EuGH und Facebook-Plugins – Daumen runter?

RA Dr. Sascha Vander

Für die Praxis enthält die Entscheidung im Wesentlichen zwei zentrale Botschaften: Website-Betreiber, die Facebook-Plugins in ihre Website einbinden, müssen ihre datenschutzrechtliche (Mit-)Verantwortung hinterfragen. Mit kursorischen Hinweisen auf eine Plugin-basierte Datenerhebung und -übermittlung wird es zudem ebenso wenig getan sein wie mit einem „Alibi-Cookie-Banner“ als Einwilligungskonzept.

Ein Schwerpunkt der Entscheidung betraf die Frage nach der datenschutzrechtlichen Verantwortlichkeit für den Einsatz von Facebook-Plugins und die hierdurch in Gang gesetzte Datenverarbeitung. Im Anschluss an seine Entscheidung in Sachen Facebook Fanpages (Urteil vom 05.06.2018 – Rs. C-210/16, vgl. dazu Frhr. von dem Bussche, DB 2018 S. 1782) nahm der EuGH auch im Kontext von Facebook-Plugins eine gemeinsame Verantwortlichkeit von Facebook und Website-Betreibern an, die ein Plugin auf ihrer Website einbinden. Allerdings relativierte der EuGH die Verantwortlichkeit für die Website-Betreiber dahingehend, dass diese „nur“ die Erhebung von personenbezogenen Daten und deren Übermittlung an Facebook betreffe, nicht hingegen die nachgelagerte Datenverarbeitung durch Facebook selbst.

Als Anknüpfungspunkt für die gemeinsame Verantwortlichkeit bzw. Mitverantwortung von Website-Betreibern erachtete es der EuGH augenscheinlich als ausreichend, dass ein Website-Betreiber ein Plugin auf seiner Website integriert, da hierdurch eine Übermittlung von Daten an Facebook ermöglicht und beim schlichten Besuch der Website durch Website-Nutzer in Gang gesetzt wird. Der Umstand, dass Facebook die Funktionalitäten der Plugins alleine und ohne Einflussmöglichkeit des Website-Betreibers festlegt, könnte dabei eigentlich gegen eine zur Begründung datenschutzrechtlicher Verantwortlichkeit erforderliche „gemeinsame Festlegung von Zweck und Mittel für die Datenverarbeitung“ sprechen. Zu beachten ist zudem, dass ein Website-Betreiber die vermeintlich „übermittelten“ Daten gar nicht erst erhält, das Plugin vielmehr einen unmittelbaren Datenfluss in Richtung Facebook in Gang setzt. Der EuGH hat diesen Umständen allerdings keine Relevanz beigemessen.

Die Annahme gemeinsamer Verantwortlichkeit birgt vor allem im Hinblick auf die Haftung für Datenschutzverstöße Sprengkraft. Denn zunächst haftet jeder für die Verarbeitung Verantwortliche im Außenverhältnis auf den gesamten Schaden und kann sich den auf andere Verantwortliche entfallenden Teil erst im zweiten Schritt „zurückholen“ (vgl. Art. 82 DSGVO). Das kann deutliche Risiken begründen, besonders für Fälle, in denen Facebook sich möglicherweise im Innenverhältnis zum Website-Betreiber „querstellt“.

Zu bedenken ist auch, dass bei einer gemeinsamen Verantwortlichkeit eine entsprechende Vereinbarung der gemeinsam Verantwortlichen erforderlich ist (Art. 26 Abs. 1 Satz 2 DSGVO). Angesichts der Marktmacht von Facebook wird diese einseitig diktiert werden und Website-Betreibern kaum Mitspracherechte eröffnen. Hier dürfte dann einmal mehr das verbreitete Motto für die Nutzung der Dienste marktmächtiger Akteure im digitalen Massengeschäft gelten: „Take it or leave it!“ Mit hoher Wahrscheinlichkeit wird im Übrigen ein Déjà-vu eintreten: Facebook wird einen „Zusatz“ für die Regelung der gemeinsamen Verantwortlichkeit beim Einsatz von Plugins verabschieden, der dem „Zusatz“ für Facebook-Fanpages vergleichbar sein wird (Seiten-Insights-Ergänzung bezüglich des Verantwortlichen, abrufbar unter: http://hbfm.link/5634) und den Plugin-Verwender zu akzeptieren haben. Insbesondere die deutschen Datenschutzbehörden werden einen solchen Zusatz sodann mit hoher Wahrscheinlichkeit als unzureichend erachten (vgl. Positionierung der DSK, abrufbar unter: http://hbfm.link/5635), und das Spiel beginnt von neuem.

