[datensicherheit.de, 03.08.2019] Auch der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) nimmt Stellung zum Urteil des Europäischen Gerichtshofs (EuGH) zu dem facebook-„Like Button“: Dieser „Gefällt-mir“-Button sei ein „Social Plugin“ von facebook, welches Betreiber von Webseiten darauf zum Optimieren der Werbung für ihre Produkte einbinden könnten und worüber Nutzungsdaten der Seitenbesucher an facebook übermittelt würden. Ohne deren weiteres Zutun erfahre facebook damit, „wann von welcher IP-Adresse – und bei facebook-Mitgliedern häufig von welcher Person konkret – welche Internet-Seite aufgerufen wurde“. facebook erhalte damit Einblick in das Surfverhalten vieler Nutzer, selbst solcher, „die nicht Mitglied des Sozialen Netzwerks sind“. Der EuGH habe nun mit Urteil vom 29. Juli 2019 entschieden, „dass die Seitenbetreiber hinsichtlich dieser Übermittlungen als Verantwortliche im Sinne des Datenschutzrechts anzusehen sind“.

Verbraucherzentrale NRW klagte gegen Modehändler Fashion ID

Hintergrund des Verfahrens sei ein Rechtsstreit, mit dem sich das Oberlandesgericht Düsseldorf befasst habe. „Die Verbraucherzentrale NRW hatte gegen den deutschen Modehändler Fashion ID geklagt, der den facebook-Button in seine Webseiten eingebunden hatte.“ Schon das Aufrufen dieser Webseite löse die Übermittlung an facebook aus, das Betätigen des Buttons sei hierzu also nicht erforderlich.
Bereits 2018 habe der EuGH über die gemeinsame Verantwortung von facebook und den Betreibern sogenannter „facebook-Fanpages“ entschieden und auch dabei eine gemeinsame Verantwortung von Betreiber und facebook bejaht.

Konkrete Entscheidung des EuGH vom 29. Juli 2019:

• Verbände, die Verbraucherinteressen wahren, könnten auch bereits unter der Rechtslage der bis zum 24. Mai 2018 geltenden EU-Datenschutzrichtlinie, gegen Verletzungen des Datenschutzrechts im Namen der Verbraucher Klage erheben (Hintergrund sei, dass die Fragen de r Verbraucherzentrale noch auf der ehemaligen Datenschutzrichtlinie beruhten).
• Fashion ID und facebook seien gemeinsam verantwortlich. Fashion ID sei zwar nicht verantwortlich für die nach der Datenübermittlung durch facebook Irland vorgenommenen Datenverarbeitungsvorgänge, jedoch für das Erheben auf der Webseite und für die Übermittlung der Daten an facebook. „Diese Feststellungen gelten dem Grunde nach auch für die Datenschutz-Grundverordnung.“
• Der Betreiber einer Website (in diesem Fall: Fashion ID) müsse als (Mit-)Verantwortlicher seine Besucher zum Zeitpunkt über die Datenverarbeitung informieren (u.a. über die Datenübermittlung an facebook und die Zwecke der Verarbeitung).
• Einwilligungen der Nutzer müsse der Betreiber der Webseite nur für die von ihm mitzuverantwortenden Vorgänge einholen (hier: das Erheben und die Übermittlung der Daten) – „dies jedoch, bevor die Daten erhoben und übermittelt werden.“
• Falls die Datenverarbeitung mit der Wahrung sogenannter berechtigter Interessen gemäß Art. 6 Abs. 1 lit. f DS-GVO begründet werden soll, müsse jeder der für die Verarbeitung Verantwortlichen ein solches Interesse verfolgen. Ob im Ergebnis die Erhebung und Übermittlung an facebook mit Art. 6 Abs. 1 lit. f DS-GVO begründet werden können, lasse der EuGH offen. Dies hänge von der Abwägung der Interessen der Verantwortlichen mit den Rechten und Freiheiten der betroffenen Personen im Einzelfall ab. „Dass die Übermittlung schon durch das Aufrufen der Seite ausgelöst wird und von den Nutzern weder erkannt noch unterbunden werden kann, spricht allerdings stark gegen eine Zulässigkeit nach Art. 6 Abs. 1 lit. f DS-GVO.“

