutz-Richtlinie den Webseiten-Betreiber trifft, wobei dieser die betroffene Person jedoch nur in Bezug auf jene Datenverarbeitungsvorgänge informieren muss, für die dieser Betreiber tatsächlich über die Zwecke und Mittel entscheidet.
Auswirkungen der Entscheidung
Obwohl sich das Urteil auf die Datenschutz-Richtlinie bezieht, lassen sich die vom EuGH gezogenen Schlüsse auch auf die Rechtslage nach der DSGVO übertragen, da die materielle Rechtslage im Vergleich zur Vorgängerbestimmung im Wesentlichen unverändert geblieben ist. Daher ist bei einer Einbindung von Social Plugins auf Webseiten von einer gemeinsamen Verantwortlichkeit gemäß Art 26 DSGVO des Webseiten-Betreibers und des Anbieters des Social Plugins auszugehen ist. Für die Frage der Einwilligungsbedürftigkeit von Social Plugins ist es ausschlaggebend, ob das Social Plugin Cookies platziert oder auf vorhandene Cookies zugreift. Nur wenn keine Cookies involviert sind, könnte eine andere Rechtsgrundlage für die Datenverarbeitung – wie z.B. berechtigte Interessen gemäß Art 6 Abs 1 lit f DSGVO – unter Umständen in Betracht gezogen werden.
Handlungsempfehlungen
Feststellung des Handlungsbedarfs
Überprüfen Sie die Social Plugins sowie Plugins anderer Drittanbieter auf Ihrer Webseite und klären Sie ab, ob bereits mit dem Aufruf der Webseite personenbezogene Daten an den Drittanbieter übermittelt werden
Abschluss einer Vereinbarung nach Art 26 DSGVO
Aufgrund der gemeinsamen Verantwortlichkeit des Webseiten-Betreibers und des Anbieters des Social Plugins ist der Abschluss einer Vereinbarung nach Art 26 DSGVO erforderlich
Anpassung der Datenschutzinformation
Der Webseiten-Betreiber hat den Besuchern seiner Webseite nach Art 13 DSGVO Informationen über die Erhebung und die Übermittlung ihrer personenbezogenen Daten an den Anbieter des Social Plugins zur Verfügung zu stellen. Die Datenschutzinformation auf der Webseite sollte daher – sofern erforderlich – entsprechend adaptiert und ergänzt werden.
Einholen der Einwilligung
Werden im Rahmen des Social Plugins Cookies gesetzt, ist hierfür eine Einwilligung der betroffenen Personen erforderlich, die gegenüber dem Webseiten-Betreiber erteilt werden muss. Eine Einwilligung gilt nicht bereits mit dem Aufruf der Webseite als erteilt, sondern muss unmissverständlich in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung erfolgen (vgl. Art 4 Z 11 DSGVO). Es gibt verschiedene Optionen, wie die Einwilligung eingeholt werden kann. Eine Einwilligung kann z.B. durch den Einsatz von Cookie-Konsensmanagern erteilt werden, wobei hier auf die rechtskonforme Umsetzung geachtet werden sollte. Im Fall der sog. „Zwei-Klick-Lösung“ werden Daten erst mit Aktivierung und Anklicken des Social Plugins an den Anbieter des Social Plugins übermittelt. Eine datenschutzfreundliche Lösung bietet die sog. „Shariff-Lösung“, mit der der Nutzer über ein Bildsymbol direkt auf die Webseite des Social Media Anbieters weitergeleitet wird.
Haftungsausschluss
Bei dieser Hilfestellung handelt es sich um eine unverbindliche Serviceleistung unserer Kanzlei und um keine verbindliche anwaltliche Auskunft. Das Dokument erhebt keinen Anspruch auf Vollständigkeit. Bei Bedarf können wir Sie gerne bei der Umsetzung dieser Maßnahmen unterstützen, wir haben Umsetzungspakete sowohl für Facebook Fanpages als auch der Gefällt-mit – Buttons, die wir anbieten können. – Anfragen bitte an kt@kt.at oder 01/9093070.
