Einbindung von Social Plugins auf Websites
Websitebetreiber, die sog. Social Plugins wie den Facebook-Like-Button in ihre Website mit einbinden, sind gemeinsam mit den Plugin-Anbietern für die Datenverarbeitung verantwortlich, die aufgrund der Einbindung dieses Plugins erfolgt. Das hat der Europäische Gerichtshof (EuGH) mit Urteil vom 29 Juli 2019 (Az. C-40/17) entschieden. Wer also mit solchen Plugins die Wahrnehmung seiner Website erhöhen will und durch das „Liken“ der Nutzerinnen und Nutzer für sein Angebot werben will, muss darauf achten, dass dabei die Datenschutzrechte der Nutzerinnen und Nutzer gewahrt werden.
Bei der Einbindung von Social Plugins raten wir Websitebetreibern seit Langem dazu, den von den Sozialen Netzwerken bereitgestellten Code nicht ungeprüft in ihre Websites einzubinden. Die damit verbundene Datenverarbeitung ist nämlich unzulässig, wenn die Einbindung nicht auf datenschutzrechtlich korrekte Weise erfolgt. Die Websitebetreiber können dafür in Anspruch genommen werden.
Problematisch ist es insbesondere, wenn bereits beim Aufruf der Website ohne Wissen der Nutzerinnen oder Nutzer Informationen über den Aufruf der Website an das Soziale Netzwerk übertragen werden.
Um einen solchen Fall ging es auch in dem Klageverfahren der Verbraucherzentrale NRW gegen eine nordrheinwestfälische Online-Händlerin, in dem wir von den Gerichten beteiligt wurden.
Dabei wurden dem EuGH verschiedene Fragen zur Entscheidung vorgelegt, die die Auslegung des maßgeblichen europäischen Rechts betreffen. Der EuGH hat daraufhin am 29. Juli 2019 (Az. C40/17) unter anderem die Mitverantwortung der Websitebetreiberin bestätigt.
Diese Mitverantwortung geht, wie der EuGH betont hat, so weit, wie die Websitebetreiberin über die Zwecke und Mittel (mit-) entscheidet. Für welchen Datenverarbeitungsvorgang bei der Plugin-Anbieterin, also beim Sozialen Netzwerk, dies nicht mehr gelten soll, lässt die Entscheidung im Einzelnen offen. Der EuGH beschränkt sich nämlich auf die Klärung der ihm gestellten Vorlagefragen.
Der Streitfall gelangte daraufhin zurück an das Oberlandesgericht Düsseldorf und wird dort weiterverhandelt. Dieses wird nun auch zu klären haben, welche Rechtsgrundlagen eventuell für die durchgeführten Datenverarbeitungen herangezogen werden können, und ob ihre Voraussetzungen erfüllt sind. Ferner wird es klären müssen, ob die Verantwortlichen ihren jeweiligen Pflichten, insbesondere den Informationspflichten, in ausreichendem Maße nachgekommen sind.
Das EuGH-Urteil bestätigt die LDI NRW in ihrer Auffassung, dass die Websitebetreiber bei Einbindung von Social Plugins die Datenschutzrechte ihrer Nutzerinnen und Nutzer wahren müssen. So muss insbesondere eine Rechtsgrundlage für die Datenverarbeitung vorhanden sein, und die Nutzerinnen und Nutzer sind rechtzeitig zu informieren. Da sie als gemeinsame Verantwortliche mit den Plugin-Betreibern anzusehen sind, müssen sie seit Geltung der DSGVO außerdem mit diesen eine Vereinbarung darüber schließen, wer von ihnen welche Verpflichtungen aus der DSGVO erfüllt.
Quelle: LDI NRW
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks