Menü
header-image

Rechtsgebiete/Datenschutz - DSGVO/Nutzer-Tracking und Analyse

DSGVO - Nutzer-Tracking & Analyse von Nutzerdaten

Rechtliche Anforderungen an den Einsatz von Analyse Werkzeugen zur Auswertung des Nutzerverhaltens beim Aufruf von Internetseiten.

Ausgangspunkt

Grundsätzlichen geht es bei der Analyse des Nutzer-Verhaltens darum, den Besuchern einer Internetseite bei Ihren Aktivitäten sprichwörtlich „über die Schulter“ zu schauen. Zu diesen Zwecken können die Datenströme ausgewertet werden, die beim Aufrufen von Internetseiten zwingend und mindestens entstehen (müssen). Bereits aus diesen Daten lassen sich eine Reihe von Rückschlüssen auf die Besucher und ihre jeweilige Identität ziehen. Zusätzlich können durch die technische Gestaltung von Internetseiten weitere ergänzende Datenströme erzeugt und ausgewertet werden. Aus diesen zusätzlichen Daten lassen sich wiederum weitere und teilweise wesentlich verlässlichere Rückschlüsse auf die Identität einer bestimmten Person ziehen und kann Ihr Nutzungsverhalten im Internet dadurch sehr viel detaillierter und auch über eine Vielzahl von Internetseiten hinweg beobachtet werden. Sobald die Identität eines bestimmten Besuchers zuverlässig geklärt ist, besteht darüber hinaus die Möglichkeit, dass die Betreiber von Internetseiten beginnen, miteinander Daten auszutauschen und umfassend auszuwerten, die die Betreiber aus jeweils individuellen Interaktionen mit ihren Seitenbesuchern gewinnen.

Mittels dieser technischen Mittel ist es für Seitenbetreiber prinzipiell möglich, sich ein sehr genaues und umfassendes Bild über eine bestimmte identifizierbare Person einschließlich Ihres Verhaltens, vielfältiger persönlicher Eigenschaften und ihrer Interessen zu verschaffen; selbst ohne überhaupt den Namen dieser Person zu kennen. Wer über ein solch umfassendes Wissen über eine bestimmte Person verfügt, wird schließlich prinzipiell in die Lage versetzt, das Verhalten dieser Person in bestimmten Situationen vorherzusagen und sogar aktiv zu beeinflussen, das heißt das Verhalten in bestimmte Richtungen zu lenken.

Welche konkreten Techniken auf Internetseiten dabei zum Einsatz kommen, ob also eine Auswertung von Server-Logdateien, die Erfassung einer vollständigen IP-Adresse, das Setzen und Auslesen von Cookies, von Flash-Cookies oder die Einbettung von Skriptdateien einschließlich des Einbettens von Inhaltselementen erfolgt, ermöglicht noch keine abschließende Beurteilung der Zulässigkeit oder Unzulässigkeit dieser Techniken. Ausschlaggebend ist vielmehr, der mit der jeweiligen Technik verfolgte Zweck, das heißt Art, Umfang und Zielrichtung der Verarbeitung der mittels einer bestimmten Technik erhobenen Daten, und soweit die Seitenbetreiber untereinander Daten austauschen oder arbeitsteilig zusammenwirken, Art, Umfang und Zielrichtung dieser Kooperationen.

So führt auch die Landes-Datenschutzaufsichtsbehörde Bayern aus:

„Die Frage, ob ein bestimmtes Tool (z.B. Google Analytics) oder eine bestimmte Werbemaßnahme (z.B. Remarketing) zulässig ist, lässt sich selten mit „ja“ oder „nein“ beantworten. Das Problem ist, dass viele Tools weitere Optionen und diese wiederum Auswirkungen auf das Ergebnis haben. Z.B. macht es einen Unterschied, ob ein Facebook-Pixel mit oder ohne „erweiterten Abgleich“ eingesetzt wird (d.h. ob z.B. Telefonnummern oder E-Mailadressen an Facebook übermittelt werden). Ebenso kann Google Analytics mit oder ohne IP-Kürzung und separat oder Teil anderer Trackingmaßnahmen, z.B. als Teil der Firebase-Plattform eingesetzt werden. Auch kann Remarketing pseudonym und nur für bestimmte Produkte erfolgen oder in ein Nutzerprofil einfließen, das für Bonitätseinschätzungen verwendet wird. Folglich kann eine Einschätzung nur im Einzelfall rechtlich sicher erfolgen“.
(LDA Bayern).

Ich möchte deshalb an dieser Stelle auch auf eine weitergehende Beschreibung einzelner Techniken verzichten, weil dies aus meiner Sicht einerseits zum Verständnis der nachfolgenden Zusammenhänge nicht erforderlich ist, vielmehr die Fokussierung auf bestimmte Techniken oftmals den Blick vom eigentlich wesentlichen Kern ablenkt und ich ohnehin als insoweit fachfremder Jurist die korrekte Darstellung technischer Funktionen und Details den dafür besser qualifizierten technischen Experten überlassen muss.

Rechtliche Rahmenbedingungen

Die Interessen der Betreiber von Internetseiten an einer möglichst umfassenden Verarbeitung der Daten der Nutzer ihrer Webseiten werden für den Bereich der Bundesrepublik Deutschland durch Datenschutzbestimmungen, d.h. unionsrechtlich durch die DSGVO und die zukünftige ePrivacy-Richtlinie (erst ab ca. 2021), nationalrechtlich durch das BDSG, das UWG und das TMG beschränkt.

In diesen gesetzlichen Bestimmungen geht es um Regelungen zu folgenden Kernbereichen:

  • Unter welchen Umständen und inwieweit darf es zulässig sein, einen Webseitenbesucher derart zu überwachen und zu verfolgen, dass seine Aktivitäten bei dem Besuch von Internetseiten nach Möglichkeit lückenlos aufgezeichnet werden und aus diesen Daten einen individuellen persönlichen Fingerprint zu erzeugen sowie dieses Nutzungsverhalten umfassend zu analysieren und auszuwerten.
  • Unter welchen Umständen und in welchem Umfang darf es zulässig sein, dass Betreiber von Internetseiten zu diesen Zwecken Dritten personenbezogene Daten aus eigenen Beständen übermitteln und dadurch eine Überwachung der Internetseiten und einer Analyse des Nutzungsverhaltens ermöglichen.
  • Unter welchen Umständen und in welchem Umfang müssen Betreiber von Internetseiten die Besucher und Nutzer ihrer Webseiten über die Erfassung, Speicherung, Auswertung und Weitergabe der Daten der Besucher informieren.

