Gastbeitrag: EuGH-Rechtsprechung zur gemeinsamen Verantwortlichkeit im Kontext Social Media

Unternehmen, die eine eigene Präsenz in sozialen Netzwerken pflegen oder über ihre Unternehmenswebseite die Möglichkeit der direkten Interaktion mit sozialen Netzwerken über sog. Social-Plugins schaffen, müssen nach der aktuellen Rechtsprechung des Europäischen Gerichtshofes (EuGH) überprüfen, ob sie mit dem Betreiber des sozialen Netzwerkes als „Gemeinsam Verantwortlich“ im Sinne der Datenschutz Grundverordnung (DSGVO) zu qualifizieren sind.  Die gemeinsame Verantwortlichkeit bringt verschiedene Pflichten mit sich, bei deren Missachtung Sanktionen durch die Datenschutzaufsichtsbehörden möglich sind. 

Nach der Auffassung des EuGH können soziale Netzwerke und Unternehmen gemeinsam verantwortlich für die Verarbeitung von Nutzerdaten sein.

Ist ein Social-Plugin in die Webseite eines Unternehmens ein-gebunden, so werden bestimmte Daten (u.a. die IP-Adresse) des Webseitenbesuchers erhoben und an das soziale Netzwerk übermittelt. Ziel dieser Übermittlung ist es, die Produkte und Dienstleistungen des Unternehmens in dem sozialen Netzwerk sichtbarer zu machen. Der EuGH hatte sich jüngst (Urt. v. 29.07.2019 – Az. C-40/17) mit der Frage zu befassen, ob die Einbindung eines Social-Plugins (hier: der Facebook-Like-Button) eine datenschutzrechtliche Verantwortlichkeit für den Webseitenbetreiber auslöst. Die Auffassung des Gerichtes ist differenziert: Für die Datenverarbeitung die das soziale Netzwerk, welches das Plugin bereitstellt, nach Erhalt der Nutzerdaten durchführt, ist der einbindende Webseitenbetreiber nicht verantwortlich. Hingegen fällt die Datenerhebung auf der Unter-nehmenswebseite über das Plugin sowie die anschließende Übermittlung an das soziale Netzwerk, auch in den Verantwortungsbereich des Webseitenbetreibers. Für diesen Verarbei-tungsvorgang sind nach Auffassung des EuGH sowohl das soziale Netzwerk, als Anbieter des Plugins, wie auch der Webseitenbetreiber verantwortlich.

Bereits im Jahr 2018 hat der EuGH in einer anderen Sache (Urt. v. 5.06.2018 – Az. C21016 C-210/16) entschieden, dass die Nutzung einer Facebook-Fanpage (Unternehmensseite) daten-schutzrechtlich als gemeinsame Verantwortlichkeit zu qualifizieren ist. Bei der Nutzung hat das Unternehmen die Möglichkeit, auf verschiedene von Facebook zur Verfügung gestellte Statistiken über den Besuch der Unternehmensseite zuzugreifen. Zudem kann das Unternehmen über eine Parametrisierung beeinflussen, welche Daten zum Gegenstand einer solchen Statistik werden.
Die vorgenannten Urteile beziehen sich zwar noch auf die Rechtslage vor Wirksamkeit der DSGVO, dürften aber hinsicht-lich der gemeinsamen Verantwortlichkeit ebenso Signalwirkung für die DSGVO haben.

Wann liegt eine gemeinsame Verantwortlichkeit nach der DSGVO vor?

Eine gemeinsame Verantwortlichkeit entsteht nicht durch den Abschluss eines Vertrages, sondern aufgrund eines tatsächlich gemeinsam durchgeführten oder veranlassten Datenverarbeitungsvorgangs. Ein Unternehmen entscheidet sich also nicht aktiv dazu, eine gemeinsame Verantwortlichkeit mit einem an-deren Unternehmen/Datenverarbeiter einzugehen. Es ist vielmehr so, dass sich die Unternehmen auf eine gemeinsame Datenverarbeitung einigen, welche dann rechtlich als gemeinsame Verantwortlichkeit qualifiziert werden kann. Im Grundsatz liegt eine gemeinsame Verarbeitung nach der DSGVO immer dann vor, wenn mehrere Verantwortliche die Zwecke (Wofür werden die Daten verarbeitet) und Mittel (Wie werden die Daten verarbeitet) einer Datenverarbeitung bestimmen. Dabei ist es nicht erforderlich, dass die Unternehmen zu gleichen Teilen darüber bestimmen. Auch abgestufte Formen der Zusammenarbeit hinsichtlich der Datenverarbeitung können ausreichen. Erforderlich ist, dass die gemeinsam Verantwortlichen hinsichtlich der Datenverarbeitung kooperativ (aber nicht zwingend dieselben) Ziele verfolgen. Abzugrenzen ist die gemeinsame Verantwortlichkeit von der Auftragsverarbeitung, bei der ein Unternehmen die Datenverarbeitung nur nach strikten Vorgaben des anderen Unternehmens durchführt und darüber hinaus nicht selbst bestimmt, wofür die Daten verarbeitet werden sollen.