Urteil konkretisiert Verantwortlichkeit und unterstreicht Prinzipien der Transparenz und Rechtmäßigkeit

Der LfDI RLP, Prof. Dr. Dieter Kugelmann, begrüßt nach eigenen Angaben das Urteil des EuGH: „Das Urteil konkretisiert nicht nur den Begriff der gemeinsamen Verantwortlichkeit, sondern unterstreicht auch die Prinzipien der Transparenz und Rechtmäßigkeit der Verarbeitung, die maßgebliche Vorgaben der Datenschutz-Grundverordnung sind. Nutzerinnen und Nutzer müssen wissen, woran sie sind, wenn sie eine Webseite aufrufen. Die deutschen und europäischen Datenschutzaufsichtsbehörden werden das Urteil mit Blick auf die aktuelle Rechtslage eingehend auswerten.“
Dabei werde auch zu prüfen sein, welche Konsequenzen sich aus der aktuellen Rechtsprechung für die Betreiber von Internet-Angeboten und facebook-Seiten und entsprechend für die aufsichtsbehördliche Praxis des LfDI ergäben. So seien auch andere Methoden des Nutzer-Trackings, bei denen Seiten-Betreiber bereitgestellte Analyse-Tools von Drittanbietern nutzten, an diesen rechtlichen Anforderungen zu messen. Professor Kugelmann betont: „Insbesondere die Frage einer vorherigen Einwilligung der Nutzerinnen und Nutzer rückt hier in den Blickpunkt.“

Weitere Informationen zum Thema:

datensicherheit.de, 02.08.2019
Like Button: Digitalcourage begrüßt EuGH-Urteil / Heise stellt mit Open-Source-Tool „Shariff“ datenschutzkonforme Alternative berei

datensicherheit.de, 29.07.2019
Like Button: Gemeinsame Verantwortlichkeit bei Einbindung / EuGH bestätigt Mitverantwortung für Datenschutz bei Betreibern von Websites mit „Social Plugins“

datensicherheit.de, 29.07.2019
EuGH-Urteil: Enorme Verantwortung für Tausende Website-Betreiber / Dr. Bernhard Rohleder erwartet Auswirkungen auf alle gängigen „Social Media“-Plugins

t

[datensicherheit.de, 02.08.2019] Auch der Digitalcourage e.V. nimmt Stellung zum jüngsten Urteil des Europäischen Gerichtshofs (EuGH) und vermeldet „gute Nachrichten“ – das „Grundsatzurteil weist facebook-Ausspähung auf Internetseiten in die Schranken“. Der EuGH habe festgestellt, dass jene den „Like Button“ der „Datenkrake“ einbauenden Betreiber von Websites mitverantwortlich dafür seien, welche Daten an facebook abfließen. Digitalcourages Kommentar: „Das haben wir schon lange so gefordert. Wir freuen uns, dass sich was bewegt!“

Urteil des EuGH „gut für uns Internet-Nutzende“

Wenn auf die konventionelle Art der „Like Button“ von facebook auf einer Internetseite eingebunden wird, fließen laut Digitalcourage Daten an facebook, sobald jemand die Webseite ansurft. „Und zwar auch ohne, dass der ,Like Button‘ genutzt wird.“ Das betreffe selbst Personen ohne eigenes facebook-Account.
Der EuGH habe jetzt entschieden, dass Website-Betreiber für diesen Datenabfluss mitverantwortlich seien. „Das heißt, dass sich Nachrichtenseiten, Online-Shops und Blogs spätestens jetzt Gedanken darüber machen müssen, welche Daten von ihrer Seite ungefragt an facebook, Google und Konsorten weitergeleitet werden – und dass sie das endlich abstellen müssen!“ Dieses Urteil des EuGH sei „gut für uns Internet-Nutzende“, denn „wir dürfen nicht mehr ungefragt mit dem ,Like Button‘ ausgeforscht werden“.