In der Datenschutz-Grundverordnung – DSGVO sind zur Regelung dieser Kernbereiche drei Grundsätze enthalten:

  • Keine Verarbeitung personenbezogener Daten ohne Rechtsgrundlage (Erlaubnisvorbehalt)
  • Keine Verarbeitung personenbezogener Daten ohne umfassende Information des Betroffenen
  • Keine Weitergabe von personenbezogenen Daten an weitere Beteiligte ohne Einhaltung der beiden vorstehenden Grundsätze.

Diese Grundsätze werden in den jeweiligen gesetzlichen Bestimmungen sodann weiter ausformuliert und konkretisiert.

Entscheidend für die Heranziehung einer bestimmten Rechtsgrundlage, deren rechtliche Beurteilung und die sich daraus ergebenden Informations- und Unterrichtungspflichten ist neben der Herkunft der Daten, der Art der verarbeiteten Daten, dem Zweck der Datenverarbeitung sowie der Rechtsgrundlage für die Verarbeitung auch die Frage, ob die Daten selbst oder durch weitere Beteiligte verarbeitet werden.

Art und Quelle der Daten

Betreiber von Internetseiten verarbeiten, soweit Ihnen bekannt, klassische personenbezogene Daten wie Namen, Vornamen, Anschrift, Kommunikationsdaten, Geburtsdatum, Geschlecht, Kundenhistorien, usw. ihrer Besucher und Kunden. Zum Beispiel Betreiber von sozialen Netzwerken erhalten und verarbeiten darüber hinaus eine Vielzahl von weiteren Informationen zu Vorlieben, Interessen, Verhalten, weltanschaulichen Überzeugungen, usw. ihrer Nutzer. Die Erhebung solcher Daten setzt jedoch in der Regel irgendeine willentliche Mitwirkung der Betroffenen zumindest in dem Sinne voraus, dass die Betroffenen solche Informationen von sich aus mitteilen.

Andere Daten werden ohne aktive Mitwirkung (und oftmals auch ohne Wissen) der Betroffenen erhoben.

So werden bei jedem Aufruf von Internetseiten zwangsläufig aufgrund bestimmter technischer Gegebenheiten Daten an den Empfänger übermittelt, wie z.B die IP-Nummer des aufrufenden Endgerätes, Geräte-IDs, das Betriebssystem des aufrufenden Endgerätes, Typ und Version der Browser Software, die aufgerufene Internetseite und die übertragene Datenmenge. Zusätzlich, aber nur auf Veranlassung der Seiten-Betreiber, können über die Einbettung von Skripten auf Internetseiten weitere Daten abgefragt werden, wie z.B. vorhandene Browsererweiterungen, spezielle IDs (Google-ID), die Bildschirmauflösung, die Tastatursprache, die Verweildauer, Verarbeitungsmuster für Grafiken und Audiodateien, Maus- und Zeigeraktivitäten. Über die Erfassung und Speicherung dieser Daten ist es möglich zu analysieren, was sich Besucher auf einer Internet-Seite wie lange (wie intensiv) angesehen haben, Besuchern eine bestimmte IP-Adresse oder Geräte-ID zuzuordnen oder Besuchern ein individuelles Geräte-Muster (einen Fingerprint) zuzuordnen und diese Besucher somit zu einem späteren Zeitpunkt oder auch auf anderen Internetseiten zu identifizieren und ihr Nutzungsverhalten auszuwerten.

Eine weitere, verbreitete Art der Identifizierung von Besuchern besteht darin, deren Endgeräten zu einer Speicherung kleiner Dateien mit einem eindeutigen, individuellen Schlüssel (User-ID) zu veranlassen (Cookies, Flash-Cookies). Dieser Schlüssel kann zu einem späteren Zeitpunkt wieder ausgelesen werden und dient damit ebenfalls der Identifizierung eines bestimmten Besuchers.

Schließlich kann der Betreiber einer Webseite durch die Einbettung bestimmter Elemente (Skripte, Schriften, Grafiken, Videos) auf seinen Internetseiten dafür sorgen, dass ein Endgerät eines Besuchers nicht nur eine Verbindung zu einer eigenen Internetseite des Betreibers aufbaut, sondern gleichzeitig auch zu einer Vielzahl weiterer, fremder Internetseiten Dritter, an die damit ebenfalls alle mit einem solchen Seitenaufruf verbunden technischen Daten übermittelt werden und die ihrerseits die Möglichkeit haben, auf dem Endgerät des Besuchers einen Schlüssel (Cookie) zu hinterlassen.   

Darüber hinaus können Betreiber verschiedener Internetseiten mit und ohne Mitwirkung des Betroffenen ihre jeweiligen Datenbestände ganz oder teilweise miteinander abgleichen und teilen.

Auftragsverarbeitung – Datenübermittlung an Dritte – Gemeinsame Verarbeitung

Im hier maßgeblichen Kontext der Nutzung von Internetseiten wird regelmäßig eine Auftragsverarbeitung, Datenübermittlung an Dritte oder eine gemeinsame Verarbeitung gegeben sein. Die Abgrenzung ist im Einzelfall schwierig, aber für den Betreiber (Verantwortlichen) von Internetseiten durchaus relevant, denn die Fragen nach der Verantwortung (Rechenschaft und Haftung) für die Datenverarbeitung, für die Rechtsgrundlagen der Verarbeitung und der Umfang der Informationspflichten über die Verarbeitung personenbezogener Daten bestimmen sich maßgeblich danach, auf welche Weise und in welchem Umfang eine Verarbeitung durch Einbeziehung weiterer Beteiligter erfolgt.

Ausschlaggebend ist dabei, bei wem die Verantwortung für die Datenverarbeitung in funktioneller und tatsächlicher Hinsicht liegt. Es ist also nicht entscheidend oder maßgeblich, wem die Verantwortung in rein formeller Hinsicht übertragen wird. Es kommt vielmehr darauf an, wer über die Zwecke und (zumindest wesentlichen Elemente der) Mittel der Datenverarbeitung tatsächlich entscheidet.

