Datenschutz: Social Media und eingebettete Komponenten von Drittanbietern
Hintergründe und Praxistipps
Lesedauer: 7 Minuten
Datenschutzerklärung
Wer personenbezogene Daten- dazu gehört auch die IP-Adresse – verarbeitet, muss die Informationspflichten der Datenschutz-Grundverordnung (DSGVO) beachten. Das gilt auch für Webseiten. In der Praxis hat sich eingebürgert, dies in einer eigenen „Datenschutzerklärung“ zu tun. Diese sollte für sich stehen, also z.B. neben dem Impressum (nicht zu empfehlen: im Impressum) und mit einem eigenen Button angesteuert werden können. Außerdem kann und soll die Datenschutzerklärung auch dazu genutzt werden, Datenverarbeitungen nachvollziehbar (transparent) darzustellen (Transparenzgebot).
Tipp:
Die Datenschutzerklärung sollte von allen Sub-Seiten aus einfach (generell zu empfehlen: maximal zwei Klicks) erreichbar sein. Beispiel: Menüleiste am unteren oder oberen Bildschirmrand.
Der Nutzer (die DSGVO spricht vom „Betroffenen“) ist jedenfalls über folgende Punkte aufzuklären (Informationspflichten; Art 13, 14 DSGVO):
- Name/Firma und Kontaktdaten des Verantwortlichen (und sollte ein Datenschutzbeauftragter bestellt sein, auch dessen Kontaktdaten)
- Zweck der Verarbeitung (vom Verantwortlichen zu definieren)
Rechtsgrundlage (inkl. Beschreibung des konkreten berechtigten Interesses im Falle einer Interessenabwägung als Rechtsgrundlage) der Verarbeitung- Kategorien der Empfänger der personenbezogenen Daten
- Angabe, ob personenbezogene Daten in ein Drittland übertragen werden sollen (diesfalls mit Angabe angemessener Garantien zur Einhaltung des Datenschutzes)
- Speicherdauer oder Kriterien der Speicherdauer
- Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch; bei Einwilligung: Widerrufsmöglichkeit der Einwilligung)
- Beschwerdemöglichkeit bei der Datenschutzbehörde
- Gegebenenfalls Auswirkungen von automatischen Entscheidungsprozessen inkl. Profiling
- Kategorien der bei Dritten erhobenen personenbezogenen Daten des Betroffenen
- Datenquelle bei von Dritten erhobenen personenbezogenen Daten des Betroffenen
Das Telekommunikationsgesetz (TKG) sieht eigene Informationspflichten für Datenverarbeitungen auf Webseiten (Cookies) vor: Es ist darüber zu informieren,
- welche Daten ermittelt, verarbeitet oder an Dritte übermittelt werden,
- auf welcher Rechtsgrundlage (z.B. aufgrund eines Vertrages, eines speziellen Gesetzes) und
- für welche Zwecke dies erfolgt und
- wie lange die Daten gespeichert werden.
Diese Informationspflichten decken sich großteils mit den allgemeinen Informationspflichten der DSGVO, weshalb die Informationen nach dem TKG gemeinsam mit den Informationen nach der DSGVO dem Betroffenen zur Verfügung gestellt werden können.
EuGH-Entscheidung Facebook Fanpage
In der EuGH-Entscheidung C-210/16 hat der EuGH ausgesprochen, dass nicht nur Facebook selbst, sondern auch der Betreiber einer Fanseite („Fanpage“) auf Facebook für die Daten, die Facebook von Besuchern der Fanseite erhebt, verantwortlich ist, also gemeinsam mit Facebook die Position des Verantwortlichen einnimmt. Diese Entscheidung ist zwar noch zur Vorgängerbestimmung der DSGVO ergangen, wird aber auch für die DSGVO berücksichtigt werden müssen.
Eine Konsequenz der Entscheidung besteht darin, dass auch für Seiten innerhalb von Facebook eine Datenschutzerklärung zur Erfüllung aller Informationspflichten erforderlich ist, insbesondere also welche Cookies gesetzt bzw. welche Daten zu welchen Zwecken auf Basis welcher Rechtsgrundlage erhoben werden.
Außerdem verlangt Art 26 DSGVO für diese Form der „gemeinsamen Verantwortlichen“ eine transparente Vereinbarung zwischen den gemeinsam Verantwortlichen, also zwischen dem Betreiber der Seite und Facebook, wer welche Informationspflichten (Art 13 u 14 DSGVO) erfüllt und wer den sonstigen Verpflichtungen der DSGVO nachkommt (insbes den Betroffenenrechten wie z.B. dem Auskunftsrecht).
