Update: Facebook Fanpages, Facebook Pixel und Facebook Like Button
Wie bereits unter anderem im Artikel zur Facebook Fanpage dargestellt, geht der EuGH von einer Mithaftung von Facebook-Fanpage-Betreibern für eventuelle Datenschutzverstöße aus. Den Beschluss des EuGH vom 05.06.2018 finden Sie hier.
Dieser Trend scheint sich fortzusetzen – Eine Mithaftung für den Facebook Like-Button kündigt sich an. Eine entsprechende Empfehlung seitens des Generalanwalts liegt dem EuGH bereits vor (Rechtssache C40/17). Nach Ansicht von Generalanwalt Bobek ist der Betreiber einer Webseite, auf der ein Plugin eines Dritten wie der Facebook-„Gefällt mir“-Button eingebunden wird, das zur Erhebung und Übermittlung der personenbezogenen Daten des Nutzers führt, für diese Phase der Datenverarbeitung mitverantwortlich.
Als Schlussfolgerung kann sich dies auch in Bezug auf das Facebook-Pixel widerholen. Eine datenschutzrechtliche Mitverantwortung zeichnet sich ab.
1. Auf was genau bezieht sich die (Mit-)Haftung – gemeinsame Verantwortlichkeit i.S.d. DSGVO?
Die „gemeinsame Verantwortlichkeit“, die der EuGH in oben genanntem Beschluss feststellte, bezog sich dabei lediglich auf die Mitverantwortung im Hinblick auf die „Insights Statistiken“, die den Fanpage-Betreibern zur Verfügung gestellt werden.
Auch der Schlussantrag des Generalanwalts vom 19.12.2018 enthält eine Empfehlung an den EuGH im Hinblick auf den Facebook Like-Button, die Mitverantwortung nur soweit zu erstrecken, wie die Einflussnahme und das Interesse der Websitebetreiber reicht. Den Schlussantrag finden Sie hier.
Was bedeutet eigentlich „gemeinsame Verantwortlichkeit“?
Nach Art. 4 Nr. 7, Art. 26 DSGVO legen mindestens zwei oder mehr Verantwortliche gemeinsam die Zwecke oder Mitte zur Verarbeitung fest. Darüber hinaus legen die Verantwortlichen in transparenter Form fest, wer von ihnen welche Verpflichtungen aus der DSGVO erfüllt.
a. Gemeinsame Mittel und Zwecke – Facebook Fanpage
Vorliegend ist dies nach Auffassung des Gerichts zum einen das Mittel der Fanpage (denn ohne Fanpage keine Daten) zum Zwecke der Nutzung der Daten aus den Insights-Statistiken von Facebook und Fanpage-Betreiber zu ihren jeweiligen Zwecken (Auswertung von Interesse, Verhalten oder etwa Alter der Besucher der Fanpage bspw. zur zielgruppenorientierte Werbung etc.).
b. Pflichten der Verantwortlichen
Fanpage Betreiber müssen gemeinsam mit Facebook die gesetzlichen Pflichten erfüllen – zu diesen gehören Informationspflichten gemäß den Artikeln 13 und 14 DSGVO, wie auch Auskunfts- und Löschpflichten.
c. Wo sind diese Pflichten festgelegt?
Gemäß Art. 26 Abs.3 S.1 DSGVO sind die gemeinsam Verantwortlichen zum Abschluss einer entsprechenden Vereinbarung verpflichtet, die diese Pflichten und deren Verteilung regeln.
Facebook stellt eine solche Vereinbarung im Rahmen der Seiten-Insights als Ergänzung zur Verfügung. Die Datenschutzbehörden halten diese jedoch nicht für detailliert genug.
Wer ist für was verantwortlich? Facebook legt darin fest für die Verarbeitung der Daten der Besucher der jeweiligen Fanpage verantwortlich zu sein und die gesetzlichen Informations- und Auskunftspflichten zu erfüllen. Betreiber von Fanpages müssen dazu entsprechende Anfragen innerhalb von 7 Kalendertagen an Facebook weiterleiten.