Wir haben daher als Service für Sie unseren ständigen Kooperationspartner RA Mag. Alexander Nessler, LL.M. gebeten, Ihnen eine Anleitung zum Überblick zum rechtskonformen Einsatz von Cookies zu geben:
Rechtskonformer Einsatz von Cookies
Man findet sie mittlerweile auf einer großen Anzahl von Webseiten. Tracking und Retargeting-Cookies: Kleine Textdateien, die das Surfverhalten von Besuchern der eigenen Webseite über diese hinausgehend erfassen, sodass diese anschließend auf anderen Webseiten mit gezielter Werbung für das eigene oder auch ein fremdes Angebot wieder angesprochen werden können. Trotz der Beliebtheit des Einsatzes solcher Cookies, herrscht bei vielen Unternehmen jedoch nach wie vor Unsicherheit darüber, wie diese datenschutzkonform zu implementieren sind, insbesondere die dafür erforderliche Einwilligung rechtskonform einzuholen ist.
Die aktuell verwendeten Lösungen reichen von schlichten Cookie-Bannern (die meist am oberen oder unteren Bildschirmrand angezeigt werden) bis zum Einsatz von sogenannten Cookie-Walls (die erst einmal angeklickt werden müssen, um überhaupt zu den Webseiteninhalten zu gelangen).
Problematisch ist oftmals, dass die jeweilige Lösung so implementiert ist, dass Banner und Wall zwar korrekt dargestellt werden, das Setzen von Tracking und Retargeting-Cookies dennoch bereits unabhängig einer etwaigen Einwilligung erfolgt. Ein weiteres verbreitetes Problem ist, dass Webseitenbesuchern oftmals gar keine Wahlmöglichkeit gegeben wird, Cookies zu akzeptieren oder abzulehnen, um eine Webseite nutzen zu können. Regelmäßig kommt es auch vor, dass dem Nutzer keine hinreichende Information darüber geboten wird, wofür bzw wogegen er sich letztlich entscheiden kann.
Die nachstehenden Punkte sollen Ihnen eine unverbindliche Orientierungshilfe bieten, Fallstricke beim Einsatz von Cookies und deren Implementierung zu vermeiden:
1. Nicht alle Cookies sind bedenkenlos genießbar.
Cookies sind regelmäßiger Bestandteil von Webseiten. Groß diskutiert werden oft nur Tracking- und Retargeting-Cookies; tatsächlich werden bestimmte Cookies aber in vielen Fällen schlichtweg für den ordnungsgemäßen Betrieb von Webseiten benötigt. Cookies helfen bei der richtigen Darstellung von Webseiten, der effizienten Nutzung von Onlineshops und verhindern, dass Sprach- und Darstellungspräferenzen jedes Mal aufs Neue eingegeben werden müssen. Cookies sind praktisch, manche greifen gar nicht in die Privatsphäre des Webseitenbesuchers ein, andere schon.
Werden Cookies auf Ihrer Webseite verwendet, so gilt es – abseits der technischen Merkmale – zu unterscheiden, ob für den Betrieb der Webseite unabdingbare, (technisch) bedingte oder sonstige Cookies vorliegen. Die sonstigen Cookies unterteilen sich wiederum in jene, die zwar technisch nicht absolut notwendig sind, aber dennoch aufgrund eines berechtigten Interesses gemäß Art 6 Abs 1 lit f DSGVO vom Webseitenbetreiber verarbeitet werden dürfen und jenen, die jedenfalls eine Einwilligung des Webseitenbesuchers gemäß Art 6 Abs 1 lit a DSGVO voraussetzen.
Deshalb sollte in einem ersten Schritt die Definition und Klassifizierung aller Cookies erfolgen, die auf der eigenen Webseite zum Einsatz kommen (sollen).
2. Privacy by Default; auch auf der Webseite.
Ruft ein Kunde oder Interessent Ihre Webseite auf, dürfen automatisch nur jene Cookies gesetzt bzw ausgelesen werden, die für den Betrieb der Webseite technisch notwendig sind oder die aufgrund Ihres berechtigten Interesses verarbeitet werden. Hierüber ist die betroffene Person dennoch vorab im Rahmen der Datenschutzinformation aufzuklären; diese ist somit für alle Cookies erforderlich, die personenbezogene Daten über Webseitenbesucher verarbeiten.
Wir empfehlen, die korrekte Gestaltung Ihrer Webseite zu überprüfen und gegebenenfalls erforderliche Anpassungen vorzunehmen.
