Datenschutz: Was Apotheken bei Social-Media-Plugins beachten müssen

Vergangene Woche ließ ein erneutes Facebook-Urteil des Europäischen Gerichtshofs (EuGH) aufhorchen. Geklagt hatte die Verbraucherzentrale NRW gegen Fashion ID, den Online-Shop von Peek & Cloppenburg Düsseldorf. Die Verbraucherschützer sind der Auffassung, mit dem Einsatz von Facebook-Plugins auf der Webseite verstoße ein Unternehmen gegen Datenschutzrecht, wenn dadurch bereits beim Aufruf einer Seite ohne Information persönliche Daten des Nutzers an Facebook übertragen werden. Schon 2015 hatte die Verbraucherzentrale unter anderem Fashion ID abgemahnt und aufgefordert, die Einbettung des Like-Buttons zu unterlassen, ohne eine entsprechende Einwilligung der Nutzer einzuholen beziehungsweise diese zuvor über die Datenverarbeitung zu informieren. Das Landgericht Düsseldorf entschied im März 2016 zugunsten der Klägerin. Im darauf folgenden Berufungsverfahren vor dem Oberlandesgericht Düsseldorf beschloss das Gericht, den EuGH anzurufen.

Die Luxemburger Richter entschieden: Wer eine Internetseite betreibt und auf dieser den „Gefällt mir“-Button von Facebook so implementiert, dass bereits durch den Aufruf der Seite personenbezogene Daten wie die IP-Adresse des Nutzers an Facebook übertragen werden, ist neben Facebook ebenfalls für die Einhaltung von datenschutzrechtlichen Regelungen mitverantwortlich. Diese Verantwortlichkeit gelte für die Verarbeitungsvorgänge, auf die der Seitenbetreiber tatsächlich Einfluss hat. Im Falle des „Gefällt mir“-Buttons ist dies die Phase der Erhebung der Daten – und zwar durch das Einbetten des Buttons sowie die Übermittlung der erhobenen Nutzerdaten an Facebook, die durch Aufruf der eigenen Seite initiiert wird. Damit müsse der Seitenbetreiber – soweit erforderlich – eine Einwilligung des Nutzers einholen und diesen über die Datenverarbeitung informieren, bevor eine Erhebung und Übermittlung der Daten erfolgt.

Für Apotheken, die mit dem „Gefällt mir-Button“ arbeiten, stellt sich nun die Frage: Was bedeutet das für mich? DAZ.online hat bei dem Freiburger Rechtsanwalt und Datenschutzexperten Dr. Lukas Kalkbrenner nachgefragt.

DAZ.online: Herr Kalkbrenner, müssen Apotheken, die auf ihrer Webseite auch auf ihre Facebook-Seite verweisen und dafür den „Gefällt mir“-Button von Facebook nutzen, nach dem Urteil des EuGH hellhörig werden? Sind sie von dem Urteil betroffen?

Kalkbrenner: Betroffen sind alle Webseiten-Betreiber, die Social-Media-Plugins ohne weitere Vorkehrungen in ihren Internetauftritt einbinden, wenn diese Plugins personenbezogene Daten an den jeweiligen Anbieter übertragen. Es ist daher zu empfehlen, sich zunächst einmal mit der genauen Funktionsweise der selbst genutzten Social-Media-Plugins zu befassen, um den eigenen Handlungsbedarf zu bestimmen.

Die Entscheidung ist aber auch aus einem weiteren Grund von erheblichem Interesse – gerade für Apotheken, die mit sensiblen Daten in Berührung kommen und daher zusätzlichen Anforderungen genügen müssen: Es war keineswegs mit Sicherheit zu erwarten, dass der EuGH der klagenden Verbraucherzentrale NRW die Verbandsklagebefugnis für das (wettbewerbsrechtliche) Vorgehen gegen den Webseiten-Betreiber zusprechen wird. Die Frage nach der Klagebefugnis bei Datenschutzverstößen – und damit nach deren Abmahnfähigkeit – ist seit Geltung der DS-GVO höchst umstritten und wird von den deutschen Instanzgerichten unterschiedlich bewertet. Der Bundesgerichtshof hatte mit Beschluss vom 11. April 2019 (Az. I ZR 186/17) ein anderes Verfahren gegen Facebook wegen datenschutzrechtlicher Verstöße mit Blick auf gerade diese nun vom EuGH entschiedene Frage ausgesetzt. Vorbehaltlich möglicher Einschränkungen durch den nationalen Gesetzgeber ist nunmehr zu erwarten, dass Datenschutzverstöße künftig vermehrt von Wirtschafts- und Verbraucherverbänden auf wettbewerbsrechtlichem Weg verfolgt werden. Nach wie vor nicht abschließend geklärt ist jedoch, ob auch Unternehmen klagebefugt sind, was Datenschutzverstöße ihrer Mitbewerber betrifft. Es ist jedoch davon auszugehen, dass das Risiko wegen Verstößen gegen das Datenschutzrecht abgemahnt zu werden, eher gestiegen ist.

DAZ.online: Was sollten betroffene Apotheken jetzt tun?

Kalkbrenner: Die EuGH-Entscheidung erfordert zum einen eine Anpassung der Datenschutzhinweise, zum anderen das Sicherstellen einer tauglichen Rechtsgrundlage für die Erhebung und Weitergabe personenbezogener Nutzerdaten an Facebook. Letzteres wird in der Regel mithilfe einer Einwilligungserklärung erfolgen, die beispielsweise über ein entsprechend gestaltetes Cookie-Banner eingeholt werden könnte. Auf Unterstützung durch Facebook werden die Betreiber angewiesen sein, was den Abschluss einer Vereinbarung über die gemeinsame Verantwortlichkeit nach Art. 26 DS-GVO betrifft.

DAZ.online: Erwarten Sie, dass Facebook selbst seinen Nutzern weiterhilft?

Kalkbrenner: Es ist zu erwarten, dass Facebook – wie im Nachgang zum Verfahren zu den „Facebook Fanpages“ (C-210/16) – den Webseiten-Betreibern eine Vereinbarung über die gemeinsame Verantwortlichkeit zur Verfügung stellen wird, um den (gemeinsamen) Transparenzpflichten Rechnung zu tragen. Ob diese dann den gesetzlichen Vorgaben entsprechen, wird man abwarten müssen. Ziemlich realitätsfern dürfte die Erwartung sein, nun mit Erfolg mit seiner eigenen Art. 26-Vereinbarung an Facebook heranzutreten.

DAZ.online: Können Sie Apotheken überhaupt noch empfehlen, Social-Media-Plugins zu nutzen?

Kalkbrenner: Die Entscheidung bedeutet nicht das Ende aller Social-Media-Plugins. Vielmehr liefert sie ein Stück weit Rechtssicherheit, welche Besonderheiten in diesem speziellen Bereich zu beachten sind. Ich würde Apotheken daher nicht von der Nutzung von Plugins per se abraten. Entscheidend ist aus meiner Sicht vor allem die kritische Analyse, welche Plugins tatsächlich einen Mehrwert bieten, um diese sodann datenschutzkonform einzubinden. Sollte tatsächlich kein Mehrwert bestehen, sollte darauf zur Vermeidung von unnötigen Auseinandersetzungen verzichtet werden.

DAZ.online: Vielen Dank für das Gespräch!

Urteil des Gerichtshofs der Europäischen Union vom 29. Juli 2019, Rs.: C-40/17 (Fashion ID GmbH & Co. KG/Verbraucherzentrale NRW eV)