Überwachung auch durch facebooks Tracking-Pixel

Dabei gebe es längst eine technische Lösung, die datenschutzfreundlich sei: Die Nachrichtenseite „Heise“ habe das Open-Source-Tool „Shariff“ entwickelt. „Shariff“ stellt demnach sogenannte Share-Buttons bereit, welche erst beim Anklicken aktiv werden und vorher keine Daten preisgeben. So bleibe die Privatsphäre der Besucher geschützt.
Doch der „Like Button“ sei leider nicht die einzige Methode, „mit der facebook uns beobachtet“.
Erst im Juni 2019 hat Digitalcourage nach eigenen Angaben „Zeit Online“ stellvertretend für viele andere Nachrichtenseiten einen „BigBrotherAward“ verliehen – unter anderem, „weil sie ihre Leserinnen und Leser der Überwachung durch facebooks Tracking-Pixel aussetzen – damit sind sie bei Weiten nicht die einzigen“. Digitalcourage werde dran bleiben: Qualitätsjournalismus dürfe sich nicht weiter zum „Gehilfen des Überwachungskapitalismus“ machen. Auf dem Blog „Rufposten“ zeige der Journalist Matthias Eberl, „wie viele Nachrichtenseiten mit facebook-Trackern verseucht sind“. Die Überwachung mit dem Tracking-Pixel sei rechtswidrig – Eberl zeige auch auf, „wie wir uns wehren können“.

Weitere Informationen zum Thema:

datensicherheit.de, 29.07.2019
Like Button: Gemeinsame Verantwortlichkeit bei Einbindung / EuGH bestätigt Mitverantwortung für Datenschutz bei Betreibern von Websites mit „Social Plugins“

datensicherheit.de, 29.07.2019
EuGH-Urteil: Enorme Verantwortung für Tausende Website-Betreiber / Dr. Bernhard Rohleder erwartet Auswirkungen auf alle gängigen „Social Media“-Plugins

datensicherheit.de, 29.07.2019
EuGH-Urteil: Lähmung digitaler Potenziale im Mittelstand / Dr. Ludwig Veltmann kritisiert Entscheidung zum „Like Button“ und warnt vor Folgen für KMU

Rufposten, 03.06.2019
Facebook trackt Nutzer auf drei Viertel aller deutschen Nachrichtenseiten

Rufposten, 03.06.2019
Facebook-Tracker erkennen und dagegen vorgehen

heise online, 02.12.2014
Datenschutz und Social Media: Der c’t Shariff ist im Einsatz

[datensicherheit.de, 29.07.2019] Der Europäische Gerichtshof (EuGH) hat am 29.07.2019 entschieden, dass Website-Betreiber mitverantwortlich für die Einhaltung von Datenschutzbestimmungen sind, wenn sie das „Like Button“-Plugin von facebook auf ihrer Website eingebunden haben und dadurch unmittelbar personenbezogene Daten von Webseitenbesuchern an facebook weitergeleitet werden. Mit dieser Entscheidung bürde der EuGH Tausenden Website-Betreibern eine enorme Verantwortung auf – denn nicht nur, wer den „Like Button“ eingebunden hat, müsse jetzt handeln, so Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder: Dieses Urteil werde sich auf alle gängigen „Social Media“-Plugins auswirken.

