Betrifft:
Urteil des EuGH C-40/17 vom 29.7.2019
Fashion ID GmbH & Co. KG
gegen
Verbraucherzentrale NRW eV
beteiligt:
Facebook Ireland Ltd.
Zum Überblick In Kürze:
Social - Plugins mit Cookies uä bedürfen der Aufklärung und Zustimmung des Users. Betreffend die Erhebung und Weitergabe der Userdaten ist der Webseitenbetreiber hierfür verantworltich. Die Aufklärung duch Erfüllung der Informationspflichten muss erfolgen, bevor die Daten des Users erhoben werden. Erst dann kann eine Zustimmung eingeholt werden.
Die Rechtsprechung dürfte auf Javascript-Funktionen übertragbar sein, die Daten an den Funktionsbereitsteller übermitteln.
Beispielhafte Überlegungen:
a) Ein Webseitenbetreiber bindet Werbung derart ein, dass er ein extern zugeladenes Plug-In verwendet, das die Werbung samt weiterem Code nachlädt. Es wird dann von diesem nachgeladenen Code ein Cookie gesetzt, es werden Daten des Users erhoben und dieser werden an den Werbungsbetreiber rückübermittelt.
a) Umgelegt auf z.B. das Projekt "Sharif" von Heise, könnte das bedueten, dass eine Information über die Erhebung der Daten zur Vefügung stehen muss, bevor der Sharif-Button angeklickt wird - etwa durch einen Link in der Nähe des Buttons.
b) Die Einbindung von z.B. Videoplayern kann weitere Tracking-Codes mit sich bringen, auch können Cookies gesetzt werden. Der Webseitenbetreiber hat somit sicherzustellen, sämtliche Scripts etc., die der eingebettete Dritt-Code für den Videoplayer mit sich bringt, datenschutzrechtlich zu prüfen. Dies setzt die Kenntnis voraus, ob und welchen Code (und woher) ein eingebundener Video-Player nachlädt.
Am 29.7.2019 hat der Europäische Gerichtshof im Vorabentscheidungsverfahren C-40/17 im Wesentlichen grob zusammengefasst entschieden:
- Der Webseitebetreiber trägt die datenschutzrechtliche Mitverantwortung für Datenerhebung und Datenübermittlung durch ein externes Plug-In, das personenbezogene Daten an den Plug-in Betreiber übermittelt. Er ist in die Datenverarbeitung des Plug-in-Anbieter eingebunden. Die Gründe für diese Mitverantwortung sind, dass der Webseitenbetrteiber selbst entschieden hat, das Plug-In auf seiner Webseite zu platzieren, er weiss, dass damit personenbezogene Daten erhoben und übermittelt werden und er hat durch das Plug-In einen wirtschaftlichen Vorteil hat (z.b. Werbung). Diese Mitverantwortung besteht insbesondere gegenüber Webseitenbesuchern, die kein Konto beim Anbieter des Plug-Ins haben.
- Die Verwendung von Drittanbieter- Plug-Ins auf Webseiten erfordert eine klare Kommunikation über die stattfindenden Abläufe (s. Informationspflicht).
- Grundsätzlich ist für die Einbindung von Drittanbieter- Plugins mind. ein berechtigtes Interesse gem. Art 7 lit f der EU-RL 94/95 des Webseitebetreibers und des Plug-In-Anbieters nötig (nach damaliger Rechtslage, nunmehr DSGVO u.a.). Im vorliegenden Fall könnte sogar die Zustimmung gem. Art 7 lit a der RL und gem. EU-RL 2002/58 nötig gewesen sein. Ist die Einwilligung nötig - etwa weil informationen auf dem Endgerät des Nutzers gespcihert werden - , so muss der Webseitenbetreiber diese einholen. Dies hat vor der Datenerhebung und Übermittlung an den Plug-In Anbieter zu erfolgen.
- Da der Anbieter des Plug-In, sowie der Webseitenbetreiber gemeinsam Verwantwortliche iSd Richtlinie sind, muss bei beiden ein Rechtfertigungsgrund gem. Art 7 EU-RL 94/95 bestehen, beide müssen die jeweiligen Pflichten der Richtlinien als Verwantwortlicher erfüllen, wie die Informationspflichten gegenüber den Betroffenen (Art 10 EU-RL 94/95).
- Die Regelung über "Joint Controller" lässt zivilrechtliche Haftungsnormen unberührt.
Näheres finden Sie im Urteil, das unter diesem Link abrufbar ist.
Die Vorabentscheidung ergeht noch zur Rechtslage vor In-Kraft-Treten der DSGVO. Es ist aber vorsichtshalber von einer weitgehenden Umlegbarkeit auf die Rechtslage seit In-Kraft-Treten der DSGVO auszugehen.
Die Entscheidung dürfte weitreichende Auswirkungen haben, vor allem auch auf die Verwendung bestimmter Formen von Tracking-Code, durch den die Interaktion des Webseitebenutzers analysiert und weiterverarbeitet wird. Dies soweit der Code browserseitig nachgeladen wird bzw. der Drittanbieter mit dem Webseitenbenutzer interagiert. Die Annahme, ein Dritter, der Code anbietet, sei ein Auftragsverarbeiter, ist gründlich zu prüfen.
Sämtliche eingebunden externen JavaScript Funktionen oä, die von Dritten betrieben werden, sind jedenfalls auf ihre rechtliche Zulässigkeit zu prüfen.
Zu beachten ist, dass die Feststellungen des EuGH zum Sachverhalt abhängig vom Ergebnis des unterinstanzlichen Verfahrens sind, es können sich somit noch Änderungen ergeben. Der EuGH hat in Rz 90 des Urteils dem vorlegenden Gericht aufgetragen, nachzuprüfen, ob der Dritte Zugriff auf Informationen hat, die im Endgerät des Benutzers gespeichert werden.
Diese Zusammenfassung ersetzt keine individuelle Rechtsberatung. Bei Fragen zu Ihrer Webseite oder Ihrem IT-Dienst kontaktieren Sie mich.