IT-Recht Kanzlei
Fragen oder Anregungen?

Kontaktieren Sie uns:
IT-Recht Kanzlei
Kanzlei Keller-Stoltenhoff, Keller
Alter Messeplatz 2
Tel.: +49 (0)89 / 130 1433-0
Fax: +49 (0)89 / 130 1433-60
E-Mail: info@it-recht-kanzlei.de
von RA Phil Salewski

Social Media-Integrationen: Einwilligungspflicht für Plugins und Links?

Die Einbindung von Social Media Plugins auf Webseiten löst grundsätzlich eine Reihe von Informationsverarbeitungen immer bereits dann aus, wenn die jeweilige Seite aufgerufen wird. Weil diesen Verarbeitungsvorgängen aufgrund ihrer Reichweite besondere datenschutzrechtliche Relevanz zukommt, geht der nachfolgende Beitrag der IT-Recht Kanzlei unter Auswertung der Rechtsprechung einerseits der Frage nach, ob für Social Media Plugins eine generelle Einwilligungspflicht besteht. Andererseits wird behandelt, was genau unter solchen Plugins zu verstehen ist und ob hierunter etwa bereits Verlinkungen auf die eigene Facebook-Seite oder das Instagram-Profil fallen. Lesen Sie mehr.

I. Einwilligungspflicht für Social Media Plugins?

Inwiefern die Verwendung von Social Media Plugins auf Webseiten eine vorherige Nutzereinwilligung erforderlich machte, war lange Zeit umstritten.

Grund für die Diskussionen waren die weitgehenden Datenverarbeitungen, die Facebook und Co. im Zuge der Plugin-Einbindung bereits bei bloßen Seitenaufrufen durch Nutzer anstießen. Über die Plugins werden insofern regelmäßig einerseits direkte Verbindungen zu den Plattformservern aufgenommen und andererseits bestimmte Informationen vom verwendeten Endgerät einschließlich der IP-Adresse ausgelesen und an die jeweilige Plattform übermittelt. Diese Verarbeitungsvorgänge erfolgen grundsätzlich unabhängig davon, ob der betroffene Nutzer über ein korrespondierendes Social-Media-Profil verfügt.

Auf Grundlage der Reichweite dieser Datenverarbeitungen hatte bereits das LG Düsseldorf mit Urteil vom 09.03.2016 (Az.: 12 O 151/15) auf Basis der Rechtslage vor Inkrafttreten der DSGVO den Einsatz von Plugins für Facebook und andere Plattformen für datenschutzwidrig erklärt, wenn nicht vor der Übermittlung von Daten die ausdrückliche Nutzereinwilligung eingeholt würde.

Als Konsequenz wurde von den Landesdatenschutzbehörden und von führenden Datenschutzrechtlern die Einbindung der sog. „Shariff-Lösung“ oder „2-Klick-Lösung“ empfohlen, mit der sich Datenverarbeitungen beim Seitenaufruf solange blocken lassen, bis der Nutzer aktiv auf das jeweilige Plugin klickt.

Mit Urteil vom Urteil vom 29.7.2019 (Az.: C-40/17 – Fashion ID) positionierte sich sodann der EuGH zur Einwilligungspflicht von Social Media Plugins und speziell zum Facebook-Like-Button.

Grundlage des Urteils war allerdings nicht die DSGVO, sondern die vor deren Inkrafttreten geltende Datenschutzrichtlinie 95/46/EG, weil der zu beurteilende Sachverhalt sich zeitlich vor dem DSGVO-Anwendungsdatum abgespielt hatte.

Zwar stellte das höchste europäische Gericht keine generelle Einwilligungspflicht auf, sondern sah unter bestimmten Umständen auch eine Rechtfertigung über überwiegende berechtigte Interessen als ausreichend an. Diese galten bereits wie jetzt unter der DSGVO unter der ehemaligen Datenschutzrichtlinie als alternatives Rechtfertigungselement zur Einwilligung.

Im selben Zug machte der EuGH aber deutlich, dass aber immer dann eine ausdrückliche Einwilligung zu fordern sei, wenn das jeweilige PlugIn (auch) technisch nicht notwendige Informationen auf Nutzerendgeräten ausliest oder speichert. Bezug genommen wurde hierbei auf Art. 5 Abs. 3 der Richtlinie 2002/58/EG in der Fassung der Richtlinie 2009/136/EG, welcher eine Einwilligung für technisch nicht notwendiges Informationsphishing von Nutzerendgeräten vorschreibt.