Auftragsverarbeitung

Auftragsverarbeiter nach Artikel 4 Nr. 8. DSGVO und Artikel 29 DSGVO ist derjenige, der personenbezogene Daten in funktioneller und tatsächlicher Hinsicht im Auftrag und nach Weisung des Verantwortlichen (Webseiten-Betreiber) verarbeitet. Die Verarbeitung durch den Auftragsverarbeiter wird in einem solchen Fall daher grundsätzlich auch nur dem Verantwortlichen zugerechnet, weil er derjenige ist, der nach Artikel 4 Nr. 7 DSGVO allein über Mittel und Zwecke der Datenverarbeitung entscheidet. Maßgeblich ist hier die Weisungsgebundenheit bezüglich der Verarbeitungszwecke. Dies schließt jedoch nicht aus, dass der Auftragsverarbeiter eigenständige Entscheidungen bezüglich geeigneter technisch-organisatorischer Fragen der Datenverarbeitung trifft (Artikel-29-Gruppe, WP 169, S. 17, S. 40; DSK-Kurzpapier Nr. 13; Beschluss VGH München vom 26.09.2018 – 5 CS 18.1557).

Allerdings ist zu beachten, dass die Rolle des Auftragsverarbeiters sich nicht über seine Eigenschaft als Organisation definiert. Vielmehr ist die Eigenschaft als Auftragsverarbeiter immer im Kontext der konkreten Tätigkeit zu beurteilen. Ein Auftragsverarbeiter kann also einerseits hinsichtlich bestimmter Tätigkeiten Verantwortlicher für die Verarbeitung und gleichzeitig andererseits hinsichtlich anderer Tätigkeiten Auftragsverarbeiter sein (Artikel-29-Gruppe, WP 169, S. 30ff).

Der Umfang der Datenverarbeitung durch den Auftragsverarbeiter wird also durch den von dem Verantwortlichen erteilten Auftrag bestimmt. Ein Auftragnehmer, der diesen Rahmen der ihm übertragenen Aufgaben überschreitet und eigenständig über die Zwecke und wesentlichen Mittel der Datenverarbeitung entscheidet, ist damit nicht mehr Auftragsverarbeiter, sondern insofern entweder allein Verantwortlicher oder gemeinsam Verantwortlicher dieser Verarbeitung (Artikel-29-Gruppe, WP 169, S. 31, S. 40).

Datenübermittlung an Dritte

Überträgt ein Verantwortlicher einem Dritten in funktioneller und tatsächlicher Hinsicht die Durchführung einer Verarbeitung und entscheidet der Dritte sodann allein und selbständig über die Zwecke und Mittel dieser Verarbeitung liegt eine Datenübermittlung an Dritte vor, die zu jeweils eigenständigen Verantwortlichkeiten führt (DSK-Kurzpapier Nr. 16).

Gemeinsame Datenverarbeitung

Auf der anderen Seite ist zu beachten, dass nicht jeder natürliche, einheitliche Vorgang in einzelne selbständige datenschutzrechtliche Teile zerlegt werden kann, auch wenn sich ein solcher Vorgang unter Umständen aus mehreren datenschutzrechtlich relevanten Vorgängen zusammensetzt.

Entscheiden zwei oder mehr Verantwortliche in funktioneller und tatsächlicher Hinsicht gemeinsam über die Zwecke und Mittel einer Datenverarbeitung, dann liegt eine gemeinsame Verarbeitung und eine gemeinsame Verantwortlichkeit nach Artikel 26 DSGVO vor (sogenannte Joint Controller). Die Abgrenzung zur Datenübermittlung an Dritte kann schwierig sein. Nach Auffassung der DSK setzt eine gemeinsame Verarbeitung voraus, dass jeder der Beteiligten einen bestimmenden tatsächlichen Einfluss auf die Datenverarbeitung nimmt.

„Ein bestimmender Einfluss kann sich darin äußern, dass bei verschiedenen Zwecken, die von den jeweiligen Beteiligten verfolgt werden, eine Zweckverfolgung im Rahmen dieser konkreten Datenverarbeitung nicht ohne die andere möglich ist. Ein bestimmender Einfluss erfordert jedoch nicht, dass jeder der Beteiligten die umfassende Kontrolle über alle Umstände und Phasen der Verarbeitung besitzt. Auch ist keine vollständig gleichrangige Kontrolle durch alle Beteiligten erforderlich. Vielmehr kann die Beteiligung der Parteien an der Bestimmung der Zwecke und Mittel sehr verschiedene Formen annehmen und muss nicht gleichmäßig verteilt sein. Das Bestehen einer gemeinsamen Verantwortlichkeit bedeutet nicht zwingend eine gleichrangige Verantwortlichkeit. Die verschiedenen für die Verarbeitung Verantwortlichen können in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß einbezogen sein. Es ist denkbar, dass beteiligte datenverarbeitende Stellen nur in bestimmten Phasen der Datenverarbeitung, etwa bei der Datenerhebung, gemeinsam Verantwortliche sind“
(DSK-Kurzpapier Nr. 16).

Es ist insofern nach Auffassung des EuGH auch nicht erforderlich, dass derjenige, der eine Datenverarbeitung mitursächlich ermöglicht, indem er etwa durch die Nutzung eines sozialen Netzwerkes einem weiteren Beteiligten die Möglichkeit eröffnet, ein Cookie zu setzen, Zugang zu den auf diese Weise erhobenen Daten erhält (Urteil EuGH vom 05.06.2018 – C 210-16 Facebook Fanpage).

Auch schließt sich der EuGH der Auffassung an, dass das Bestehen einer gemeinsamen Verantwortlichkeit nicht zwangsläufig zu einer gleichwertigen Verantwortlichkeit der Beteiligten führt. Vielmehr können die Verantwortlichen in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß in der Weise einbezogen sein, dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist (Urteil EuGH vom 05.06.2018 – C 210-16 Facebook Fanpage).

Rechtsgrundlagen der Verarbeitung

Die Klärung der Frage der nach der Verantwortlichkeit für eine bestimmte Datenverarbeitung besagt noch nichts über die Rechtmäßigkeit dieser Verarbeitung. Verantwortlichkeit ist keine Befugnis zur Datenverarbeitung. Die Zuweisung der Verantwortlichkeit stellt lediglich klar, wer welche Funktionen und Aufgaben aus der DSGVO zu erfüllen hat. Jede Form der Verarbeitung personenbezogener Daten bedarf daher einer Rechtsgrundlage nach Artikel 6 (1) DSGVO (und für Daten besonderer Kategorien nach Artikel 9 (2) DSGVO) (DSK-Kurzpapier Nr. 16).

