Artikel erschienen am 01.11.2019

Fashion-ID-Urteil: Droht die Abmahnwelle?

Rechtsicherheit im Online-Auftritt nach dem EuGH-Urteil

Von Thomas Althammer, Hannover | Levin Rühmann, Hannover

Professionalität und Seriosität sind wesentliche Aspekte bei der Gestaltung des Webauftritts, die großen Einfluss auf die Nutzerwahrnehmung haben. Dass in diesem Zusammenhang auch dem Datenschutz eine elementare Bedeutung zukommt, scheint für viele Websitebetreiber neu. Dementsprechend groß ist die Unsicherheit nach dem kürzlich getroffenen Urteil des Europäischen Gerichtshofes (EuGH) zur Einbindung von Drittanbieter-Plugins auf der eigenen Website (Az. C-40/17).

Hintergrund

Nachdem sich zuvor das Oberlandesgericht Düsseldorf mit dem Rechtsstreit befasst hatte, entschied der EuGH im Rahmen der Klage der Verbraucherzentrale Nordrhein-Westfalen gegen den Online-Modehändler Fashion ID GmbH & Co. KG (Peek & Cloppenburg), dass Websitebetreiber zukünftig bei der Einbindung eines Facebook-„Like“-Buttons mit in die Verantwortung genommen werden. Entscheidend sei, dass durch die entsprechende Einbindung des Tools bei jedem Aufruf bzw. Laden der Website automatisch bestimmte Drittanbieter-Inhalte von Facebook-Servern geladen werden und in diesem Zusammenhang auch personenbezogene Daten, wie die aktuelle IP-Adresse, technische Browsereinstellungen oder Referrer-URL-Informationen der Website erhoben und an Facebook übermittelt würden. Über das sogenannte „Social Plugin“ gelange Facebook schließlich an sensible Nutzungsdaten und erhalte in diesem Zuge auch Einblick in das Surfverhalten jedes einzelnen Seitenbesuchers, unabhängig davon, ob dieser tatsächlich Mitglied des Sozialen Netzwerks sei oder aktiv die dafür vorgesehen Schaltfläche des „Gefällt mir“-Buttons angeklickt bzw. überhaupt sein Einverständnis für die Datenübermittlung gegeben habe. Für diese Erhebung und Übermittlung gibt der EuGH den Websitebetreibern mit dem Urteil vom 29.07.2019 eine Mitverantwortung im Sinne des Datenschutzrechts.

Was müssen Websitebetreiber beachten?

Mit Blick auf den vorliegenden Sachverhalt kam der EuGH zu dem abschließenden Urteil, dass die Websitebetreiber zukünftig in die Pflicht genommen werden, die Nutzer gem. Art. 13 Datenschutzgrundverordnung (DSGVO) ausdrücklich und umfassend über die Einbindung von Drittdiensten und die damit einhergehende Datenerhebung zu informieren.

Ebenso weist der EuGH klar darauf hin, dass die Einbindung von besagten Drittdiensten nur dann rechtskonform ist, wenn dem Nutzer auf Basis der zugrundeliegenden Informationen die Möglichkeit gegeben wird, in die Datenverarbeitung und -übermittlung einzuwilligen. Dabei betonte der EuGH, dass die Information und Einwilligung erfolgen muss, noch bevor die Daten erhoben werden. Allerdings ist dies nur für Vorgänge umzusetzen, die von dem Websitebetreiber konkret verantwortet werden, sprich die Erhebung und Übermittlung.

Zusätzlich ist seitens der Betreiber dafür Sorge zu tragen, dass aufgrund der gemeinsamen Verantwortlichkeit entsprechende Vereinbarungen gem. Art. 26 DSGVO abgeschlossen werden.

Was ist zu tun?

Schaut man sich genauer um, so fällt schnell auf, dass der Umsetzungsgrad der Datenschutzvorgaben auf vielen Websites derzeit noch unzureichend ist. Dementsprechend wichtig ist es, Prüfungen bzw. Analysen zu veranlassen, um Kenntnis über die zugrundeliegenden, webinternen Konfigurationsmerkmale und Datenströme zu erlangen sowie diesbezüglich einen möglichen Handlungsbedarf zu identifizieren. Dies dürfte insbesondere auch vor dem Hintergrund zunehmender Kontrollen durch die Aufsichtsbehörden und daraus resultierender Bußgelder von Bedeutung und unmittelbarem Nutzen sein.

Sollte im Zuge eines Prüfungsverfahren festgestellt werden, dass externe Inhalte von Drittanbietern auf der eigenen Website integriert sind, so gilt es zunächst sicherzustellen, dass alle eingebundenen Dienste mit Angabe des Zwecks und der entsprechenden Rechtsgrundlage in der Datenschutzerklärung Erwähnung finden. Zudem sollte bei der Übermittlung personenbezogener Daten in jedem Fall das „Fashion ID-Urteil“ des EuGH und die daraus abgeleiteten Anforderungen berücksichtigt werden. Dazu zählt neben dem Abschluss eines Vertrages zur gemeinsamen Verantwortung letztlich eine umgehende und transparente Information des Nutzers sowie die Einholung einer ggf. erforderlichen Einwilligung – und zwar unmittelbar bevor die Daten erhoben werden.

