„Gefällt mir“ – der EuGH sieht Webseiten-Betreiber und Facebook als gemeinsam verantwortlich

Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz

Mainz, 01.08.2019. Der „Gefällt-mir“-Button ist ein Social Plugin von Facebook, das Betreiber von Webseiten auf ihrer Seite zum Optimieren der Werbung für Ihre Produkte einbinden können und über das Nutzungsdaten der Seitenbesucher an Facebook übermittelt werden. Ohne weiteres Zutun der Seitenbesucher erfährt Facebook damit, wann von welcher IP-Adresse – und bei Facebook-Mitgliedern häufig von welcher Person konkret – welche Internet-Seite aufgerufen wurde. Facebook erhält damit Einblick in das Surfverhalten vieler Nutzerinnen und Nutzer, auch solcher, die nicht Mitglied des Sozialen Netzwerks sind. Der EuGH hat nun mit Urteil vom 29.7.2019 entschieden, dass die Seitenbetreiber hinsichtlich dieser Übermittlungen als Verantwortliche im Sinne des Datenschutzrechts anzusehen sind.

Hintergrund des Verfahrens ist ein Rechtsstreit, mit dem sich das Oberlandesgericht Düsseldorf befasste. Die Verbraucherzentrale NRW hatte gegen den deutschen Modehändler Fashion ID geklagt, der den Facebook-Button in seine Webseiten eingebunden hatte. Schon das Aufrufen der Webseite löst die Übermittlung an Facebook aus, das Betätigen des Buttons ist hierzu nicht erforderlich.

Der EuGH entschied konkret:
* Verbände, die Verbraucherinteressen wahren, können auch bereits unter der Rechtslage der bis zum 24.5.2018 geltenden EU-Datenschutzrichtlinie, gegen Verletzungen des Datenschutzrechts im Namen der Verbraucher Klage erheben (Hintergrund ist, dass die Fragen der Verbraucherzentrale noch auf der ehemaligen Datenschutzrichtlinie beruhten);
* Fashion ID und Facebook sind gemeinsam verantwortlich. Fashion ID ist zwar nicht verantwortlich für die Datenverarbeitungsvorgänge, die Facebook Irland nach der Datenübermittlung vornimmt, jedoch für das Erheben auf der Webseite und für die Übermittlung der Daten an Facebook. Diese Feststellungen gelten dem Grunde nach auch für die Datenschutz-Grundverordnung.
* Der Betreiber einer Website (hier: Fashion ID) muss als (Mit-)Verantwortlicher seine Besucher zum Zeitpunkt über die Datenverarbeitung informieren (u. a. über die Datenübermittlung an Facebook und die Zwecke der Verarbeitung);
* Einwilligungen der Nutzer muss der Betreiber der Webseite nur für die Vorgänge einholen, für die er mitverantwortlich ist (hier: das Erheben und die Übermittlung der Daten), dies jedoch, bevor die Daten erhoben und übermittelt werden
* Falls die Datenverarbeitung mit der Wahrung berechtigter Interessen gemäß Art. 6 Abs. 1 lit. f DS-GVO begründet werden soll, muss jeder der für die Verarbeitung Verantwortlichen eins solches Interesse verfolgen. Ob im Ergebnis die Erhebung und Übermittlung an Facebook mit Art. 6 Abs. 1 lit. f DS-GVO begründet werden können, lässt der EuGH offen. Dies hängt von der Abwägung der Interessen der Verantwortlichen mit den Rechten und Freiheiten der betroffenen Personen im Einzelfall ab. Dass die Übermittlung schon durch das Aufrufen der Seite ausgelöst wird und von den Nutzern weder erkannt noch unterbunden werden kann, spricht allerdings stark gegen eine Zulässigkeit nach Art. 6 Abs. 1 lit. f DS-GVO.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI), Prof. Dr. Dieter Kugelmann, begrüßt das Urteil des EuGH. „Das Urteil konkretisiert nicht nur den Begriff der gemeinsamen Verantwortlichkeit, sondern unterstreicht auch die Prinzipien der Transparenz und Rechtmäßigkeit der Verarbeitung, die maßgebliche Vorgaben der Datenschutz-Grundverordnung sind. Nutzerinnen und Nutzer müssen wissen, woran sie sind, wenn sie eine Webseite aufrufen. Die deutschen und europäischen Datenschutzaufsichtsbehörden werden das Urteil mit Blick auf die aktuelle Rechtslage eingehend auswerten. Prof. Kugelmann stellt fest: „Dabei wird auch zu prüfen sein, welche Konsequenzen sich aus der aktuellen Rechtsprechung für die Betreiber von Internet-Angeboten und Facebook-Seiten und entsprechend für die aufsichtsbehördliche Praxis des LfDI ergeben. So sind auch andere Methoden des Nutzer-Tracking, bei denen Seitenbetreiber bereitgestellte Analyse-Tools von Drittanbietern nutzen, an diesen rechtlichen Anforderungen zu messen. Insbesondere die Frage einer vorherigen Einwilligung der Nutzerinnen und Nutzer rückt hier in den Blickpunkt.“