Generell darf auch bei einer gemeinsamen Verantwortlichkeit eine Datenverarbeitung immer nur auf einer entsprechenden Rechtsgrundlage erfolgen.
Besondere Vorsicht ist geboten, wenn die Seite auch von außerhalb von Facebook angesteuert werden kann und Facebook so auch Daten von Besuchern erhält, die über kein Facebook-Konto verfügen. Hier kann jedenfalls nicht damit argumentiert werden, dass als Rechtsgrundlage für die Datenverarbeitung eine Zustimmung über die AGB von Facebook vorliegt.
Der Europäische Datenschutzausschuss (EDSA) hat entschieden, dass personalisierte Werbung auf Facebook und Instagram („Meta“) nur mehr auf Basis einer Einwilligung der betroffenen Nutzer:innen erfolgen darf. Meta hatte bislang damit argumentiert, personalisierte Werbung auf Basis der Nutzungsbedingungen (AGB) anzeigen zu dürfen. Dagegen hatte sich die Non-Profit Organisation NOYB – European Center for Digital Rights bei der irischen Datenschutzbehörde beschwert.
Details: Personalisierte Werbung auf Instagram und Facebook nur nach vorheriger Einwilligung
Tipp: Jede (unternehmerische) Seite auf Facebook oder Instagram sollte enthalten:
- ein Impressum
- eine transparente Datenschutz-Erklärung des eigenen Unternehmens, worin auch über die Datenverarbeitung via Facebook bzw. Instagram informiert wird und auf die gemeinsame Verantwortlichkeit nach Art 26 DSGVO hingewiesen wird inkl. Verweis bzw. Verlinkung auf das Page Controller Addendum / Informationen zu Seiten-Insights).
Eingebettete Komponenten von Drittanbietern
Werden in die eigene Webseite Komponenten von Drittanbietern eingefügt („Social Plug Ins“), dann muss geklärt werden, ob von diesen Drittanbietern bzw. deren Webseiten Daten erhoben und verarbeitet werden (was bei „Gratisangeboten“ so gut wie immer der Fall ist) und was mit den Daten geschieht. Da jede Website im Hinblick auf Datenschutz transparent erstellt werden muss, sollten diese Informationen in die eigene Datenschutzerklärung integriert bzw. die Datenströme so gut wie möglich beschrieben werden.
Tipp:
Empfehlenswert ist eine Beschreibung in der eigenen Datenschutzerklärung bzw. im Cookie-Banner sowie zusätzlich eine Verlinkung auf die Datenschutzerklärung der jeweiligen Anbieter.
Auch hier darf eine Datenverarbeitung immer nur auf einer entsprechenden Rechtsgrundlage erfolgen. Kommt es dabei auch zu einer Datenübermittlung an Drittanbieter, bedarf es für diesen Vorgang auch einer Rechtmäßigkeitsgrundlage.
Werden Webanalyse-Tools eingesetzt, ist zu prüfen, ob der Analyse-Anbieter die erhobenen personenbezogenen Daten auch zu eigenen Zwecken verarbeitet oder bloß im Auftrag des Website-Betreibers Verarbeitungen vornimmt. Im ersten Fall ist der Analyse-Anbieter als weiterer (allenfalls als gemeinsamer) Verantwortlicher zu qualifizieren. In diesem Fall muss der Website-Betreiber prüfen, ob eine Rechtmäßigkeitsgrundlage (Rechtsgrundlage) für den Übermittlungsvorgang an den Analyse-Anbieter vorliegt. Sollte der Analyse-Anbieter hingegen die Datenverarbeitung ausschließlich im Auftrag des Website-Betreibers durchführen, ist zwar keine Rechtsmäßigkeitsgrundlage erforderlich, allerdings muss ein Auftragsverarbeiter-Vertrag geschlossen werden. Ob der Analyse-Anbieter als weiterer (oder gemeinsamer) Verantwortlicher oder als Auftragsverarbeiter qualifiziert werden kann, ergibt sich meist aus dem Dienstleistungsvertrag bzw. den AGB des Analyse-Anbieters. Dabei ist auch die Zuverlässigkeit des Auftragsverarbeiters zu prüfen, also die Frage, ob durch diesen die Einhaltung der jeweils erforderlichen technisch-organisatorischen Datensicherheitsmaßnahmen gewährleisten kann.
