Der Gerichtshof der Europäischen Union hat in einem Urteil vom 29. Juli 2019 entschieden, dass Website-Betreiber für den Einsatz der “Gefällt mir”-Schaltfläche von Facebook bezüglich der Erhebung und Übermittlung personenbezogener Daten zur Verantwortung gezogen werden können. Außerdem gilt jetzt eine Opt-in-Pflicht für Cookies, die von Tracking-Tools wie Google Analytics eingesetzt werden.
Inhalt
Worum geht es?
Das EuGH-Urteil fiel in folgendem Fall: Der deutsche Online-Modehändler Fashion ID erhielt von der Verbraucherzentrale NRW eine Unterlassungsklage, weil der eingebundene Like-Button von Facebook beim Website-Aufruf personenbezogene Daten (etwa die IP-Adresse) der Nutzer an Facebook Ireland übermittelt – und zwar unabhängig davon, ob der Button überhaupt gedrückt wird und die Nutzer Facebook-Mitglied sind.
Zunächst landete die Angelegenheit beim Oberlandesgericht Düsseldorf, das den Gerichtshof der Europäischen Union um die Auslegung verschiedener Datenschutz-Bestimmungen bat. Am 29. Juli 2019 fiel das Urteil, das bahnbrechende Auswirkungen auf die gesamte Digitalwirtschaft haben kann (hier geht’s zur offiziellen Pressemitteilung). Die Folgen für Sie als Website-Betreiber zeigen wir im Folgenden auf.
Disclaimer: Die Informationen in diesem Beitrag haben wir mit größter Sorgfalt recherchiert. Dennoch übernehmen wir keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der bereitgestellten Informationen. Diese sind insbesondere allgemeiner Art und stellen keine Rechtsberatung dar. Zur Lösung von konkreten Rechtsfällen konsultieren Sie bitte unbedingt einen Rechtsanwalt.
Wer ist wofür verantwortlich?
Klären wir zunächst die konkreten Verantwortlichkeiten, die sich aus dem Urteil ergeben. Sie als Website-Betreiber sind mitverantwortlich für die Erhebung der personenbezogenen Daten und deren Übermittlung an Facebook Ireland, wenn Sie die “Gefällt mir”-Schaltfläche in Ihre Website integrieren. Nicht verantwortlich sind Sie für die Nutzung und Weiterverarbeitung dieser Daten durch Facebook.
Verantwortlich sind Sie wiederum dafür, dass Ihre Nutzer über die konkreten Vorgänge und Zwecke der Datenerhebung sowie -übermittlung vorab informiert werden und dass Sie die ausdrückliche Einwilligung der Nutzer dafür einholen. Dabei gilt das Ganze im Rückschluss nicht nur für Facebook, sondern jegliche Social-Media-Plug-ins, Cookies und Marketingtools Dritter, die personenbezogene Daten erheben und weitergeben.
Was bedeutet das für Tracking-Tools wie Google Analytics?
Tracking-Tools wie Google Analytics funktionieren nicht ohne den Einsatz von Cookies, die auf den Endgeräten der Website-Besucher gespeichert werden, um Nutzungsdaten auszulesen. Das EuGH-Urteil bedeutet nun, dass diese nur geladen werden dürfen, wenn die Nutzer dem nach vorheriger Aufklärung ausdrücklich zustimmen (Opt-in-Verfahren).
Heißt: Die Cookies müssen beim erstmaligen Laden Ihrer Website inaktiv sein. Bislang war diese Handhabung noch umstritten, jetzt wird sie zur Pflicht.
Wer kann mich zur Verantwortung ziehen?
Setzen Sie derartige Social-Media-Plug-ins, Cookies und Marketingtools Dritter ein, ohne die ausdrückliche Einwilligung Ihrer Nutzer einzuholen und ohne, dass Sie Ihre Nutzer vorab darüber informieren, können Sie abgemahnt werden. Von wem? Zum Beispiel von der Konkurrenz, von Datenschutzbehörden oder – wie im vorliegenden Fall – von Verbraucherschützern, denen diese Möglichkeit laut DSGVO ausdrücklich eingeräumt wird. Das kann teuer werden.
Durch Ihre Mitverantwortung haften Sie zunächst auch für Datenfehltritte, die auf Seiten von Facebook etc. im Zusammenhang mit dem bei Ihnen eingebundenen Like-Button oder Ihrer Fanpage (EuGH-Urteil aus 2018, hier geht’s zur offiziellen Pressemitteilung) stattfinden. Im Fall der Fälle müssen Sie dann mit dem jeweiligen Anbieter der eingesetzten Tools die detaillierten Verantwortlichkeiten und etwaige Kostenübernahmen bei Verhängungen von Bußgeldern verhandeln.
Wie hoch ist das Risiko einer Abmahnung?
Schwer zu sagen, aber laut einem Artikel des Rechtsanwalts und Datenschutzexperten Dr. Thomas Schwenke ist es durchaus vorstellbar, dass Sie aufgrund der Geringfügigkeit des eigenen Beitrags zur Erhebung der personenbezogenen Daten aus der Schusslinie genommen werden. Das ist jedoch nicht garantiert und es bleibt ein Risiko, das Sie für sich persönlich einschätzen müssen.
Unsere Empfehlung: Nutzen Sie besagte Social-Media-Plug-ins, Cookies und Marketingtools Dritter nicht.
Können Sie aus welchen Gründen auch immer nicht darauf verzichten, werfen Sie einen Blick auf Tools wie Embetty oder Shariff, die Social-Media-Buttons und -Inhalte datenschutzfreundlich in Ihre Website integrieren.
Um das Opt-in-Verfahren für Google Analytics umzusetzen, empfehlen wir das Plug-in Borlabs Cookie 2.0*. Alle externen Dienste, die Sie nicht unbedingt benötigen, sollten Sie auf jeden Fall von Ihrer WordPress-Website entfernen. Bei Unsicherheiten suchen Sie sich am besten Hilfe von einem Rechtsanwalt.
In diesem Sinne: Bleiben Sie abmahnfrei!
Anmerkung: *) ist ein “Partnerlink”. Wenn Sie auf den Link klicken und einen Artikel kaufen, erhalten wir eine Provision. Auf Ihren Kaufpreis hat es keine Auswirkung. Vielen Dank für Ihre Unterstützung!