Da gemäß Artikel 4 Nr. 2 DSGVO eine Verarbeitung auch dann vorliegt, wenn personenbezogene Daten durch Übermittlung offengelegt werden und Empfänger nach Artikel 4 Nr. 9 DSGVO diejenigen Beteiligten sind, denen gegenüber personenbezogene Daten offengelegt werden, stellt eine Datenübertragung an einen weiteren Beteiligten stets einen eigenen Verarbeitungsvorgang dar und bedarf als solcher auch einer eigenen Rechtsgrundlage.

Auftragsverarbeitung

Der Verantwortliche, der einen Auftragsverarbeiter einsetzen möchte, ist nach den Artikeln 27 ff DSGVO und gegebenenfalls den Artikel 44 ff DSGVO verpflichtet, bei der Auswahl und Bestimmungen eines Auftragsverarbeiters gewisse Rahmenbedingungen einzuhalten und insbesondere den Auftragsverarbeiter sorgfältig auszuwählen und zu überwachen. Insoweit und bei Einhaltung dieser Vorgaben wird der Verantwortliche sich für die Rechtmäßigkeit einer Datenübertragung zur Auftragsverarbeitung in der Regel gemäß Artikel 6 (1) f) DSGVO auf die Wahrung seiner berechtigten Interessen berufen können.

Die Rechtmäßigkeit der vom Verantwortlichen im Übrigen beabsichtigten oder durchgeführten Datenverarbeitung richtet sich dabei (wieder) nach den Bestimmungen der Artikel 6, 7 und 9 DSGVO. Als Rechtsgrundlagen für eine Datenverarbeitung auf und über Internetseiten werden bezogen auf den Verantwortlichen also in der Regel Artikel 6 (1) a) DSGVO (Einwilligung), Artikel 6 (1) b) DSGVO (Vertragserfüllung oder vorvertragliche Maßnahme) und Artikel 6 (1) f) DSGVO (berechtigtes Interesse) in Frage kommen.

Festhalten kann man wohl zumindest für den Bereich der Auftragsverarbeitung, dass die Rechtmäßigkeit der Datenübermittlung an den Auftragsverarbeiter sich in der Regel nach der Rechtmäßigkeit der Datenverarbeitung durch den Verantwortlichen richtet. Ist die geplante oder durchgeführte Datenverarbeitung als solche an sich rechtmäßig, wird in der Regel auch eine Auftragsverarbeitung zulässig sein.

Datenübermittlung an Dritte

Bei einer Datenübermittlung an einen Dritten kommt es zu einer Erweiterung der Verantwortung. Der Übermittelnde ist jedenfalls und mindestens Verantwortlicher für die Offenlegung der Daten an den Dritten. Der Dritte ist sodann für die Verarbeitung der ihm übermittelten Daten eigenständig verantwortlich. Der Vorgang der Übermittlung an den Dritten und auch die Verarbeitung durch den Dritten bedürfen jeweils einer eigenen Rechtsgrundlage nach den Artikeln 6 ff DSGVO.

Für die Übermittlung personenbezogener Daten an einen Dritten kommen prinzipiell als Rechtsgrundlagen Artikel 6 (1) a) DSGVO (Einwilligung), Artikel 6 (1) b) DSGVO (Vertragserfüllung oder vorvertragliche Maßnahme) und Artikel 6 (1) f) DSGVO (berechtigtes Interesse des Übermittelnden und des Dritten) in Betracht.

Wobei bei der Prüfung des berechtigen Interesses die bisher ungeklärte Frage im Raum steht, ob aufgrund der ausdrücklichen Erwähnung des berechtigen Interesses des Dritten in Artikel 6 (1) f) DSGVO bei der Interessenabwägung für die Datenübermittlung auf das Interesse des Übermittelnden und/oder des Dritten abzustellen ist und ob das Vorliegen eines berechtigten Interesses des Dritten an einer Datenübertragung hinreichende oder notwendige Voraussetzung für die Rechtmäßigkeit ist. Diese Fragen sind dem EuGH in einem anderen Zusammenhang vor einiger Zeit bereits von dem OLG Düsseldorf zur Beantwortung vorgelegt worden (Vorlage-Beschluss OLG Düsseldorf vom 19.01.2017 - I-20 U 40/16).

Ob und welche Rechtsgrundlage für die Offenlegung von personenbezogenen Daten jeweils gegeben ist, lässt sich im Übrigen in einer generalisierenden Betrachtung nicht beantworten. Dies hängt vielmehr von der Art der Betroffenen, der Art der Daten, den Verarbeitungszwecken sowie den technischen und organisatorischen Rahmenbedingungen ab, mithin den individuellen Umständen des konkreten Einzelfalles.

Gemeinsame Datenverarbeitung

Auch gemeinsam Verantwortliche sind untereinander Empfänger im Sinne von Artikel 4 Nr. 9 DSVO, so dass die Übermittlung personenbezogener Daten unter gemeinsam Verantwortlichen als ein eigener Verarbeitungsvorgang im Sinne von Artikel 4 Nr. 2 DSGVO anzusehen ist und daher als solcher einer Rechtsgrundlage bedarf.

Für die Übermittlung personenbezogener Daten an einen gemeinsam Verantwortlichen kommen damit zunächst prinzipiell als Rechtsgrundlagen wieder Artikel 6 (1) a) DSGVO (Einwilligung), Artikel 6 (1) b) DSGVO (Vertragserfüllung oder vorvertragliche Maßnahme) und Artikel 6 (1) f) DSGVO (berechtigtes Interesse des Verantwortlichen) in Betracht.

Ob und welche Rechtsgrundlage für die Offenlegung von personenbezogenen Daten dabei jeweils gegeben ist, lässt sich daher auch insofern in einer generalisierenden Betrachtung nicht beantworten. Auch dies hängt vielmehr von den individuellen Umständen des konkreten Einzelfalles ab.

Und ebenso wie bei der Übermittlung von Daten an Dritte stellen sich dabei die bisher nicht abschließend geklärten Fragen, inwieweit und auf wessen berechtigte Interessen gegebenenfalls bei der Datenübertragung zwischen gemeinsam Verantwortlichen abzustellen ist und inwieweit und welchem Verantwortlichen gegenüber durch einen Betroffenen gegebenenfalls eine Einwilligung zu erteilen ist (Vorlage-Beschluss OLG Düsseldorf vom 19.01.2017 - I-20 U 40/16).