3. Informationsbereitstellung
Wir kennen sie alle: Cookie-Banner und Cookie-Walls. Überall zu sehen, führt die Implementierung aus datenschutzrechtlicher Sicht oft nicht zu einer Zulässigkeit der Verwendung von Cookies, beispielsweise wenn dies intrasparent umgesetzt ist. Cookie-Banner und Cookie-Walls sollen den Webseitenbesucher darüber informieren, dass es zu einer Datenverarbeitung im Zuge des Besuchs der Webseite kommt. Diese Datenschutzinformation ist auf jeder Webseite mit Cookies bereitzustellen und darf dabei weder das Impressum, noch die Datenschutzinformation überdecken.
Der Webseitenbesucher muss dadurch die Möglichkeit erhalten zu erfahren wer welche Cookies zu welchem Zweck verarbeitet und ob dadurch Dritte Zugriff auf seine personenbezogene Daten erhalten. Die Datenverarbeitungen sind im Einzelnen darzulegen und alle Cookies, der jeweilige Anbieter und die konkrete Funktion sind aufzuführen. Art 13 DSGVO sieht darüber hinaus noch weitere – detailliertere – Anforderungen vor, die es dringend einzuhalten gilt. Eine aktuelle Entscheidung der österreichischen Datenschutzbehörde lässt den Schluss zu, dass der Webseitenbetreiber den Einwilligenden vor der Einwilligung umfassend alle für ihn diesbezüglich relevanten Informationen zu offenbaren hat. Inhaltlich sollte man sich an den Artikeln 12 ff DSGVO orientieren.
Eine umfassende Datenschutzinformation ist gerade in Bezug auf Cookies ein wesentlicher Eckpunkt außenwirksamer Datenschutz-Compliance. Wir empfehlen daher eine detaillierte Aufschlüsselung der zum Einsatz gelangenden Cookies.
4. Berechtigte Interessen zur Verwendung von Cookies
Selbst Cookies, die für den Betrieb der Webseite nicht absolut notwendig sind, können ohne Einwilligung der betroffenen Person gesetzt und ausgelesen werden, wenn dies zur Wahrung von berechtigten Interessen des Webseitenbetreibers oder eines Dritten erforderlich ist. Ob eine Verarbeitung im berechtigten Interesse liegt, ist im Einzelfall zu beurteilen. Beispiele für Zwecke, die das Setzen und Auslesen von Cookies im Rahmen eines legitimen Interesses gegebenenfalls begründen könnten: Die Einbindung von Drittinhalten oder Web Fonts aus Effizienz- und Kosteneinsparungserwägungen, die Sicherstellung der Integrität und Sicherheit der Webseite oder Betrugsprävention.
Wir empfehlen die genaue Überprüfung, ob im Einzelfall tatsächlich ein zulässiges berechtigtes Interesse vorliegt. Nehmen Sie sich ausreichend Zeit, das potentielle berechtigte Interesse genau zu definieren, die Erforderlichkeit darzustellen und die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person Ihren Interessen gegenüberzustellen.
5. Aktive Einwilligung (Opt-in)
Sind Cookies weder für den Betrieb einer Webseite unabdingbar und auch nicht aufgrund eines berechtigten Interesses des Webseitenbetreibers oder eines Dritten rechtfertigbar, so ist regelmäßig die Einwilligung des jeweiligen Webseitenbesuchers erforderlich. Gefordert ist eine aktive Einwilligung vor Setzen der jeweiligen Cookies durch Klicken auf den Banner bzw die Wall oder eine sonstige Schaltfläche. Dabei muss der Webseitenbesucher die Möglichkeit haben, die betreffenden Cookies einzeln zu aktivieren. Die pauschale Einwilligung oder ein schlichtes „OK“ auf dem Cookie-Banner ohne Alternativmöglichkeit sind nicht ausreichend.
Wir empfehlen den Einsatz einer professionellen Cookie-Banner-Lösung, welche die notwendige Textinformation enthält und es dem Webseitenbesucher zugleich ermöglicht, einwilligungspflichtige Cookies einzeln zu aktivieren (Opt-in).
Haftungsausschluss
Bei dieser Hilfestellung handelt es sich um eine unverbindliche Serviceleistung unserer Kanzlei und um keine verbindliche anwaltliche Auskunft. Das Dokument erhebt keinen Anspruch auf Vollständigkeit. Für tiefergehende Auskünfte und individuelle rechtliche Beurteilungen stehen wir Ihnen sehr gerne unter kt@kt.at oder 01/9093070 zur Verfügung.