Grundlagen und Gefahren bei Social Plugins
Spätestens seit Einführung der Datenschutzgrundverordnung (DSGVO) müssen sich Unternehmen die Frage stellen, welche Erfassung von personenbezogenen Daten notwendig und erlaubt sind. Wir haben uns in unserem Blog schon mit verschiedenen Bereichen und unterschiedlichen Möglichkeiten der DSGVO-konformen Datenverarbeitung beschäftigt.
Heute soll sich der Blog um die Social Plugins drehen – vor allem auch, weil die Nutzung dieses Social-Sharing erst im Juli 2019 erneut Thema beim Europäischen Gerichtshof (EuGH) war.
Datenschutzberater.NRW erklärt Ihnen, was Social-Plugins sind und worauf Sie bei deren Verwendung auf Ihrer Homepage achten müssen.
Social-Media-Buttons und Nutzertracking
Die Social Plug-Ins oder auch Social-Media-Buttons kennen die meisten Nutzer als Like- oder Share-Buttons auf einer Homepage. Eigentlich geht es bei der Nutzung dieser Buttons für die Unternehmen und deren Marken darum, Homepages und damit auch Marken in den Sozialen Medien bekannter zu machen. Wenn einem Nutzer also die Homepage oder das Produkt des Unternehmens gefällt, kann er dies direkt von der Internetseite aus durch einen Like-Button auf den sozialen Medien teilen – der Bekanntheitsgrad wächst.
Was im Zusammenhang mit dem Datenschutz allerdings immer problematisch war, ist die Tatsache, dass diese Plugins bereits ohne, dass Sie angeklickt wurden, Daten der Homepagebesucher erfasst haben. Hierbei wurde in der Regel die dynamische IP-Adresse des Nutzers an die Plattform weitergegeben – diese zählt zu den personenbezogenen Daten. Egal ob nun der Betroffene wollte oder nicht, wurden Daten, an die entsprechenden Betreiber von Sozialen Netzwerke geschickt. War der Nutzer auf der Plattform angemeldet, während er auf einer anderen Homepage war, konnte diese direkt die erfassten Daten mit dem Profil verknüpfen. Aber auch wenn der Betroffene nicht angemeldet war oder gar keinen Account bei der Social-Media-Plattform besaß: Die Daten konnten von Facebook und Co. verarbeitet und genutzt werden.
Durch die Nutzung dieser Plugins, die eben auch ohne aktives Zutun des Seitenbesuchers Daten abgerufen haben, konnte ein Nutzerprofil erstellt werden. Die Schaltung von gezielter Werbung und Beiträgen waren und sind immer noch ein weiterer Vorteil für Unternehmen, aber vor allem der Social-Media-Plattformen.
Bereits bei der Einführung der EU-DSGVO war aber klar, dass diese Vorgehensweise – das versteckte Nutzertracking – gegen das geltende Recht im Datenschutz spricht und es hier einen besseren Schutz für die Betroffenenrechte geben muss. Ein Abrufen der personenbezogenen Daten durfte nun nicht mehr ohne die Einwilligung des Betroffenen erfolgen – alle anderen Vorgehensweisen sind nach EU-Datenschutzgrundverordnung verboten.
Mit verschiedenen Möglichkeiten zum Ziel
Damit ein Unternehmen seine Social-Plugins nun gemäß den gesetzlichen Vorgaben im Datenschutz nutzen kann, muss es sicherstellen, dass der Nutzer auf der Homepage bewusst diese Plugins aktiviert. Er kann und muss also aktiv entscheiden, ob seine Daten über die Internetseite an die Social-Media-Plattformen weitergegeben wird.
Mit verschiedenen Lösungen (zum Beispiel 2-Klick oder Shariff) kann man zumindest das Problem des versteckten und somit verbotenen Nutzertrackings lösen. Es muss aber sichergestellt werden, dass der User der Internetseite aktiv den Social-Plugin durch dessen Aktivierung nutzt und so auch deutlich weiß, dass seine Daten entsprechend übermittelt werden.
Neues EuGH-Urteil besagt: „Gefällt-mir“-Button fällt in gemeinsame Verantwortlichkeit
Im Juli 2019 hat der EuGH in einem Urteil beschlossen, dass die Verantwortung für den „Gefällt-mir“-Button, der auf einer Homepage gesetzt wird, sowohl in die Verantwortlichkeit des Homepage-Betreibers als auch in die der Plattform fällt. Das bedeutet, dass auch derjenige, der die diesen Button auf seiner Internetseite stellt, dafür verantwortlich ist, welche Daten verarbeitet und an die Social-Media-Plattform weitergegeben wird. Setzt er also einen Button unverändert ein, der ohne weitere Abfrage oder Bestätigung Daten weiterleitet, verstößt dies gegen die rechtlichen Vorgaben und die Verantwortung liegt hier auch beim Homepagebetreiber.
