„Internetseiten, die den Like-Button von Facebook einbinden, müssen eine Einwilligung der Nutzer einholen. Das hat der Europäische Gerichtshof jetzt festgestellt. Betreiber der Internetseite sind damit verantwortlich für die Erhebung und Übermittlung der Daten. …“ Sagt in einem Videoeinspieler Welt.de, das gemeinsame Internetportal der angesehenen Tageszeitung „Die Welt“ und dem Fernsehsender N24 aus dem Hause Axel Springer. Aber stimmt diese Meldung überhaupt?
In einer ersten Meldung hatte auch netzpolitik.org, eine mindestens ebenso angesehene Plattform des gleichnamigen Vereins, die sich selbst laut Wikipedia als „Mittelding zwischen Nichtregierungsorganisation und Medium, vergleichbar mit einer Mischung aus Greenpeace und taz“ sieht, gemeldet „dass Webseitenbetreibende aufgrund des EuGH-Urteils eine Einverständniserklärung einholen müssen“. netzpolitik.org hat das später korrigiert und auch welt.de schreibt in ihrem Artikel unterhalb des Videos, dass es so einfach denn doch nicht ist.
Was hat also der EUGH tatsächlich entschieden?
Die klagende und sich am Ende im Recht sehende Verbraucherzentrale NRW (e.V.) äußert sich wesentlich zurückhaltender. Ihre Headline auf der Internetseite verbraucherzentrale.de lautet „EUGH-Urteil: Like-Button von Facebook nur mit Info an Nutzer“. Aha. Das klingt doch schon ganz anders. Und es bestätigt meine „ständige Predigt“ von der Wunderwaffe „Transparente Information“. Werden die NutzerInnen von Internetseiten transparent darüber informiert, was mit ihren personenbezogenen Daten dort passiert, braucht es in der Regel KEINE ausdrückliche Einwilligung. Dafür erforderlich ist, dass, gemäß Artikel 12 DS-GVO, „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ zu informieren ist. Dazu hat es sich bewährt, in einem deutlich sichtbaren Bereich auf diese transparente Erklärung hinzuweisen. Ein Beispiel: „Bevor Sie sich hier anmelden, lesen Sie bitte diese wichtigen Informationen zum Datenschutz und zur DSGVO.“ Statt „anmelden“ kann es natürlich auch heißen „Bevor Sie diese Seite betreten…“.
Transparente Information ist allerdings nur die Grundlage. Sie wird von der DS-GVO gefordert, ohne dass damit „Privilegien“ verbunden sind. Dazu müssen den NutzerInnen einfache Zugänge zur Verfügung gestellt werden, mit denen Sie sich gegen die Nutzung ihrer personenbezogenen Daten zu Werbezwecken wirksam schützen können. In einem Newsletter ist das der altbekannt „Abbestellen-Link“. Auf einer Website könnte das ein Link zu einer Auswahl-Seite sein.
Bedarf es einem Zwang zur Auswahl?
Genau an dieser Stelle trennt sich der ideologisch aufgeladene Datenschützer vom Praktiker (merke: „Datenschutz-Praktiker Dirk Wolf 😉 ). Der Ideologe will die NutzerInnen dazu zwingen, sich aktiv zu entscheiden. Der Praktiker lässt den NutzerInnen die Auswahl: sie können sich zu einer aktiven Wahl entscheiden, sie können sich aber auch dazu entschließen, dass es ihnen vollkommen gleichgültig ist, was mit ihren Daten passiert. So, wie wir es beispielsweise Facebook-NutzerInnen ja auch gestatten, einen für manche unglaublichen „Datenstrip“ hinzulegen. Oder sie sich mit, zugegeben, immer noch viel zu versteckten Einstellung auf Facebook, sehr gut vor dem Zugriff durch die Öffentlichkeit zu schützen. Wohlgemerkt, vor dem Zugriff durch die Öffentlichkeit. Das gilt (derzeit?) noch nicht für Facebook selbst, die die Daten hemmungslos nutzen für die Werbung ihrer zahlenden Kunden (zu denen ich übrigens auch zähle, und auch ich schätze die zielgruppengenaue Auswahl).
Um rechtssicher den Facebook Like-Button und andere Tracking-Methoden einsetzen zu können, bedarf es aber noch mehr. So muss eine Interessenabwägung stattfinden, wenn auf Basis des Artikel 6 Abs. 1 (f) die Verarbeitung personenbezogener Daten auf die „berechtigte Interessen“ abgestellt werden soll. Berechtigte Interessen des Websitebetreibers oder Dritter allein reichen nicht. Es muss abgewogen werden, ob die schutzwürdigen Interessen der Betroffenen den berechtigten Interessen nicht überwiegen. Das muss schriftlich dokumentiert werden (auch elektronisch) und selbstverständlich gehört das auch ins Verarbeitungsverzeichns. Das alles bitte sorgsam erledigen – oder einen Fachmann fragen. Oder besser: einen Datenschutz-Praktiker!
Fazit:
Genau hinsehen, was im Urteil wirklich steht und nicht den Schlagzeilen aufmerksamkeitshaschender Medien allzu schnell hinterherlaufen!
PS Im aktuellen Fall hat der EUGH gar nichts entschieden. Er hat lediglich dem anfragenden Oberlandesgericht Düsseldorf Hinweise zur seiner Entscheidung geliefert, indem es festgestellt hat, dass Website-Betreiber gemeinsam Verantwortlichen gem. Artikel 26 DS-GVO sein können.