Achtung: Sollten im Zuge eine Webanalyse personenbezogene Daten in ein Drittland außerhalb der EU übermittelt werden, beachten Sie die Regeln über den internationalen Datenverkehr. Für die USA gelten nunmehr die Bestimmungen des EU-US Data Privacy Framework.
Einbetten von Social Media Plug-Ins (EuGH-Entscheidung Facebook-Like-Button)
Verwendet eine Website einen Facebook-Like Button, so kann der Button beim Laden der Seite die IP-Adresse, die Webbrowser-Kennung sowie Datum und Zeit des Aufrufs unabhängig davon, ob der Button angeklickt wurde oder der Nutzer über einen Facebook-Account verfügt an den Social Media Anbieter übermitteln.
Der EuGH hat in der Entscheidung C-40/17 bei eingebetteten Social Media Plug-Ins wie im konkreten Anlassfall dem „Gefällt mir“-Button von Facebook ausgesprochen, dass für den Vorgang der Erhebung und der Weiterleitung der Daten an den Social Media Betreiber eine gemeinsame Verantwortung des Webseiten-Betreibers und des Social Media Anbieters vorliegt. Diese Verantwortung bezieht sich aber in der Regel nicht auf die Verarbeitungen durch den Social Media Anbieter nach der Übermittlung der Daten an ihn, sondern nur auf die Erhebung und Übermittlung der Daten. Neben einer entsprechenden Information über diesen Vorgang in der Datenschutzerklärung (siehe Ausführungen bereits oben), ist auch das Vorliegen einer Rechtmäßigkeitsgrundlage erforderlich. Dies wird bei eingebetteten Social Media Plug-Ins in der Regel eine Einwilligungserklärung sein.
Darüber hinaus ist jeder Betreiber einer Webseite verpflichtet, seine Webseite so datenschutzfreundlich wie möglich zu gestalten („privacy by design“).
Tipp:
In der Praxis hat es sich eingebürgert, ein „Zwei-Stufen“-System zu verwenden, das erst beim zweiten Klick zum original Facebook-Button führt. So wird verhindert, dass auch Daten von Webseiten-Besuchern ausgelesen werden, die nicht gleichzeitig Nutzer von Facebook sind und damit den AGB von Facebook nicht zugestimmt haben. Als „Best Practice“ hat sich das „Shariff-Verfahren“ (ein Nachfolger des „Zwei-Klick-Verfahrens“) gezeigt. Auf diese Weise kann auch die Einwilligungserklärung für die Erhebung und Übermittlung der Daten an den Social Media Betreiber eingeholt werden.
Rechtsgrund Einwilligung (opt in) und ihr Widerruf (opt out)
Eine gültige Einwilligung in eine Datenverarbeitung setzt voraus, dass die Betroffenen wissen, dass sie bestimmten Verarbeitungen ihrer personenbezogenen Daten zustimmen. Im Internet muss daher die Einwilligung immer durch ein „aktives Tun“ erfolgen. Daher hat es sich in der Praxis eingebürgert, dass sogenannte Cookie-Fenster aufpoppen, die über die Datenverarbeitung informieren und auf die Datenschutzerklärung verlinken, in der dann alle Informationen vollständig enthalten sind. Vorangekreuzte Einwilligungen sind jedenfalls unzulässig. Damit erfolgt die Einwilligung in der Praxis über ein aktives Anklicken im Cookie-Fenster.
Außerdem muss jede Einwilligung jederzeit widerrufbar sein. Darauf muss bereits bei der Einwilligung hingewiesen werden.
Fazit
Ein allgemeines „Muster“ für die notwendigen Informationen, das nur abgeschrieben oder kopiert werden muss, ist daher nicht möglich bzw. bietet das beliebte „copy and paste“ nur den oberflächlichen Anschein, DSGVO-konform zu sein. Die Informationspflichten hängen immer vom Aufbau und den Funktionen der jeweiligen Webseite ab. Dazu ist nicht nur juristisches Wissen zur DSGVO notwendig, sondern auch ein erhebliches technisches Grundverständnis. Wir empfehlen daher für eine DSGVO-konforme Webseite spezialisierte IT-Dienstleister oder Unternehmensberater einzusetzen.
Darauf spezialisierte Anbieter finden Sie unter: Unternehmensliste im WKO Firmen A-Z
Weitere Informationen auf wko.at
- Checkliste für Cookies und Webanalyse im Webshop.
- Datenverarbeitung im Webshop und auf der Website I Einwilligungserklärung - Cookies - Datenschutzerklärung
Stand: 10.08.2023