EuGH-Urteil vom 05.06.2018: Abmahnrisiko bei Nutzung von Social Media-Portalen, Einbindungen von Social Plugins und Trackingmaßnahmen im Online-Marketing steigt

Der EuGH hat mit Urteil vom 05.06.2018 das im Jahre 2011 von dem ULD (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein) eingeleitete Verfahren entschieden und eine Mithaftung des Unternehmens für etwaige Datenschutzverletzungen von Facebook bei Einsatz von Facebook-Seiten bejaht. Inwieweit eine tatsächliche Datenschutzverletzung bei Facebook vorliegt, muss das Bundesverwaltungsgericht nach der Entscheidung noch prüfen.

Der EuGH bejaht eine Mitverantwortlichbarkeit beim Einsatz von Facebook-Seiten. Grund dafür sei, dass ohne Eröffnung einer Facebook-Seite oder Nutzung eines Plugins Facebook die Nutzerdaten überhaupt nicht erheben könne. Außerdem verfolge das Unternehmen gemeinsame Interessen mit Facebook, da es Werbeanzeigen genauer schalten könne. Der EuGH erklärte, dass beispielsweise beim Betrieb einer Fan-Page zu mindestens der Betreiber Zielgruppendaten wie insbesondere Alter, Geschlecht, berufliche Situation, Informationen über Interessen der Zielgruppe einschließlich über die Käufe und das Online-Kaufverhalten und geographische Daten erhalten könne. Dies sei ausreichend, um spezielle Werbeaktionen durchzuführen und Veranstaltungen zu organisieren. Insofern spiele es keine Rolle, dass der tatsächliche Verarbeitungsprozess der Daten ausschließlich von Facebook vorgenommen werde und das Unternehmen lediglich anonymisierte Daten von Facebook erhalte. Dies begründe eine datenschutzrechtliche Mitverantwortlichkeit.

Nach der Entscheidung des EuGH wird die Angelegenheit zum Bundesverwaltungsgericht zurückverwiesen, welches dann entscheiden muss, ob tatsächlich die vom ULD behaupteten Datenschutzverstöße von Facebook vorliegen. Erst im Nachgang kann dann mit Sicherheit gesagt werden, dass das angegriffene Unternehmen für Datenschutzrechtsverletzungen belangt werden kann.

Die Entscheidung liegt auf der Linie von sehr gefährlichen Entscheidungen in den letzten Wochen. Beginnend mit der Empfehlung mit dem Papier der deutschen Datenschutzkonferenz (DSK) vom 26. April 2018 in welchem die DSK (Deutsche Datenschutz Konferenz) von der bisherigen Rechtsansicht der Bundesregierung und dem überwiegenden Anteil in der datenschutzrechtlichen Kommentarliteratur abweicht und eine vorhergehende Einwilligung beim Einsatz von Tracking-Maßnahmen im Internet nach dem Inkrafttreten der DSGVO fordert.

Diese Ansicht der Aufsichtsbehörden betrifft den gesamten Einsatz von Cookies und der Auswertung von Verkehrsdaten unter Berücksichtigung von personenbezogenen Daten, zu denen in jedem Fall die IP-Adresse gehört. Nach meiner Kenntnis liegen bereits gestützt auf dieses Positionspapier der DSK erste Abmahnungen vor, welche die mangelnde Einwilligung in die Verwendung von Cookies auf Internetseiten beanstanden. Bislang reichte nach eine Opt-out-Lösung dahingehend, dass dem Internetuser ein Hinweis über die Datenschutzerklärung gegeben wurde, dass Cookies zum Einsatz kommen und wie er über Einstellungen im Internetbrowser die Verwendung von Cookies verhindern konnte. Dies soll nunmehr nach Inkrafttreten der DSGVO nach Ansicht der DSK nicht mehr der Fall sein.

Die Auswirkungen dieses Papiers sind ebenfalls noch nicht vollständig abzusehen. Fest steht, dass das Positionspapier eine rechtlich unverbindliche Handlungsempfehlung darstellt. Allerdings wird diese Empfehlung von der DSK vertreten, in welchen sich die Aufsichtsbehörden für den Datenschutz versammelt haben. Insofern ist in jedem Fall mit entsprechenden Untersagungsverfügungen zu rechnen. In Anbetracht der bisherigen Rechtsansicht mit dem ausreichenden Hinweis in der Datenschutzerklärung werden dann in jedem Fall die Gerichte mit dieser Frage bemüht werden müssen.

Darüber hinaus hat das Verwaltungsgericht Bayreuth den Einsatz von Faceboot-Custom-Audience als Teil des Facebook-Pixels auf einer Internetseite mit Beschluss vom 08. Mai 2018 als datenschutzrechtswidrig nach altem Datenschutzrecht vor Inkrafttreten der DSGVO eingeordnet, da hier ohne Rechtsgrundlage von dem Unternehmen Daten an Facebook weitergegeben werden. Im Rahmen der dortigen Entscheidung verneinte das Verwaltungsgericht die Existenz eines Auftragsdatenverarbeitungsverhältnisses zwischen dem Unternehmen und Facebook, da das Unternehmen keine Weisungsbefugnis in Bezug auf Facebook ausüben könnte und Facebook nicht als verlängerter Arm des Unternehmens in Bezug auf die Datenübertragung fungiere.