Im Hinblick auf die für den Einsatz von Facebook-Plugins relevanten Verarbeitungsgrundlagen lässt der EuGH vergleichsweise deutlich durchblicken, dass für eine plugin-basierte Datenerhebung und Datenweitergabe eine Einwilligung eingeholt werden muss, wenn und soweit Daten erhoben und übermittelt werden, die im Endgerät eines Website-Nutzers gespeichert sind. Die Verantwortlichkeit hierfür ordnet der EuGH mit Blick auf den zeitlichen Ablauf der Datenverarbeitung jedenfalls in Bezug auf Erhebung und Weitergabe betroffener Daten dem Website-Betreiber zu, wobei die Überlegungen des EuGH auch von dem Umstand geprägt gewesen sein dürften, dass ein Facebook-Plugin nach aktuellem Stand wohl nicht nur Daten von Nutzern mit Facebook-Konto, sondern allen Website-Nutzern übermittelt, also auch solchen, die mit Facebook keine Nutzerbeziehung unterhalten. Dabei braucht es nicht viel Phantasie, um sich das Dilemma vorzustellen, welchem sich Website-Betreiber bei der Umsetzung einer DSGVO-konformen Einwilligung ausgesetzt sehen, insbesondere mit Blick auf die für eine „informierte Einwilligung“ erforderlichen Informationen. Diese werden im Zweifel und zur Gänze nur Facebook selbst bekannt sein.

Die Ausführungen des EuGH zu „berechtigten Interessen“ erfolgten ausdrücklich nur vor dem Hintergrund der vom OLG Düsseldorf als vorlegendem Gericht nach Ansicht des EuGH offenbar zugrunde gelegten Annahme, dass sich die an Facebook mittels Plugin übermittelten Daten nicht notwendigerweise auf Informationen beschränken, die im Endgerät der Nutzer gespeichert sind. Für eine Übermittlung solcher Endgerätedaten geht der EuGH offenbar ohnehin von einem Einwilligungserfordernis aus. Berechtige Interessen, die nach der Entscheidung des EuGH sowohl aufseiten des Website-Betreibers als auch von Facebook vorliegen müssten, können also nur für Datenübermittlungen relevant sein, die keine in einem Endgerät eines Nutzers gespeicherten Daten betreffen.

Die Wertungen des EuGH zu Pflichtinformationen fügen sich in das Konzept der gemeinsamen Verantwortlichkeit ein und weisen dem Website-Betreiber die Informationsverantwortlichkeit in Bezug auf die Datenerhebung und Datenweitergabe an Facebook zu, wobei man sich aus Verbrauchersicht die Frage stellen kann, was es eigentlich bringen soll, dass ein Nutzer von einem Website-Betreiber über die Erhebung und Weitergabe von Daten durch ein Plugin informiert wird, über die dann eigentlich zentrale Datenverarbeitung durch Facebook aber gerade nicht, sondern erst – wenn überhaupt – mittelbar durch Facebook selbst.

Die Notwendigkeit einer Einwilligung sowie der Erfüllung von Informationspflichten unter dem Gesichtspunkt gemeinsamer Verantwortlichkeit dürften jedenfalls den schon jetzt mit Blick auf die Verbreitung von weitgehend sinnfreien Cookie-Bannern zu konstatierenden „Klick-Wahnsinn“ und die bestehende Informationsflut weiter verschärfen. Mit Verbraucherfreundlichkeit und Verbraucherschutz hat dies im Ergebnis immer weniger zu tun: Information Overkill 2.0.

Die Entscheidung des EuGH bringt etwa genauso viel wie die vorausgegangene Entscheidung in Sachen Facebook-Fanpages, nämlich erhebliche Verunsicherung. Die Interpretationen und ersten Stellungnahmen zur Entscheidung gehen denkbar weit auseinander und betreffen dabei so zentrale Fragen wie das Erfordernis einer echten Einwilligung oder die alternative Möglichkeit eines schlichten Rückgriffs auf berechtigte Interessen. Dabei hat der EuGH eigentlich unter Bezugnahme auf die sog. Cookie-Regelung der ePrivacy-Richtlinie und die Position der Europäischen Kommission recht deutlich kommuniziert, dass eine Einwilligung erforderlich sein dürfte. Dies gilt jedenfalls, wenn durch die Facebook-Plugins Zugriff auf Informationen genommen wird, die im Endgerät der Website-Nutzer gespeichert sind. Ob dies der Fall ist, welche sonstigen Informationen beim Einsatz von Facebook-Plugins betroffen sind und ob deren Verarbeitung ggf. über berechtigte Interessen legitimiert werden kann, hat der EuGH offengelassen und zur weiteren Klärung dem OLG Düsseldorf als zur Sachentscheidung berufenem Gericht überlassen. Man darf gespannt sein, ob es dem Gericht gelingen wird, hier mehr Licht in die dunkle Facebook-Datenwelt zu bringen.

Wie lange die Halbwertzeit der Entscheidung insbesondere in Bezug auf die thematisierten Verarbeitungsgrundlagen betragen wird, ist fraglich. Mit der ePrivacy-Verordnung, deren Verabschiedung und Inkrafttreten nach wie vor in den Sternen steht, könnten die Karten insoweit neu gemischt werden, auch wenn die aktuellen Entwürfe und Tendenzen eine Erleichterung für die Online-Branche nicht vermuten lassen.