Informationspflichten gegenüber Betroffenen

Auftragsverarbeitung

Ein Auftragsverarbeiter ist zwar nicht Dritter nach Artikel 4 Nr. 10 DSGVO, aber Empfänger nach Artikel 4 Nr. 9 DSGVO. Bei einer Auftragsverarbeitung treffen den Verantwortlichen daher die sich aus den Artikeln 13 und 14 DSGVO ergebenden Informations- und Unterrichtungspflichten hinsichtlich der mit der Auftragsverarbeitung verbundenen Datenübermittlung. Insoweit ist der Verantwortliche z.B. nach Artikel 13 (1) e) DSGVO verpflichtet, dem Betroffenen die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten zu benennen. Der Verantwortliche kann auch, unbeschadet der Verpflichtung einer sorgfältigen Auswahl und Überwachung seiner Auftragsverarbeiter, eine Liste seiner Auftragsverarbeiter veröffentlichen, er ist dazu aber nicht zwingend verpflichtet.

Datenübermittlung an Dritte

Bei einer Datenübermittlung an Dritte im Sinne des Artikels 4 Nr. 10 DSGVO treffen den Verantwortlichen und den Dritten jeweils die sich aus den Artikel 13 und 14 DSGVO ergebenden allgemeinen Unterrichtungs- und Informationspflichten.  

Gemeinsame Verarbeitung

Bei einer gemeinsamen Verarbeitung treffen die Verantwortlichen die sich aus den Artikel 13 und 14 DSGVO ergebenden allgemeinen Unterrichtungs- und Informationspflichten gemeinsam. Deshalb ist nach Artikel 26 DSGVO und § 63 BDSG zusätzlich eine transparente Vereinbarung zwischen den gemeinsam Verantwortlichen abzuschließen, mit der eine klare Zuteilung der Verantwortlichkeiten erfolgt und die die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber Betroffenen gebührend widerspiegelt. Der wesentliche Inhalt dieser Vereinbarung ist den Betroffenen neben den Angaben nach den Artikeln 13 und 14 DSGVO zur Verfügung zu stellen.

Tracking von Nutzern und Analyse von Nutzerdaten

Gegenwärtig besteht eine ausgeprägte Tendenz der Verantwortlichen, die Rechtmäßigkeit der Übermittlung von personenbezogenen Daten an weitere Beteiligte und die Rechtmäßigkeit der Verarbeitung dieser Daten durch die Beteiligten mit Erwägungen zum berechtigten Interesse des Verantwortlichen und der Beteiligten an diesen Verarbeitungsvorgängen zu rechtfertigen und die Verantwortung hierfür auf diese Beteiligten zu verlagern. Dies wird von den Landes-Datenschutz-Aufsichtsbehörden seit längerem deutlich kritisiert.

„Uns ist bewusst, dass personalisierte Werbung für die Wirtschaft ein enormer Vorteil ist. Es ist ein berechtigtes Interesse der Unternehmen, ihre Produkte und Dienste optimal zu vermarkten. Das hat aber seine Grenzen, wenn gegen geltendes Recht verstoßen wird und der Einzelne nur noch zum Objekt seiner Daten degradiert wird. Der Nutzer hat keine Chance mehr, sich dem zu entziehen. Es findet eine systematische Durchleuchtung der Nutzer durch die Algorithmen von […] Künstlicher Intelligenz (KI) statt. Selbst Nutzer, die regelmäßig Cookies löschen, Datenschutzeinstellungen nutzen oder sogar kein Mitglied in sozialen Netzwerken sind, werden verfolgt. Als ein Ergebnis unserer Prüfung mussten wir feststellen, dass den geprüften Unternehmen, die [solche Werbetools] eingesetzt haben, der rechtliche Rahmen häufig völlig unklar war. Unternehmen, die jedoch nicht wissen, wie solche Werbetools tatsächlich funktionieren, können auch ihre Nutzer nicht richtig informieren. Wer das nicht kann, darf eben solche Tools nicht einsetzen“.
(Thomas Kranig, Präsident des BayLDA)

Rechtsgrundlage berechtigtes Interesse oder Einwilligung

In Bezug auf das Tracking und Analysieren von Nutzern lässt damit zunächst generalisierend festhalten, dass eine Verarbeitung personenbezogener Daten zu Zwecken der Werbung und des Marketing dann nicht mehr auf ein berechtigtes Interesse des Verantwortlichen gestützt werden kann, wenn das Tracking und die Nutzer-Analysen das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und zu der Erstellung von Nutzerprofilen führen. Denn insoweit überwiegen die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, das Interesse der Verantwortlichen an Werbung und kommerzieller Nutzung personenbezogener Daten (Artikel 6 (1) f) DSGVO).

Dies bedeutet, dass in diesen Fällen, in denen Seitenbesucher durch IP-Nummern, Cookies oder ähnliche Techniken zur Erstellung von Nutzerprofilen getrackt werden, eine informierte und freiwillige Einwilligung des Betroffenen nach Artikeln 6 (1) a), 7 DSGVO, in Form einer Erklärung oder sonstigen eindeutig bestätigenden Handlung vor der Datenverarbeitung eingeholt werden muss, d. h. insbesondere bevor Cookies platziert werden bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden (Urteil LG Düsseldorf vom 09.03.2016 – 12 O 151/15).

Erfolgt die Verarbeitung der personenbezogenen Daten durch mehrere gemeinsam Verantwortliche,  ist dies auch in der Einwilligungserklärung transparent darzustellen.

„Soll eine Verarbeitung durch mehrere gemeinsam Verantwortliche auf eine Einwilligung gemäß Art. 6 (1) a) DSGVO gestützt werden, muss die Einwilligung […] unmissverständlich die Verarbeitung durch alle gemeinsam Verantwortlichen und mithin auch die entsprechende Weitergabe an den bzw. die anderen gemeinsam Verantwortlichen umfassen.“
(DSK-Kurzpapier Nr. 16).

Eine Opt-Out Lösung (bisher nach TMG teilweise zulässig) wird den Anforderungen an eine Einwilligungserklärung grundsätzlich nicht (mehr) gerecht. Eine Einwilligung erfordert vielmehr ein ausdrückliches Opt-In. Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder hatte sich bereits im April 2018 in einem Positionspapier auf diese Sichtweise verständigt.