Besondere Pflichten für die gemeinsam Verantwortlichen

Unternehmen, die in gemeinsamer Verantwortlichkeit nach der DSGVO Daten verarbeiten, sind dazu verpflichtet, eine Vereinbarung über ebendiese zu treffen. Dabei sind in der Vereinbarung insbesondere Regelungen zu folgenden Punkten erforderlich:

  • Die Vereinbarung muss die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen darstellen.
  • Aus der Vereinbarung muss sich ferner ergeben, welche der jeweiligen Vertragsparteien welche Pflichten im Rahmen der gemeinsamen Datenverarbeitung hat. Dies gilt insbesondere hinsichtlich der Wahrung der Betroffenenrechte.
  • Die Parteien müssen festlegen, wer welchen Informationspflichten (z.B. mittels Datenschutzschutzerklärung) gegenüber den Betroffenen nachkommt.
  •  Die Parteien haben auch die Möglichkeit, in diesem Vertrag eine gemeinsame Anlaufstelle für die Betroffenen zu vereinbaren.

Informationspflicht, Rechtsgrundlage und datenschutzfreundliche Lösungen

Aus der datenschutzrechtlichen Verantwortlichkeit hinsichtlich des Einsatzes eines Social-Plugins sowie des Betriebs einer Unternehmensseite in einem sozialen Netzwerk, erwachsen zudem weitere Pflichten für ein Unternehmen: So sind die Besucher der Webseite darüber zu informieren, dass durch den Einsatz des Social-Plugins Nutzerdaten erhoben und an ein soziales Netzwerk übermittelt werden. Auch über den Umstand und Umfang der Datenverarbeitung bei dem Besuch einer Facebook-Fanpage ist der Besucher zu informieren. Überdies darf diese Datenerhebung, -übermittlung und sonstige -verarbeitung nur aufgrund einer Rechtsgrundlage erfolgen, welche ebenfalls in der Datenschutzerklärung zu benennen ist. Sofern eine Da-tenschutzerklärung noch keine entsprechenden Informationen enthält, besteht hier dringender Anpassungsbedarf.

Auch in technischer Hinsicht sollten Unternehmen aufmerksam sein: Gerade bei der Einbindung von Social-Plugins gibt es Lösungen, die einen datenschutzfreundlichen Einsatz solcher Plugins ermöglichen. So werden die Daten der Webseitenbesu-cher bei der Verwendung der sog. „Zwei-Klick-Lösung“ oder des Tools „Shariff“ nicht direkt beim Aufruf der Webseite an das soziale Netzwerk übermittelt.

Fazit und Empfehlungen

Der EuGH hat mit seinen Urteilen klargestellt, dass Unternehmen, die soziale Netzwerke als Teil ihrer Kommunikations- und Werbestrategie nutzen, jedenfalls auch datenschutzrechtlich verantwortlich sind. Vor dem Hintergrund der EuGH-Rechtsprechung und auch mit Blick auf die Stellungnahme der deutschen Aufsichtsbehörden zum Einsatz von Cookies und Tracking-Tools (DSK – Orientierungshilfe für Anbieter von Tele-medien) wird deutlich, dass der Online-Bereich kein datenschutzrechtsfreier Raum ist und auch nicht mit besonderer Nachsicht durch Behörden und Gerichte zu rechnen ist. Die Erfahrungen, insbesondere aus dem Lauterkeitsrecht, zeigen zudem, dass die Verbraucherverbände mit einem wachsamen Auge auf die Online-Angebote von Unternehmen blicken und gegen Verstöße vorgehen.

Unternehmen, die die Vorteile der sozialen Netzwerke nutzen wollen, sollten daher dringend darauf achten, dass die rechtli-chen Anforderungen erfüllt sind. Dies erfordert insbesondere

  • den Abschluss einer Vereinbarung zur gemeinsamen Verantwortlichkeit
  • und die Aktualisierung der Datenschutzerklärung(en).

 

Die Autoren:

Dr. Daisy Walzel, LL.M.
Rechtsanwältin / Partnerin

DWF Germany Rechtsanwaltsgesellschaft mbH

Nico Winter, LL.M.
Associate

DWF Germany Rechtsanwaltsgesellschaft mbH

Kommentare