Bereits 2018 hatte der EuGH über die gemeinsame Verantwortung von Facebook und den Betreibern sogenannter „Facebook-Fanpages“ entschieden und auch hier eine gemeinsame Verantwortung von Betreiber und Facebook bejaht.“ +++



EuGH-Urteil zu Social-Media-Plugins – Webseitenbetreiber in der Pflicht

Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 31.07.2019

Am Montag verkündete der Europäische Gerichtshof ein Urteil zur Frage der datenschutzkonformen Einbindung eines Facebook Like Buttons durch Webseitenbetreiber (C-40/17). Damit stellte er in konsequenter Fortführung seiner Rechtsprechung zur gemeinsamen Verantwortlichkeit für Facebook-Fanpages (C-210/16) fest, dass es auch für die Verwendung von sog. Social Plugins, wie dem Facebook Like Button, eine gemeinsame Verantwortung von Betreibenden einer Homepage und dem jeweiligen Anbieter gibt. Webseitenbetreiber können das Einholen von Einwilligungen bei Nutzerinnen und Nutzern, soweit solche geboten sind, sowie die Erfüllung von Transparenzpflichten nicht auf Facebook abschieben.

Weiterlesen EuGH-Urteil zu Social-Media-Plugins – Webseitenbetreiber in der Pflicht



EuGH–Urteil vom 29. Juni 2019: „Like-Button“, wer ihn auf seiner Webseite einbindet, ist auch verantwortlich! – Gefällt dem TLfDI!

Pressemitteilung des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit vom 30.07.2019

Bereits das Urteil des Europäischen Gerichtshofs (EuGH) zum (Weiter-)Betrieb von Facebook-Fanpages vom 5. Juni 2018 bestätigte die langjährige Rechtsauffassung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK). In ihrem Beschluss vom 5. September 2018 wies die DSK darauf hin, dass Fanpage-Betreiber gemeinsam mit Facebook für die Verarbeitung personenbezogener Daten verantwortlich sind. Die Rechtmäßigkeit der Datenverarbeitung und die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten aus Art. 5 Abs. 1 DS-GVO müssen Fan-Pagebetreiber zusammen mit Facebook nachweisen können. In seinem gestrigen Urteil entschied der EuGH nun, dass die Betreiber, die einen „Gefällt-mir“- Knopf (Like-Button) auf ihrer Webseite einbinden, für die damit verknüpfte Datenübertragung mitverantwortlich sind. Allein der Aufruf einer Webseite, die diese Schaltfläche hat, macht es möglich, Ihr Surfverhalten an Facebook zu übertragen, selbst dann, wenn Sie kein Facebook-Konto besitzen. Das ist gefährlich! Insbesondere deshalb, weil anhand nur weniger Likes ein Persönlichkeitsprofil und Ihr Verhalten prognostiziert werden kann. Allein zehn Likes genügen dafür, dass Facebook Sie besser kennt als Ihre Arbeitskollegen. Und derartige Profile werden auch gern gekauft – von wem und zu welchem Zweck auch immer. Künftig müssen Sie als Nutzer sogenannter Like-Buttons nun zuvor Social-Media-Dienste explizit mit einem weiteren Button aktivieren und damit zustimmen, dass Daten an die Betreiber der sozialen Netzwerke übertragen werden. Dr. Lutz Hasse meint dazu: „Natürlich ist die explizite Aktivierung nervig – soll auch so sein! Denn jetzt müssen Sie bewusst entscheiden, ob Sie Ihre Privatsphäre von Facebook verhökern lassen wollen.“

Die Pressemitteilungen des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit können hier abgerufen werden.