Alle vom EuGH-Urteil betroffen: Kleine Reise-Blogs bis zu den Online-Megastore

„Mit seiner Entscheidung bürdet der EuGH Tausenden Webseiten-Betreibern eine enorme Verantwortung auf – vom kleinen Reise-Blog bis zum Online-Megastore und den Portalen großer Verlage“, kritisiert Rohleder. „Nicht nur wer den ,Like Button‘ eingebunden hat, muss jetzt handeln. Das Urteil wird sich auf alle gängigen ,Social Media‘-Plugins auswirken.“

Mit facebook und anderen „Social Media“-Anbietern Vereinbarungen schließen

Website-Betreiber müssten nun mit facebook und den anderen „Social Media“-Anbietern Vereinbarungen schließen, ansonsten könnten sie in Haftungsfallen laufen. Rohleder: „Und ob die geforderten ausführlichen Informationen über ,Like Buttons‘ auf künftig jeder entsprechenden Webseite wirklich etwas bewirken, darf zumindest bezweifelt werden.“ Schon jetzt nähmen Informationen zu Cookies, die Datenschutzerklärung und die Geschäftsbedingungen großen Raum auf Webseiten ein und würden von den allermeisten nur noch formal zur Kenntnis genommen.

EuGH-Urteil lässt bürokratischen Aufwand bei Website-Betreibern stark wachsen

„Und so steigt nach diesem EuGH-Urteil der bürokratische Aufwand bei Webseitenbetreibern stark.“ Gleichzeitig werde sich das Datenschutzniveau de facto kaum ändern, da bereits heute praktikable Zwei-Klick-Lösungen für solche Plugins im Einsatz seien. Mit diesen Lösungen finde ein Datentransfer nur dann statt, wenn ein Nutzer diese Funktion vor dem Liken gesondert aktiviert. „Für viele Betreiber von Webseiten sind ,Like Buttons‘ wichtig, um Internetnutzer erreichen zu können“, erläutert Rohleder.

Weitere Informationen zum Thema:

datensicherheit.de, 29.07.2019
Like Button: Gemeinsame Verantwortlichkeit bei Einbindung / EuGH bestätigt Mitverantwortung für Datenschutz bei Betreibern von Websites mit „Social Plugins“

datensicherheit.de, 29.07.2019
EuGH-Urteil: Lähmung digitaler Potenziale im Mittelstand / Dr. Ludwig Veltmann kritisiert Entscheidung zum „Like Button“ und warnt vor Folgen für KMU

[datensicherheit.de, 29.07.2019] Auch DER MITTELSTANDSVERBUND – ZGV e.V. nimmt Stellung zum aktuellen EuGH-Urteil zum „Like Button“: Dieses Urteil verschärfe damit die Belastungen für den Mittelstand in Sachen Datenschutz-Grundverordnung (DSGVO), es treffe ganz besonders kleine und mittlere Unternehmen (KMU), die in ihrer Kapazität kaum in der Lage seien, entsprechende Informationen von facebook über den Datentransfer einzuholen.

Werbung optimieren, um damit einen „wirtschaftlichen Vorteil“ zu erreichen

Der Europäische Gerichtshof (EuGH) habe am 29. Juli 2019 entschieden, dass Betreiber von Websites für die Einhaltung von Datenschutzbestimmungen mitverantwortlich seien, wenn sie facebooks „Like Button“ auf ihrer Website einbinden. Das Urteil verschärfe damit die Belastungen für den Mittelstand in Sachen DSGVO.
Das Urteil begründeten die Richter damit, dass die Betreiber auch „gemeinsam über die Zwecke und Mittel“ des Datentransfers entscheiden würden. Letztlich gehe es darum, Werbung zu optimieren und damit einen „wirtschaftlichen Vorteil“ zu erreichen. Für die anschließende Verarbeitung der Informationen aber, so DER MITTELSTANDSVERBUND, sei allerdings facebook allein zuständig.

