Manchmal tragen wir mehr Verantwortung, als wir denken ... oder als wir wollen.

Legal Watch – September 2019.

Dies ist der Fall, wenn Sie ein einfaches Plug-In auf Ihrer Website installieren, auch wenn Sie keinen Zugriff auf die auf diese Weise gesammelten Daten haben.

Ein aktuelles Urteil des Gerichtshofs der Europäischen Union, bekannt als „Fashion ID“, bestätigt diese Beobachtung, indem es die Verantwortung von Website-Managern klarstellt, die auf ihrer Seite ein Facebook-„Gefällt mir“-Symbol einfügen.

Das Einfügen dieses einfachen Plug-Ins kann daher zur Folge haben, dass der Site-Manager gemeinsam mit dem sozialen Netzwerk, das diese Daten sammelt, für die Verarbeitung verantwortlich ist.

Technisch gesehen ermöglicht das einfache Einfügen eines Plug-ins auf einer Webseite die automatische Übermittlung der Verbindungsdaten der Besucher dieser Seite an das jeweilige soziale Netzwerk, unabhängig davon, ob die Besucher auf das Plug-in-Symbol klicken oder nicht. Im vorliegenden Fall wurden die Daten der Besucher der Website von Fashion ID, einem deutschen Online-Modehändler, somit systematisch an Facebook übermittelt. Dies geschieht heute tatsächlich bei vielen Websites, seien es Online-Verkaufsseiten, Nachrichtenseiten oder Blogs. Und die Argumentation, die sich in diesem Fall gegen Facebook richtet, lässt sich auf jedes soziale Netzwerk oder jede andere Einrichtung übertragen, die dieselbe Technologie nutzt.

Der Gerichtshof stellte klar, dass die Tatsache, dass der Websitebetreiber keinen Zugriff auf die übermittelten Daten hat, seine Haftung nicht mindert. Entscheidend bleibt vielmehr, dass er gemeinsam mit Facebook die Zwecke und Mittel der Verarbeitung bestimmt. Der Gerichtshof leitet die mögliche gemeinsame Haftung der Website und Facebooks aus den gegenseitigen wirtschaftlichen Vorteilen ab, die sie aus dieser Zusammenarbeit ziehen: für Facebook die Erweiterung seiner Datenbank und für den Websitebetreiber eine Optimierung der Werbung für seine Produkte im sozialen Netzwerk Facebook, sobald ein Besucher auf das „Gefällt mir“-Symbol klickt.

Das Gericht stellt klar, dass die rechtlichen Verantwortlichkeiten und Pflichten je nach den verschiedenen Aspekten der Datenverarbeitung unterschiedlich sind: In diesem Fall kann Fashion ID nicht für die spätere Verarbeitung der Daten durch Facebook verantwortlich gemacht werden. Facebook muss für diese Verarbeitung zudem eine konkrete Rechtsgrundlage angeben. Der Websitebetreiber ist jedoch verpflichtet, seine Besucher gesondert über die Erhebung und Übermittlung dieser Daten an das soziale Netzwerk zu informieren und deren Einwilligung einzuholen.

Aus diesem wichtigen Urteil lassen sich mehrere Lehren ziehen. Es ist daher ratsam:

• Überprüfen Sie systematisch die Nutzungsbedingungen von Plug-ins auf Ihrer Website und die möglichen Bedingungen der Datenübermittlung an Dritte.
• Überprüfen Sie die Haftungsklauseln in Verträgen mit diesen Dritten;
• Informieren Sie Besucher gezielt über diese Erhebung und holen Sie deren gesonderte Einwilligung ein.

Diese Vorsichtsmaßnahmen sind umso relevanter, als die CNIL vor Kurzem die strengen Bedingungen für die Einholung der Einwilligung in Bezug auf Online-Werbe-Targeting klargestellt und angekündigt hat, dass sie ihre Überwachungstätigkeiten im Jahr 2019 auf Fragen der Verteilung der Verantwortlichkeiten zwischen den verschiedenen Parteien, die personenbezogene Daten verarbeiten, konzentrieren werde. 

Diese Fragen werden auch auf europäischer Ebene behandelt. Der Europäische Datenschutzausschuss (EDSA), in dem die Datenschutzbehörden der Europäischen Union (CNIL) zusammengeschlossen sind, hat Gespräche mit verschiedenen Branchenorganisationen eingeleitet, um die Stellungnahme der Aufsichtsbehörden zur Identifizierung und Rolle von Verantwortlichen, gemeinsam Verantwortlichen und Auftragsverarbeitern zu aktualisieren.

Und außerdem:

• in Europa:

Brexit:

Welche Bedingungen gelten für Datenübermittlungen nach Großbritannien, sollte das Land die Europäische Union ohne Abkommen verlassen? Der EDSA veröffentlichte Anfang 2019 eine Mitteilung, in der die Bedingungen und die verschiedenen anwendbaren Rechtsgrundlagen detailliert beschrieben werden. Die britische Datenschutzbehörde beantwortet zudem zahlreiche Fragen auf ihrer offiziellen Website.

Biometrie:

Die schwedische Datenschutzbehörde verhängte am 21. August ihre erste Sanktion im Rahmen der DSGVO. Gegen eine Schule wurde eine Geldstrafe von 20.000 Euro verhängt, weil sie ein Gesichtserkennungssystem für Schüler eingeführt hatte, das gegen mehrere Grundsätze der DSGVO verstieß: ungültige Einwilligung, sensible biometrische Daten, fehlende vorherige Folgenabschätzung und unterlassene Konsultation der Datenschutzbehörde.

Cloud und Datenschutz:

Die Aussicht auf eine europäische Cloud mit harmonisierten Regeln rückt näher. Am 29. August fand in Den Haag das erste Treffen von Akteuren des öffentlichen und privaten Sektors auf europäischer und internationaler Ebene statt.

• in der Welt:

Elektronische Beweismittel:

Die Bedingungen für den Zugriff von Justizbehörden auf elektronische Beweismittel („E-Evidence“) von Unternehmen sind Gegenstand von Entwicklungen in Europa und international. Ziel ist es, diese Regeln in Europa zu harmonisieren, aber auch, im Rahmen der Kriminalitätsbekämpfung eine Einigung mit den USA über die Bedingungen für den Datenzugriff zu erzielen. Im Rahmen des amerikanischen „Cloud Act“ haben die USA seit März 2018 Zugriff auf die Daten amerikanischer Unternehmen mit Sitz in Europa. Ziel ist es, diese Zugriffsbedingungen auf beiden Seiten des Atlantiks unter Einhaltung der Datenschutzvorschriften zu vereinbaren.

ISO-Norm:

Anfang August wurde der neue Standard ISO/IEC/27701 veröffentlicht. Er erweitert ISO/IEC 27001 und ISO/IEC 27002 um das Datenschutzmanagement und berücksichtigt zudem die Anforderungen der DSGVO.

1 Das Urteil bezieht sich auf die Richtlinie 95/46/EG, die inzwischen durch die Verordnung (EU) 2016/679 (DSGVO) aufgehoben wurde. Die Bestimmungen zur (Mit-)Verantwortung sind in der neuen Verordnung jedoch unverändert geblieben.