Ob ein derartiges Speichern oder Auslesen von Informationen auf Endgeräten durch das Facebook-Plugin tatsächlich erfolgte, war nach Ansicht des EuGH Tatfrage, mit deren Klärung das Ausgangsgericht beauftragt wurde.

Eine Besprechung und Einschätzung des EuGH-Urteils zum Facebook-Plugin finden sich in diesem Beitrag der IT-Recht Kanzlei.

Mit Urteil vom 01.10.2019 (Az. C-673/17 – Planet49) hat der EuGH schließlich auf Basis der Richtlinie 2002/58/EG geurteilt, dass das Setzen von Cookies, die für den Betrieb einer Website oder die Bereitstellung ihrer Funktion nicht notwendig sind, eine ausdrückliche Nutzereinwilligung voraussetzt.

Auf Basis der ergangenen Rechtsprechung ist zu folgern, dass der Einsatz von Social Media Plugins, also die Aufnahme der Plugin-Funktionen auf einer Website, jedenfalls dann von der ausdrücklichen Nutzereinwilligung abhängig gemacht werden muss, wenn

  • das Plugin Cookies setzt
  • das Plugin auf andere Weise Informationen auf dem verwendeten Endgerät des Nutzers speichert oder ausliest

Auch wenn gerichtlich noch nicht bestätigt, ist dies unter Berücksichtigung der Informationsverarbeitung nach Ansicht der IT-Recht Kanzlei für folgende Plugins wahrscheinlich:

  • Facebook-Plugins
  • Instagram-Plugins
  • AddThis-Bookmarking-Plugins
  • Twitter-Plugins
  • LinkedIn-Plugins
  • Pinterest-Plugins
unlimited

II. Was gilt als tatbestandliches Plugin?

Unterliegen nun nach Ansicht der IT-Recht Kanzlei diverse Plugins einer Einwilligungspflicht, ist klarzustellen, welche Eigenschaften diese Anwendungen aufweisen müssen, um tatsächlich auch als tatbestandliche Plugins zu gelten.

Insofern unterliegen viele Seitenbetreiber dem Irrglauben, dass die bloße Verlinkung auf einen Social-Media-Auftritt, gegebenenfalls graphisch durch das jeweilige Netzwerklogo aufgehübscht, diese Plugin-Qualität zukommt und mithin eine Nutzereinwilligung voraussetzen könnte.

Als Social Media Plugins sind aber richtigerweise nur solche Anwendungen zu verstehen, welche direkt von einem sozialen Netzwerk bereitgestellt werden und als Applikation des Netzwerks auf Webseiten eingebunden werden können. Allein derartige vom sozialen Netzwerken selbst entwickelte Anwendungen vermögen nämlich, die beschriebenen Informationsverarbeitungsvorgänge unter Aufnahme einer Serververbindung ablaufen zu lassen.

Hierzu gehören etwa der „Like-Button“ von Facebook, der „Tweet“- und der „Follow“-Button von Twitter sowie der „Share“- und „Follow“-Button von LinkedIn.

Bloße Verlinkungen auf Social Media-Auftritte haben keine Plugin-Qualität, lösen keine Verarbeitungsvorgänge der Netzwerke auf der Ausgangsseite aus und sind daher nie einwilligungspflichtig. Auch eine Erwähnung solcher Verlinkungen in der Datenschutzerklärung erübrigt sich mangels datenschutzrechtlicher Relevanz.

III. Fazit

Nach Ansicht der IT-Recht Kanzlei sind gemäß der EuGH-Rechtsprechung Social Media Plugins dann einwilligungspflichtig, wenn sie entweder in Form von Cookies oder auf andere Weise Informationen auf Nutzerendgeräten auslesen oder speichern. Ob diese Informationen einen Personenbezug aufweisen, ist hierbei unerheblich.

Nicht einwilligungspflichtig sind mangels Plugin-Qualitäten dahingegen bloße Verlinkungen auf externe Social Media-Auftritte.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Autor:
Phil Salewski
Rechtsanwalt

Kontakt:

IT-Recht Kanzlei

Alter Messeplatz 2
80339 München

Tel.: +49 (0)89 / 130 1433 - 0
Fax: +49 (0)89 / 130 1433 - 60

E-Mail: info@it-recht-kanzlei.de