Zusätzliche bürokratische Belastung gerade des Mittelstands

„Das jüngste Urteil des EuGH ist eine zusätzliche bürokratische Belastung und weitere Lähmung der digitalen Potenziale gerade im Mittelstand. Die Entscheidung trifft damit ganz besonders kleine und mittlere Unternehmen, die in ihrer Kapazität kaum in der Lage sind, entsprechende Informationen von facebook über den Datentransfer einzuholen, zumal sich das Urteil auf alle gängigen Social-Media-Plugins auswirken wird“, warnt Dr. Ludwig Veltmann, Hauptgeschäftsführer des MITTELSTANDSVERBUNDs. Dabei sei die zielgruppengerechte Online-Kommunikation und Sichtbarkeit im Netz gerade für den Mittelstand ein entscheidender Wettbewerbstreiber, so Dr. Veltmanns Kritik am Urteil.
„Die Untätigkeit von facebook in Sachen Datenschutz wird mit dem Urteil nun auf dem Rücken der facebook-Fanpage-Betreiber ausgetragen, die nicht genau wissen, welche Daten von facebook zu welchen Zwecken erhoben, gespeichert und genutzt werden. Die Folge ist eine Flucht aus den Sozialen Medien – aus Angst vor Abmahnungen“, befürchtet Dr. Veltmann. Obwohl sich gerade der kooperierende Mittelstand nach besten Kräften um eine entsprechende Umsetzung der sehr komplexen Regelungsmaterie bemühe, bestünden in der Praxis nach wie vor erhebliche Rechtsunsicherheiten und Sorge insbesondere vor wettbewerbsrechtlichen Abmahnungen von Verstößen gegen die DSGVO, „die nun durch das jüngste Urteil des EuGH weiter verschärft“ würden, so Dr. Veltmann.

Zum Hintergrund der Klage und den Folgen des Urteils

Der deutsche Online-Händler für Modeartikel, Fashion ID, hatte in seine Website den Facebook-„Gefällt mir“-Button als Plug-In eingebunden. Besucht ein Nutzer diese, werden facebook daher Informationen über die IP-Adresse und der Browser-String dieses Nutzers übermittelt. Dadurch wurden beim Besuch der Seite automatisch die Daten der Nutzer (etwa die IP-Adresse) an facebook weitergeleitet – unabhängig davon, ob Nutzer den Button angeklickt hatten. Auch wer kein facebook-Konto hatte, musste mit einer Weitergabe seiner Daten rechnen. Die Verbraucherzentrale NRW ist der Ansicht, dass dies gegen Datenschutzrecht verstößt und hatte deswegen eine Unterlassungsklage erhoben.
Die Nutzer müssen demnach künftig mit einem weiteren Klick einwilligen, wenn sie eine Website mit „Like Button“ nutzen. Der Betreiber der Website muss dann die Einwilligung der Besucher einholen, bevor die Nutzerdaten erhoben oder an facebook übermittelt werden. Zudem müssen nach Art. 26 der DSGVO beide Verantwortliche eine Vereinbarung abschließen, in der in transparenter Form festgelegt ist, wer von ihnen welche Verpflichtung aus der DSGVO künftig erfüllt. In diesen Verträgen, die die DSGVO vorschreibt, muss geregelt werden, wer für die Datenschutzinformationen und für die Beantwortung von Auskunfts- und Löschungsersuchen zuständig ist. Darüber hinaus muss der Website-Betreiber als (Mit-)Verantwortlicher die Informationsverpflichten nach Art. 13, 14 DSGVO ebenfalls erfüllen.