Eine Lösungsmöglichkeit für die rechtskonforme Einbindung von Drittdiensten könnte hier der Einsatz eines sogenannten Einwilligungsmanagers (engl. Consent Manager) sein, der dem Nutzer vor dem Betreten der Website die Möglichkeiten gibt, per sogenanntem „Opt-In“ in die Erhebung und Übermittlung der Daten einzuwilligen. Eine andere Maßnahme sind sogenannte „Zwei-Klick-Lösungen“. Hierbei wird zunächst ein Hinweis zum eingebundenen Inhalt, wie dem „Like oder Teilen“-Button, einem Video oder auch eines Google-Maps-Kartenausschnitts, eingeblendet und erst nach einem zusätzlichen Klick darauf beginnt die Datenerhebung und -übermittlung.

Um Datenschutz zu gewährleisten und externe Inhalte auf einer rechtskonformen Basis zu integrieren, sollten im Rahmen eines ausführlichen, manuell oder automatisiert durchgeführten Prüfungsvorgangs optimalerweise folgende Fragen beantwortet und anschließend in geeignete Maßnahmen überführt werden:

Welche Drittanbieter-Inhalte sind auf der eigenen Website eingebunden (z. B. Tracking, Social Media, Schriftarten, Kartenmaterial, Videos, Captcha-Dienste etc.)?

  • Werden im Hintergrund Verbindungen zu den Drittanbietern aufgebaut?
  • Werden Cookies durch eingebundene Drittdienste gesetzt?
  • Wird der Nutzer über die Datenerhebung und die mögliche Übermittlung in ausreichender Art und Weise informiert?
  • Falls notwendig: Erfolgt die Einwilligung noch bevor der Kunde die Seite betritt bzw. bevor die Daten übermittelt werden?
  • Werden Inhalte angezeigt, auch wenn der Nutzer die Einwilligung verweigert?
  • Sind entsprechende Dienste und Plugins in der Datenschutzerklärung aufgeführt?
  • Erfolgt die Einbindung unter Angabe des Zwecks und einer gültigen Rechtsgrundlage (sowohl für die Erhebung also auch die Übermittlung)?
  • Liegen entsprechende Vereinbarungen zur gemeinsamen Verantwortung nach Art. 26 DSGVO vor?
  • Wird ggf. ein Vertrag zur Auftragsverarbeitung gem. Art. 28 DSGVO benötigt?

Fazit

Grundsätzlich führt das Urteil des EuGH zu einer Konkretisierung des Begriffs der gemeinsamen Verantwortlichkeit und der Vorgaben der DSGVO, besonders in Hinblick auf die Grundsätze der Transparenz und Rechtmäßigkeit der Verarbeitung. So ist es unabdingbar, dass Nutzer im unmittelbaren Zusammenhang zum Seitenaufruf darüber informiert werden, welche datenverarbeitenden Maßnahmen konkret stattfinden, welche Parteien ggf. Zugriff auf die Daten haben und welche Rechte und Möglichkeiten bestehen, um dagegen vorzugehen.

Mit Blick auf die Entscheidungen des EuGH sollten Websitebetreiber keinesfalls den Fehler begehen, das Urteil nur auf die Einbindung des „Social Plugins“ von Facebook zu reduzieren, sondern die übergeordnete Signalwirkung und Strahlkraft für die generelle Einbindung von externen Inhalten, zu denen auch Google Maps, YouTube, Twitter oder Google Analytics zählen, anzuerkennen. Die Identifizierung der zugrundeliegenden Prozesse und Datenströme sowie die Umsetzung von geeigneten Maßnahmen zur Garantie von Rechtskonformität ist mitunter sehr umfangreich. Um hierbei nicht vollständig auf sich allein gestellt zu sein, kann die Hinzuziehung externer Unterstützungs- und Beratungsleistungen von Experten hilfreich, wenn nicht sogar notwendig sein.

Althammer & Kill hat zu dem Thema Informationen, Empfehlungen und Analysewerkzeuge auf der eigens entwickelten Plattform SiteReport zusammengestellt.

Bild: Fotolia/Wolfgang Jargstorff

Ähnliche Artikel

Finanzen Steuern Recht

Verlagerung der Buchführung ins Ausland und elektronische Rechnungsstellung

Aktuelle Entwicklungen im Spannungsfeld steuerlicher Anforderungen

Neben international tätigen kann es auch für mittelständische Unternehmen überlegenswert sein, Buchführungstätigkeiten ins Ausland zu verlagern. Dabei geht es vor allem auch um die Datenarchivierung. Diese dürfte in Zukunft im Zusammenhang mit der fortschreitenden elektronischen Rechnungsstellung immer mehr in den Vordergrund treten.

Hannover 2018 | Kerstin Robohm-Scholl, Hannover

Immobilien

Datenschutz in der Immobilienverwaltung

Welche (neuen) Herausforderungen brachte die DSGVO für die Immobilienwirtschaft?

Die DSGVO unterscheidet nicht zwischen verschiedenen Branchen und richtet sich an private Unternehmen und wie öffentliche Stellen in der EU. Allerdings entstehen für jede Branche spezifische „Problemfelder“, in denen sich der Umgang mit den neuen Vorschriften als besonders herausfordernd herausstellt.

Braunschweig/Wolfsburg 2019 | Jens Stanger, Braunschweig | Andreas Jahr, Braunschweig