Fazit:

Die Rechtsansicht der DSK einschließlich des Urteils des EuGH führen zu einer extrem gefährlichen Situation. Soweit – wovon ich persönlich ausgehe – das Bundesverwaltungsgericht feststellen wird, dass Datenschutzverstöße im Registrierungsvorgang bei Facebook vorliegen, steigt die Abmahngefahr erheblich. Diese bezieht sich im Rahmen des EuGH-Verfahrens momentan ausschließlich gegenüber Facebook. Allerdings kann die Begründung auf sämtliche andere Anbieter von Social Media-Leistungen ebenso übertragen werden wie auf die Einbettung von Drittcontent auf der eigenen Internetseite wie beispielsweise Facebook- oder wie YouTube-Videos. Darüber hinaus betrifft die Entscheidung auch Tracking- und Auswertungsmaßnahmen durch den Einsatz von Facebook-Ads und Facebook-Pixels und ist problemlos auf die Verwendung von Social Plugins übertragbar.

Ich Bereich der Social Plugins schwebt ein weiteres Verfahren vor dem Oberlandesgericht Düsseldorf, mit welchem das Gericht Peak & Cloppenburg die Verwendung des Facebook-Like-Buttons auf deren Webseite verboten hatte. Auch diese Entscheidung liegt dem EUGH vor, wobei ich anhand der gestrigen Entscheidung ebenfalls von einer Bestätigung der Verurteilung ausgehe.

In Anbetracht der momentan noch nicht finalen Bestätigung der Datenschutzrechtsverstöße bei Facebook bleibt den Unternehmen noch eine gewisse Überlegungsfrist. Diese sollte genutzt werden, um aus rein kaufmännischen Gründen zu überlegen, wie wichtig der Betrieb von eigenen Facebook-Seiten oder andere Social-Media-Seiten oder die Einbettung von Social Media Plugins tatsächlich für das Unternehmen ist.

In Bezug auf die parallel entbrannte Diskussion über die Stellungnahme der DSK zur Einwilligung bei der Benutzung von Tracking-Maßnahmen sollte in jedem Fall überlegt werden, ob in Anbetracht der momentanen Rechtsunsicherheit zur Vermeidung eines Abmahnrisikos auf das Einwilligungsverfahren im Wege eines Opt-in mit einem klaren Hinweis auf den Einsatz von Cookies oder sonstigen Tracking-Tools auf der Internetseite verwiesen wird, welche personenbezogenen Daten, insbesondere die IP-Adresse speichern. Auch hier bleibt gleichwohl ein Restrisiko, da zum einen die Einwilligung im Umfang der Datenerhebung und Übertragung eindeutig formuliert und verständlich sein muss, was in Kenntnis der technischen Abläufe und der konkreten Datenerhebung möglich sein sollte. Zum anderen dürfte streng genommen vor der Einwilligung durch den User kein Cookie oder ein Web-Analyse-Tool auf dem Rechner des User installiert sein, woran es meiner Kenntnis nach häufig scheitert.

Alternativ verbleibt ein kalkuliertes Risiko. Denn es ist trotz Hinweises der DSK im Positionspapier auf die Möglichkeit der Rechtfertigung von Tracking-Maßnahmen über die Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO unverständlich, warum die DSK diese Rechtsgrundlage nicht geprüft hat. Diese macht eine vorherige Einwilligung entbehrlich. Diese erlaubt den Cookie-Einsatz als Form des Direktmarketings ohne Einwilligung dann, wenn ein berechtigtes Interesse des Unternehmens zur Platzierung des Cookies besteht und keine überwiegenden Interessen des Dateninhabers entgegenstehen. Ein eindeutig überwiegendes Interesse des Internetusers an der mangelnden Web-Analyse ist meines Erachtens nicht erkennbar, zumal diese bereits seit Jahren dem Internetuser bekannt ist und es ein berechtigtes Interesse an dem Einsatz dieser Form des Direktmarketing in der Gesetzesbegründung zur DSGVO gibt.

Wenn dieses Risiko nicht eingegangen werden soll, bleibt nur die Abschaltung eigner Social Media-Seiten und die mangelnde Einbettung von Drittcontent in die eigenen Onlineseiten. Hier kann dann nur noch mit Hyper-Links gearbeitet werden oder Internet-Tools wie SHARIFF eingesetzt werden, welche im Wege einer 2-Klick-Lösung eine Information und Einwilligung des Internetnutzers vor der Datenübertragung an das Drittunternehmen beinhalten. Gleichwohl ist auch diese Lösung nicht absolut sicher, da nach bisher sehr strenger instanzgerichtlicher Rechtsprechung in Deutschland eine wirksame Einwilligung nur dann existiert, wenn der Einwilligende mit einfach verständlichem Text in hervorgehobener Form den tatsächlichen Umfang der Datenerhebung und Übertragung an die bezeichnenden Drittunternehmen erfährt. Allerdings ist gerade im Social Media Bereich häufig die Einwilligungserklärung in die Nutzungsbedingungen eingebettet, sodass keine eindeutige Hervorhebung erfolgt. Allein dies kann schon zur Datenschutzrechtswidrigkeit führen. Hinzu kommt, dass die Texte extrem lang und nicht leicht verständlich sind. Darüber hinaus ist auch der Umfang der Datenerhebung und Übertragung häufig unverständlich und intransparent formuliert.