Datenschutz für Grundschulen – überarbeitetes und erweitertes Angebot

Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 30.07.2019

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczyk, veröffentlicht heute ihr vollständig überarbeitetes medienpädagogisches Angebot. Auf www.data-kids.de finden Grundschulkinder, Lehrkräfte und Eltern umfangreiche Materialien, die dabei helfen, sich in der Welt des Datenschutzes besser zurecht zu finden.

Weiterlesen Datenschutz für Grundschulen – überarbeitetes und erweitertes Angebot



Datenschutzverletzungen bereiten zunehmend Sorge!

Seit dem Wirksamwerden der Europäischen Datenschutz-Grundverordnung (DS-GVO) am 25. Mai 2018 werden dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) wesentlich häufiger Fehler beim Umgang mit Daten gemeldet. Das ist einerseits erfreulich, denn diese Meldepflicht gehört zu den zentralen Vorgaben der DS-GVO. Andererseits steht hinter einer solchen Meldung zumeist eine Nachlässigkeit oder ein Organisationsverschulden. Die Anzahl der Meldungen von solchen Verletzungen des Schutzes personenbezogener Daten nach Art. 33 DS-GVO, umgangssprachlich „Datenpanne“ genannt, haben sich seit Mai 2018 verzehnfacht!

Kaum ein Tag vergeht, an dem der Landesbeauftragte keine Meldungen über Datenpannen erhält. Seit Anfang des Jahres gingen bereits knapp 1.000 solcher Benachrichtigungen ein. Die Themen reichen von Vorfällen mit Verschlüsselungstrojanern (Ransomware) bis zum Fehlversand von Arztberichten. Im Mai 2019 gingen mit 177 Meldungen so viele wie noch nie ein.

Die am häufigsten gemeldeten Datenschutzverletzungen:

Platz Art der Meldung
1 Postfehlversand
2 Hackingangriffe/Malware/Trojaner
3 E-Mail-Fehlversand
4 Diebstahl eines Datenträgers
5 Versendung einer E-Mail mit offenem Adressverteiler
6 Verlust eines Datenträgers
7 Fax-Fehlversand

Mit zunehmender Sorge beobachtet der LfDI dabei die hohe Anzahl an Datenpannen in Arztpraxen. Vor allem Verschlüsselungstrojaner machen den Verantwortlichen hier zu schaffen. Ein häufiges Versehen ist es auch, Patientenberichte, Rezepte oder Röntgenbilder an die falschen Empfänger zu übermitteln.

Hierzu erklärt der Landesbeauftragte, Dr. Stefan Brink: „Gerade im medizinischen Bereich werden extrem sensible und schützenswerte personenbezogene Daten verarbeitet. Daher ist es hier besonders wichtig, dass mit diesen Daten sorgfältig und korrekt umgegangen wird. Technische und organisatorische Maßnahmen wie Datensicherung, Verschlüsselung, Schulung und Sensibilisierung der MitarbeiterInnen sind – wie in allen Bereichen, in denen mit personenbezogenen Daten umgegangen wird – ein unbedingtes Muss!“ Bei einer Datenpanne mit Gesundheitsdaten sind regelmäßig neben der Meldung an den LfDI auch die Betroffenen selbst zu benachrichtigen.

Wann müssen Datenpannen überhaupt gemeldet werden?
Nicht jede Verletzung des Schutzes personenbezogener Daten führt zu einer Meldepflicht nach Art. 33 DS-GVO. Entscheidend ist, ob die Datenschutzverletzung zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erläuterungen hierzu und allgemein zur Meldepflicht mit anschaulichen Praxisbeispielen können den Leitlinien des Europäischen Datenschutzausschusses entnommen werden.

Bußgelder
Aufgrund fehlerhaften Umgangs mit Daten wurden bislang von der Bußgeldstelle des LfDI Bußgelder in Höhe von 207.140 Euro verhängt. Die höchsten Geldbußen waren zwei Bußgeldbescheide in Höhe von jeweils 80.000,00 € – in beiden Fällen handelte es sich um Datenpannen: In einem Fall wurden bei einer digitalen Publikation aufgrund unzureichender interner Kontrollmechanismen versehentlich Gesundheitsdaten veröffentlicht. In einem weiteren Fall hatte ein Unternehmen aus der Finanzwirtschaft personenbezogene Daten unsachgemäß entsorgt.

Weiterführende Links zum Thema