Die Vereinbarung gibt darüber hinaus vor, dass Betreiber von Fanpages „sicherstellen sollten, dass sie eine Rechtsgrundlage für die Verarbeitung von Insights-Daten gemäß DSGVO haben, den Verantwortlichen für die Verarbeitung der Seite benennen und jedwede sonstigen geltenden rechtlichen Pflichten erfüllen.“
Mit dieser Formulierung wälzt Facebook natürlich eine ganze Reihe Pflichten auf den Betreiber einer Fanpage ab. Das bedeutet, dass u.a. eine entsprechende Datenschutzerklärung - mit den gesetzlich geforderten Inhalten – bereitgestellt werden sollte.
2. Facebook Like Button
Es ist wahrscheinlich, dass der EuGH der Empfehlung des Generalanwalts (Rechtssache C40/17) folgt, nach dessen Ansicht der Betreiber einer Webseite, auf der ein Plugin eines Dritten (wie der Facebook-„Gefällt mir“-Button) eingebunden wird, das zur Erhebung und Übermittlung der personenbezogenen Daten des Nutzers führt, für die der Datenverarbeitung mitverantwortlich ist.
Gemeinsames Mittel wäre in diesem Fall die Einbindung des Facebook-Like-Buttons auf der Website, welches zu einer Verarbeitung von Daten der Besucher der Website – zum Zwecke der Verbreitung ihrer Inhalte - führt.
Im Rahmen der Nutzung von Plugins empfiehl sich die Einholung einer Einwilligung (z.B. über einen Cookie-Banner, der auch Social Plugins mitumfasst und eine explizite Einwilligung fordert, d.h. Daten werden erst mit Einwilligung übermittelt und verarbeitet) oder einer 2-Klick-Lösung (z.B. im Fall der Like-Buttons oder eingebetteter Inhalte). Anderenfalls besteht die Gefahr von Bußgeldern oder Abmahnungen.
Sollte der EuGH auch bei Social-Plugins eine gemeinsame Verantwortlichkeit (wie bei Fanpages) annehmen, so ist eine künftige Nutzung nur mit einer zusätzlichen Vereinbarung über gemeinsame Verantwortlichkeit zulässig. Facebook müsse eine solche Vereinbarung bereitstellen. Es ist äußerst wahrscheinlich, dass der EuGH eine gemeinsame Verantwortlichkeit annimmt – die weitere Entwicklung bleibt abzuwarten.
Diese Tendenz könnte sich – wenn man diesen Gedanken fortspinnt - künftig auch auf weitere Anwendungen - wie etwa das Facebook-Pixel - erstrecken.
3. Sanktionen
Bis zur Entscheidung des EuGH in einer Streitfrage ist die Rechtslage unsicher. Bis dahin kann verschiedenste Ansichten vertreten werden. In der Vergangenheit wurden vielfach Untersagungsverfügungen verhängt, jedoch in umstrittenen Fällen keine Bußgelder verhängt. Ob die Datenschutzbehörden dieser Linie treu bleiben oder, ob es zu Bußgeldern kommt bleibt abzuwarten.
4. Abmahnungen von Wettbewerbern
Auch Abmahnungen sind bei unklarer Rechtslage eher unüblich – eine Abmahnung ist für den Abmahnenden sowohl mit finanziellen Risiken verbunden, wie auch mit dem Risiko selbst abgemahnt zu werden (Stichwort Gegenabmahnung - „wer suchet der findet“).
Eine Abwägung von Risiken und wirtschaftlichem Nutzen muss grundsätzlich jeder Fanpage-Betreiber, Nutzer von Social Plugins oder etwa dem Facebook-Pixel selbst vornehmen.
Hinweis: Wir haben die Rechtslage ausschließlich unverbindlich zusammengefasst. Der Artikel spiegelt darüber hinaus die persönliche Auffassung des Verfassers wider und ersetzt weder eine individuelle Rechtsberatung noch die Beobachtung weiterer Entwicklungen zu diesem Thema.