„Da die Verweise in der ePrivacy-Richtlinie auf die Datenschutzrichtlinie gemäß Artikel 94 Absatz 2 DSGVO als Verweise auf die DSGVO gelten, muss eine Einwilligung i. S. d. ePrivacy-Richtlinie europaweit ab dem 25.05.2018 den Anforderungen an eine Einwilligung nach der DSGVO genügen. Damit können die §§ 12, 13, 15 TMG bei der Beurteilung der Rechtmäßigkeit der Reichweitenmessung und des Einsatzes von Tracking - Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen, ab dem 25. Mai 2018 nicht mehr angewendet werden.“ (Positionsbestimmung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder – Düsseldorf, vom 26. April 2018).

Und hat diese Auffassung in einer Entschließung der Konferenz der unabhängigen Datenschutzbehörden des Landes und des Bundes vom 06.06.2018 noch einmal bekräftigt. Mittlerweile sehen sich die Datenschutzbehörden der Länder und des Bundes durch eine Reihe von Gerichtsentscheidungen auch in wesentlichen Punkten ihrer bisherigen Auffassung zu diesem Themenkomplex bestätigt.  

Rechtsgrundlage Opt-Out

Soweit unter Berücksichtigung der individuellen Umstände des konkreten Einzelfalles aufgrund Art und Umfang des Trackings noch ein Opt-Out des Betroffenen als Rechtsgrundlage zulässig erscheint, handelt es sich um einen Fall des berechtigten Interesses der Verantwortlichen an Direkt-Werbung mit Implementierung einer Widerspruchsmöglichkeit.

Zu beachten ist, dass die Datenschutz-Aufsichtsbehörden auch insofern bereits Mindest-anforderungen an die Implementierung solcher Opt-Out Lösungen formuliert haben. Der Verantwortliche (Betreiber von Internetseiten) ist verpflichtet, ein geeignetes Opt-Out-Verfahren zu implementieren, welches folgende Voraussetzungen erfüllt:

„• Wird ein Opt-Out-Cookie gesetzt, so sollte es sich um ein persistentes HTML5-Storage-Objekt mit einer unbegrenzten Gültigkeitsdauer handeln.

• Session-Cookies oder sonstige persistente HTML-Cookies mit einer kurzen Gültigkeitsdauer sind dagegen nicht geeignet und erfüllen daher auch nicht die gesetzlichen Anforderungen.

• Ist ein Opt-Out-Cookie des Nutzers vorhanden, so ist jeder Datenverkehr durch das Facebook-Pixel zu unterbinden. Erfolgt dennoch ein Aufruf an Facebook, so ist das Opt-Out-Verfahren nicht geeignet und erfüllt nicht die gesetzlichen Anforderungen. Ein Opt-Out-Verfahren kann man durch Programmieren von wenigen Zeilen Javascript-Code mit geringem Aufwand selbst implementieren.

• Ein Verweis auf Webseiten von Drittanbietern (wie z. B. youronlinechoices.eu) ist für ein Opt-Out nicht ausreichend. Nach Setzen von Opt-Out-Cookies über Webseiten solcher Drittanbieter findet unserer Kenntnis nach weiterhin ein Datenverkehr zwischen dem Endgerät des Nutzers und dem Werbenetzwerk statt. Darüber hinaus enthalten die Webseiten der Drittanbieter meist JavaScript-Funktionen, die wiederum das Verfolgen eines einzelnen Nutzers ermöglichen (Tracking). Es ist dem Nutzer daher nicht zuzumuten, für ein Opt-Out […] auf den Dienst eines Dritten verwiesen zu werden, der wiederum Daten des Nutzers für eigene Zwecke verarbeitet.

• Auch ein Verweis auf die URL www.facebook.com/settings [ebenso wie auf die Url adssettings.google.com/authenticated ] stellt kein geeignetes Opt-Out-Verfahren dar. Zum einen steht diese Funktion nur […]-Mitgliedern zur Verfügung und zum anderen wird lediglich die Anzeige von Werbung im Nutzerkonto unterbunden. Eine Datenverarbeitung erfolgt jedoch weiterhin.

Wir weisen darauf hin, dass die o.g. Anforderungen lediglich Hinweise in Bezug auf die Hinweispflichten und Widerspruchsmöglichkeiten darstellen.“
(Pressemitteilung LDA Bayern vom 04.10.2017)

Informationspflichten

Gemeinsam Verantwortliche haben die Betroffenen, wie bereits ausgeführt, darüber hinaus transparent und verständlich darüber zu informieren, von welchem der gemeinsam Verantwortlichen welche Daten zu welchen Zwecken verarbeitet werden.

Zu diesen Zwecken wird es unter Umständen erforderlich sein, dass ein untergeordneter Verantwortlicher bei dem übergeordneten Verantwortlichen entsprechende Auskünfte und Informationen über die Art und den Umfang der Verarbeitung personenbezogener Daten einholt. Betroffene sind zudem in transparenter Art und Weise über die wesentlichen Gesichtspunkte einer zwischen den Verantwortlichen abzuschließenden Vereinbarung über die gemeinsame Datenverarbeitung zu informieren. Diese Informationspflichten ergeben sich aus den Artikel 13 und 14 DSGVO, Artikel 26 DSGVO sowie § 63 BDSG.

Ausblick und Fazit

Verantwortliche müssen bei Nichteinhaltung der Vorgaben der DSGVO zum Tracking und der Nutzer-Analyse auf und über Internetseiten in naher Zukunft verstärkt mit Kontrollen und Konsequenzen rechnen.

„Wir haben mehrfach über die Anforderungen an einen zulässigen Einsatz von Marketing -Tools in unseren Tätigkeitsberichten, Pressemitteilungen und sonstigen Veröffentlichungen informiert.  Verantwortliche hatten mehr als ausreichend Gelegenheit, ihre Datenverarbeitung zu überprüfen und sicherzustellen, dass alle Anforderungen erfüllt werden. Wir werden diese Entscheidung zum Anlass nehmen und unsere Prüfung auf weitere Branchen ausweiten und Verstöße nach dem neuen Bußgeldrahmen der DSGVO sanktionieren“, so Thomas Kranig, Präsiden LDA Bayern, Pressemeldung vom 20.11.2018.

Der Berliner Datenschutzbeauftragte hat Anfang November 2018 mit der Durchführung eines Anhörungsverfahrens bei Verantwortlichen begonnen, die in dem sozialen Netzwerk Facebook eine Fanpage betreiben.

Sollte der Einsatz von Facebook Fanpage in einer rechtlich nicht zulässigen Weise erfolgen, wird Adressat von behördlichen Anordnungen oder eines Bußgeldbescheides nicht Facebook, sondern das jeweilige Unternehmen sein, das dieses Werbemittel unzulässig einsetzt.