Im vorliegenden Fall hatte ein Onlinehändler als Betreiber seiner Internetseite durch den Social-Plugin die dynamische IP-Adresse mit den Browserdaten seiner Homepage an den Betreiber der Plattform gesendet. Der Betreiber der Internetseite selbst hat keine Daten direkt verschickt. Allein die Tatsache, dass er durch die Einbindung des Plugins auf seiner Homepage diese nicht DSGVO-konforme Übermittlung ermöglicht hat, reicht laut EuGH aber aus, dass er auch für dieser Art der Übermittlung verantwortlich ist.
Schon durch die Einbindung des Plugins übernimmt der Webseitenbetreiber laut Europäischem Gerichtshof also zusammen mit dem Betreiber der Social-Media-Plattform die Verantwortung für die gesetzeskonforme Übermittlung der personenbezogenen Daten. Wichtig hierbei ist: für vor- oder nachgelagerte Vorgänge in der Verarbeitungskette ist er jedoch nicht verantwortlich.
Aufgrund des Urteils vom EuGH hat die Verbraucherzentrale NRW nun Klage u.a. gegen ein betroffenes Unternehmen eingereicht, welches einen solchen „Gefällt-mir“-Button auf seiner Homepage ohne weitere Anpassung verwendet hat.
Fazit: Wenn deutsche Internetseiten ohne vorherigen Hinweis und die Einwilligung durch den Betroffenen, Daten durch Social-Plugins an eine Plattform übermitteln, verstoßen Sie gegen geltendes Recht. Betreiber, die auf Ihrer Homepage einen „Gefällt-mir“-Button eines Sozialen Netzwerkes verwenden, sind auch für die Übermittlung der Daten im datenschutzrechtlichen Bereich zuständig – nicht aber für die vor- oder nachgelagerten Verarbeitungsvorgänge.
Bloß nicht stehen bleiben – Stetige Weiterentwicklung ruft Profis auf den Plan
Das Beispiel des aktuellen EuGH- Urteils zeigt: welche Social-Plugins auf der Homepage von Unternehmen, Vereinen, Kanzleien, Praxen, aber auch privat eingesetzt werden ist nicht egal. Vor dem Einsatz sollte sich jeder kundig machen, ob der Button so in Deutschland verwendet werden darf und welche Folgen aus der Nutzung entstehen können.
Wie wir aber alle wissen, entwickelt sich die IT-Welt rasant und auch die Anpassungen im Datenschutz ändern sich stetig und konsequent. Ein Einmaliges Anpassen der Internetseite eines Unternehmens ist daher nicht ratsam – im Unternehmensalltag aber meistens eine logische Konsequenz.
Wenn das Unternehmen nicht per Gesetz einen Datenschutzbeauftragten stellen muss, wird der Datenschutz meist vernachlässigt. Oft mit nicht absehbaren Konsequenzen, denn wenn der Datenschutz in einem Unternehmen nicht dauerhaft und konsequent von einem Fachmann betreut wird, kann es hier schnell zu unangenehmen und teuren Fehlern kommen. Datenschutz und IT-Sicherheit gehören untrennbar zusammen und die DSGVO muss von allen Unternehmen eingehalten werden.
Sollten jedes Unternehmen also jetzt von den technischen Möglichkeiten, die eine Homepage bietet zurück schrecken? Sicher nicht, denn ein geschulter Fachmann kann hier eine individuelle Lösung darstellen, der Ihr Unternehmen mit einem professionellen Blick einschätzen und im Datenschutz DS-GVO-konform aufstellen kann.
Datenschutzberater.NRW bietet Ihnen eine Lösung für Datenschutz und auf Wunsch auch im Bereich IT-Sicherheit, die Sie schnell und praktisch in Ihrem Unternehmen umsetzen können.
Informieren Sie sich über unser Angebot oder nehmen Sie direkt mit uns Kontakt auf. Wir stellen auch einen externen Datenschutzbeauftragten für Ihr Unternehmen und betreuen Kunden in Köln, Bonn, Düsseldorf und ganz NRW.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.