Skip to content
Facebook und das EUGH Urteil

Nach dem EuGH-Urteil: Plugins mit größter Vorsicht verwenden

Das aktuelle Urteil des Europäischen Gerichtshofs vom 29. Juli 2019 betrifft alle Unternehmen, die Plugins sozialer Netzwerke oder anderer Drittanbieter auf ihren Webseiten einsetzen. Damit wird die Opt-in-Pflicht für Cookies, die bisher noch nicht abschließend geklärt war, zu einer abmahnbaren Pflicht erklärt.

Einbindung von Plugins

Geklagt hatte die Verbraucherzentrale NRW gegen einen Online-Modeshop, der auf seiner Website den „Gefällt mir“-Button von Facebook eingebunden hatte. Dieser Button übermittelte schon beim Aufruf der Shopwebsite personenbezogene Daten aus dem Browser des Nutzers an Facebook – ohne angeklickt worden zu sein.

Ausgelesen wurden beispielsweise IP-Adresse, Surfverhalten und Browser-Informationen. Der Besucher musste für diese Übermittlung nicht nicht einmal Mitglied bei Facebook sein. Und er wurde nicht über die Datenübermittlung informiert. Das zuständige Oberlandesgericht Düsseldorf erbat sich eine Grundsatzentscheidung des Europäischen Gerichtshofes (EuGH) zu diesem Fall.

Wer trägt die Verantwortung?

Der EuGH entschied, dass der Shopbetreiber zwar nicht für die Weiterverarbeitung der Daten nach deren Übermittlung an Facebook verantwortlich ist. Allerdings ist er dafür verantwortlich, dass Facebook überhaupt in den Besitz der personenbezogenen Daten kommt.

Schließlich hat er den entsprechenden Button selbst in seine Webseite eingebunden, um seine Werbung zu optimieren. Ohne diese Einbindung wäre kein Datentransfer zustande gekommen. Der Webshopbetreiber habe stillschweigend, aber bewusst in die Erhebung und Übermittlung der personenbezogenen Daten der Besucher seiner Webseite eingewilligt.

Der EuGH nahm hierbei eine gemeinsame Verantwortung des Shopbetreibers und des Verarbeiters Facebook an, die gemeinsam über die Zwecke und Mittel der Datenerhebung entschieden und beide ein wirtschaftliches Interesse daran gehabt hätten.

Informationspflichten nach DSGVO

Der Webshopbetreiber ist nach Anscht des Europäischen Gerichtshofs nur für die Vorgänge verantwortlich, für die er tatsächlich über Zweck und Mittel entscheidet. Als Mitverantwortlicher für die Datenerhebung sei er verpflichtet, den Besuchern seiner Webseite vor der Datenverarbeitung Zweck und Verantwortlichen der Datenerhebung mitzuteilen und ihre Einwilligung zu den Anteilen der Datenerhebung zu erfragen, für die er verantwortlich ist – hier also die Erhebung und Übermittlung personenbezogener Daten an Facebook.

Im Fall einer Kooperation müssen beide Mitverantwortlichen ein berechtigtes Interesse an der Datenverarbeitung darlegen können. Erst nach der Einwilligung des Nutzers darf das Plugin Daten erheben und übermitteln.

Einwilligungspflicht für Cookies: Fazit für die Praxis und Empfehlungen

Bisher war die Frage, ob die Verwendung von Tracking-Tools, Social-Media-Plugins etc. einer Einwilligung der Nutzer bedarf, eine Frage der Auslegung. Diese Frage hat der EuGH jetzt geklärt bzw. Website-Betreiber sind nach dieser Auslegung verpflichtet, ein Cookie-Banner einzublenden, auf dem sie über die Datenerhebung und Weiterleitung durch Plugins informieren – anderenfalls könnten sie abgemahnt werden.

Der Nutzer entscheidet also selbst, welcher Datenverarbeitung bzw. Weitergabe seiner personenbezogenen Daten an Dritte er zustimmt. Bevor Ihnen diese Einwilligung nicht vorliegt, darf der Button bzw. das Plugin keine Daten erheben und senden. Die Umsetzung der EuGH-Entscheidung C-40/17 in deutsches Recht erfolgt durch das OLG Düsseldorf (Aktenzeichen: I-20 U 40/16).

Unsere Handlungsempfehlung:

  • Cookie Banner: Nutzen Sie auf Ihrer Website ein intelligentes Cookie-Banner; informieren Sie den User über die verwendeten Technologien und geben Sie ihm die Möglichkeit, sein Opt-in informiert zu setzen; vorher dürfen die einzelnen Dienste nicht aktiv werden bzw. Cookies setzen. Weiterführende Informationen finden Sie unserem Beitrag zum Thema Cookie Banner.
  • Die Vorgaben einer DSGVO-konformen Einwilligung sehen Sie auf der unten angefügten Grafik. Fragen dazu? Bitte bei uns melden!
  • Wir empfehlen den Einsatz innovativer Technik, wie beispielsweise Usercentrics.
  • Gemeinsame Verantwortung:  Sofern Sie das Facebook-Plugin nutzen möchten, gehört in Ihre Datenschutzerklärung ein entsprechender Absatz, in dem Facebook als gemeinsamer Verantwortlicher (gem. Art. 26 DSGVO) genannt wird. Ferner sollten Sie beschreiben, wer von beiden für die Erfüllung welcher Pflichten bzw. Betroffenenrechte zuständig ist.
    Bei der gemeinsamen Verantwortlichkeit ist der Abschluss eines entsprechenden Vertrags zwischen den betreffenden Stellen obligatorisch. Derzeit bietet Facebook als einziges soziales Netzwerk überhaupt den Abschluss einer solchen Vereinbarung an; wenn auch der Inhalt nicht zur vollen Zufriedenheit der Behörden ausreicht.
Einwilligun des User beim Cookie Banner nach EUGH Urteil
Schreiben Sie uns:
0251 29794740 Schreiben Sie uns Remote-Desktop download