Ausgewählte Einzelbeispiele

Facebook Fanpage

Kurzbeschreibung Funktionsweise:
Facebook Fanpages sind Benutzerkonten, die bei Facebook von Privatleuten oder Unternehmen eingerichtet werden können. Die Betreiber von Fanpages können mit Hilfe der Funktion Seiten-Insight anonymisierte statistische Daten der Besucher der Fanpages erhalten und sich diese Daten von Facebook für Auswertungen aufbereiten lassen. Diese Daten werden mit der Hilfe von Cookies erhoben und etwaig weiteren von Facebook über die Besucher erfassten Daten verknüpft.

Verantwortlicher der Datenverarbeitung:
Der Begriff des Verantwortlichen ist zum Schutz Betroffener weit zu definieren, um ein wirksames und umfassendes Schutzniveau zu gewährleisten. In erster Linie ist, soweit es die Union betrifft, als Verantwortlicher die Facebook Ireland Ltd anzusehen. Auch wenn der bloße Umstand der Nutzung eines sozialen Netzwerkes einen Facebook-Nutzer nicht für die von diesem Netzwerk vorgenommene Datenverarbeitung mitverantwortlich macht, ist indes darauf hinzuweisen, dass der Betreiber einer Fanpage mit der Einrichtung einer solchen Seite Facebook die Möglichkeit gibt, auf dem Computer oder jedem anderen Gerät der Person, die seine Fanpage besucht hat, Cookies zu platzieren, unabhängig davon, ob diese Person über ein Facebook-Benutzerkonto verfügt. Darüber hinaus kann der Betreiber einer Fanpage gewisse Filterkriterien festlegen, nach denen die Besucher seiner Fanpage ausgewertet werden. Insoweit trägt der Betreiber einer Fanpage zur Verarbeitung bei. Insbesondere kann der Betreiber demografische Daten über seine Zielgruppe und damit eine Verarbeitung dieser Daten verlangen, so unter anderen Tendenzen in den Bereichen Alter, Geschlecht, Beziehungsstatus und Lebensstil. Die Erhebung und die Verarbeitung dieser Daten beruht auf den gesetzten Cookies.

Da einer gemeinsamen Verantwortlichkeit nicht entgegensteht, dass jeder Verantwortliche Zugang zu den betreffenden Daten haben muss, ist vorliegend von einer gemeinsamen Datenverarbeitung und gemeinsamen Verantwortung für diese Datenverarbeitung auszugehen.

Der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform benutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, kann diesen nämlich nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien.

Dies gilt im Übrigen insoweit auch für solche Besucher von Fanpages, die bei Facebook gar kein Benutzerkonto unterhalten. In diesem Fall erscheint die Verantwortlichkeit des Betreibers der Fanpage hinsichtlich der Verarbeitung noch höher, da bereits das bloße Aufrufen der Fanpage durch Besucher automatisch die Verarbeitung ihrer personenbezogenen Daten auslöst.

Entscheidung / Quelle:
Urteil EuGH vom 05.06.2018 – C 210-16 Facebook Fanpage

Schlussfolgerungen:

  • Es liegt eine gemeinsame Verarbeitung vor
  • Unternehmer und Facebook sind gemeinsam Verantwortliche
  • der Abschluss einer Vereinbarung über eine gemeinsame Verarbeitung (GDV) ist erforderlich
  • das Tracking der Nutzer und das Erstellen von Nutzerprofilen ist nur mit einer vorherigen Einwilligung der Betroffenen rechtmäßig (es ist dabei irrelevant, ob demografische Merkmale nicht genutzt und die IP-Nummer nach der Erfassung verkürzt wird)
  • gegenüber Betroffenen bestehen erweiterte Informationspflichten nach den Artikel 13, 14, 26 DSGVO mit § 63 BDSG
  • Die Datenübermittlung ist in das Verzeichnis der Verarbeitungstätigkeiten aufzunehmen
  • Die Datenübermittlung ist im Rahmen aller übrigen Nachweis- und Dokumentationspflichten zu berücksichtigen

Facebook Custom Audience über Kundenliste

Kurzbeschreibung Funktionsweise:
Ein Unternehmer erstellt eine Liste seiner Kunden mit personenbezogenen Daten, wie z.B. Name, Vorname, eMail, Telefonnummer, Wohnort und Anrede und übermittelt diese Daten an das Facebook-Konto des Unternehmens. Der Unternehmer übermittelt dabei unter Umständen jedoch Daten, die Facebook bis dato unbekannt waren. Diese Daten gleicht Facebook mit den Benutzerkonten aller seiner Facebook-Nutzer ab und kann so feststellen, welcher Kunde des Unternehmens auch Nutzer bei Facebook ist. Der Unternehmer kann dann Facebook mit der Durchführung von zielgerichteten Werbemaßnahmen beauftragen, bei denen die Werbung nach Interessen und bestimmten persönlichen Merkmalen gefiltert nur auf einen ganz bestimmten Personenkreis gerichtet wird. Der Unternehmer erfährt dabei nicht, welche seiner Kunden auch Nutzer von Facebook sind.

Verantwortlicher der Datenverarbeitung:
Bei der Frage der Verantwortlichkeiten bei dieser Datenverarbeitung kann im Grunde auf die vorstehenden Ausführungen zur Facebook Fanpage verwiesen werden. Die Übermittlung der Kundenliste erfolgt durch das Unternehmen, dieses ermöglicht damit erst die nachgeordnete Überschneidungsanalyse zwischen seinen Kundendaten und Facebook-Nutzerdaten. Die nachfolgende Auswahl der Werbe-Zielgruppe erfolgt eigenständig durch Facebook. Die Werbemaßnahme selbst erfolgt im Auftrag des Unternehmens. Die Tätigkeiten sind derart miteinander verzahnt, dass der Vorgang hinsichtlich der Verantwortung nicht in separate und eigenständige Datenverarbeitungsvorgänge aufgeteilt werden kann. Von einer Auftragsverarbeitung ist bei diesen Verarbeitungen ebenfalls nicht auszugehen, da Facebook bei der Zielgruppenanalyse nicht nur über die Geeignetheit technischer oder organisatorischer Mittel, sondern eigenständig über die Zwecke und wesentlichen Mittel der Datenverarbeitung entscheidet.