Weitere Informationen zum Thema:

datensicherheit.de, 29.07.2019
Like Button: Gemeinsame Verantwortlichkeit bei Einbindung / EuGH bestätigt Mitverantwortung für Datenschutz bei Betreibern von Websites mit „Social Plugins“

datensicherheit.de, 29.07.2019
EuGH-Urteil: Enorme Verantwortung für Tausende Website-Betreiber / Dr. Bernhard Rohleder erwartet Auswirkungen auf alle gängigen „Social Media“-Plugins

[datensicherheit.de, 29.07.2019] Das Urteil des Europäischen Gerichtshofes (EuGH) vom 29. Juli 2019 in Sachen Fashion ID (C-40/17) bestätigt laut einer Stellungnahme des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI), dass Betreiber von Websites, die „Social Plugins“ einbinden (in diesem Fall den sogenannten Like Button von facebook), eine gemeinsame Verantwortlichkeit für die Erhebung und Weitergabe personenbezogener Daten trifft, welche beim Seitenaufruf an die Anbieter übermittelt werden. Damit knüpfe das Gericht an die Rechtsprechung im Fall der Wirtschaftsakademie Schleswig-Holstein an (C-210/16), in der es um eine gemeinsame Verantwortlichkeit für Fanpages bei facebook gegangen sei.

Like Button: Einsatz benötigt Rechtsgrundlage

Hier wie dort könnten die Betreiber von Websites sich nicht mehr hinter der datenschutzrechtlichen Verantwortung einer Plattform wie facebook verstecken: Sie benötigten für den Einsatz entsprechender Werkzeuge zur Generierung von Reichweite oder zu Werbezwecken eine rechtliche Grundlage. Gleichzeitig hätten sie Informationspflichten gegenüber den Personen, bei denen die Daten erhoben werden.
Das Urteil beziehe sich auf die Auslegung der Bestimmungen der früheren Datenschutz-Richtlinie (EG 95/46/EG), gelte jedoch auch für den Anwendungsbereich der neuen DSGVO, die in noch stärkerer Weise den Schutz von Rechten und Freiheiten Betroffener gewährleisten solle.

Vorgeschaltete Einwilligungslösung als Möglichkeit

Insbesondere komme als Rechtsgrundlage für die Verarbeitung der Daten von Website-Betreibern eine der Datenerhebung und -übermittlung vorgeschaltete Einwilligungslösung in Betracht.
Gerade mit Blick auf solche Seitenbesucher, die selbst gar nicht registrierte facebook-Nutzer sind und deren Daten anlässlich eines Besuches der Website durch „Social Plugins“ übermittelt werden, dürfte von einem Überwiegen der Grundrechte und Freiheiten der Betroffenen ausgegangen werden, so dass die Rechtfertigung über ein berechtigtes Interesse hier nicht ersichtlich sei.

EuGH bestätigt konsequente Linie im Bereich des Daten- und Verbraucherschutzes

HmbBfDI Johannes Caspar kommentiert: „Mit seinem heutigen Urteil bestätigt der EuGH seine konsequente Linie im Bereich des Daten- und Verbraucherschutzes, indem er die Rechtsprechung zur gemeinsamen Verantwortlichkeit auf eine weitere Fallgruppe ausdehnt. Die Auswirkungen dieser Entscheidung dürften von großer Tragweite sein.“
So seien auch andere Methoden des Nutzer-Trackings im Sinne der Nutzung bereitgestellte Analyse-Tools dritter Anbieter durch Website-Betreiber an diesen rechtlichen Anforderungen zu messen. „Das gilt insbesondere mit Blick auf die Einholung einer informierten Einwilligung durch Seitenbetreiber“, betont Caspar.

Weitere Informationen zum Thema:

datensicherheit.de, 29.07.2019
EuGH-Urteil: Enorme Verantwortung für Tausende Website-Betreiber / Dr. Bernhard Rohleder erwartet Auswirkungen auf alle gängigen „Social Media“-Plugins

datensicherheit.de, 29.07.2019
EuGH-Urteil: Lähmung digitaler Potenziale im Mittelstand / Dr. Ludwig Veltmann kritisiert Entscheidung zum „Like Button“ und warnt vor Folgen für KMU

datensicherheit.de, 18.04.2013
Facebook: Manipulierte Browser sorgt für ungewollte „Gefällt mir“-Klicks