„Facebook wird im Rahmen des Dienstes „Custom Audience“ nicht als Auftragsverarbeiter (§ 11 BDSG a.F.) tätig. Das Verwaltungsgericht hat unter Bezugnahme auf die Ausführungen im angegriffenen Bescheid zutreffend festgestellt, dass in der vorliegenden Fallkonstellation kein Auftragsdatenverarbeitungsverhältnis vorliegt und die Weitergabe der gehashten E-Mail-Adressen an Facebook als Übermittlung von Daten an einen Dritten (§ 3 Abs. 8 Satz 2 BDSG a.F.) zu werten ist.“ (Beschluss BayVGH VGH München vom 26.09.2018 – 5 CS 18.1557)

Vielmehr liegt auch in diesem Fall eine gemeinsame Datenverarbeitung vor. Das Unternehmen und Facebook sind als gemeinsam Verantwortliche (Joint Controller) anzusehen.

Entscheidung / Quelle:
VGH München, Beschluss vom 26.09.2018 – 5 CS 18.1557
VG Bayreuth, Beschluss vom 08.05.2018 – B 1 S 18.105
Pressemitteilung LDA Bayern vom 04.10.2017
Pressemitteilung LDA Bayern vom 20.11.2018

Schlussfolgerungen:

  • Es liegt eine gemeinsame Verarbeitung vor
  • Unternehmer und Facebook sind gemeinsam Verantwortliche
  • der Abschluss einer Vereinbarung über eine gemeinsame Verarbeitung (GDV) ist erforderlich
  • die Übermittlung der Daten zur Erstellung einer Überschneidungs- und Zielgruppenanalyse ist nur mit einer vorherigen Einwilligung der Betroffenen rechtmäßig
  • gegenüber Betroffenen bestehen erweiterte Informationspflichten nach den Artikel 13, 14, 26 DSGVO mit § 63 BDSG
  • Die Datenübermittlung ist in das Verzeichnis der Verarbeitungstätigkeiten aufzunehmen
  • Die Datenübermittlung ist im Rahmen aller übrigen Nachweis- und Dokumentationspflichten zu berücksichtigen

Facebook Custom Audience über Pixel-Verfahren (mit erweitertem Abgleich)

Kurzbeschreibung Funktionsweise:
In der Grundfunktion (ohne erweiterten Abgleich) veranlasst ein Unternehmen die Einbindung eines Facebook-Pixels auf seinen Internetseiten. Damit ermöglicht und veranlasst das Unternehmen ein Tracking aller Besucher dieser Internetseiten durch Facebook. Facebook wird so in die Lage versetzt, Besucher auch über andere Internetseiten hinweg und zu späteren Zeitpunkten wieder zu identifizieren und Nutzerprofile zu erstellen. Handelt es sich bei den Besuchern gleichzeitig um Facebook-Nutzer wird Facebook mit hoher Wahrscheinlichkeit in der Lage sein, die Besucher ihrem jeweiligen Facebook-Konto zuzuordnen; jedenfalls ist dies dann sicher möglich, wenn die Nutzer bei dem Besuch von Internetseiten gleichzeitig in ihrem Benutzerkonto bei Facebook angemeldet sind.

Bei der Funktion für den erweiterten Abgleich übermittelt das Unternehmen aus seinem eigenen Datenbestand weitere personenbezogene Daten von Besuchern, die in ihrem Benutzerkonto bei dem Unternehmen angemeldet sind, an Facebook, wie z.B. Vorname, Nachname, eMail usw.. Facebook kann diese Daten mit weiteren Tracking-Daten anreichernd und wird so in die Lage versetzt, Besucher der Internetseiten des Unternehmens zu identifizieren und, auch über andere Internetseiten hinweg, zu tracken sowie Nutzerprofile zu erstellen. Facebook kann auf diese Weise auch solche Besucher sicher identifizieren, die über gar kein Benutzerkonto bei Facebook verfügen oder nicht in ihrem Benutzerkonto angemeldet sind sowie diese Daten mit den Benutzerkonten bei Facebook verknüpfen.

Der Unternehmer kann sodann Facebook mit der Durchführung von zielgerichteten Werbemaßnahmen beauftragen, bei denen die Werbung nach Interessen und bestimmten persönlichen Merkmalen gefiltert nur auf einen ganz bestimmten Personenkreis gerichtet wird.

Verantwortlicher der Datenverarbeitung:
Die Übermittlung der Daten für den erweiterten Abgleich entspricht weitgehend der Datenübermittlung zu Facebook Custom Audience über Kundenliste. Damit kann insofern auf die vorstehenden Ausführungen verwiesen werden. Die Übermittlung von personenbezogenen Daten über den erweiterten Abgleich zur Durchführung von Werbemaßnahmen durch Facebook Custom Audience über Pixel mit erweitertem Abgleich führt zu einer gemeinsamen Verantwortlichkeit von Unternehmen und Facebook. Es liegt insoweit insbesondere keine Auftragsverarbeitung vor.

In der Grundfunktion von Facebook Custom Audience über Pixel schafft erst der Unternehmer die Voraussetzungen für die Verarbeitung personenbezogener Daten durch Facebook. Insoweit trägt der Unternehmer zur Verarbeitung bei. Insbesondere kann der Unternehmer diese Daten zu Werbezwecken verarbeiten lassen. Die Erhebung und die Verarbeitung dieser Daten beruht auf dem gesetzten Pixel.

Da einer gemeinsamen Verantwortlichkeit nicht entgegensteht, dass jeder Verantwortliche Zugang zu den betreffenden Daten haben muss, ist vorliegend von einer gemeinsamen Datenverarbeitung und gemeinsamen Verantwortung für diese Datenverarbeitung auszugehen.

Der Umstand, dass ein Unternehmer die mit dem Setzen eines Pixels gewonnenen Daten, wenn auch unter Umständen nur teilweise, benutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, kann diesen nämlich nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien.

Dies gilt im Übrigen insoweit gerade auch für solche Besucher der Internetseiten des Unternehmens, die bei Facebook gar kein Benutzerkonto unterhalten. In diesem Fall erscheint die Verantwortlichkeit des Unternehmers hinsichtlich der Verarbeitung noch höher, da bereits das bloße Aufrufen der Internetseiten des Unternehmers durch Besucher automatisch die Verarbeitung ihrer personenbezogenen Daten auslöst.

Damit liegt auch in diesem Fall eine gemeinsame Datenverarbeitung vor. Das Unternehmen und Facebook sind als gemeinsam Verantwortliche (Joint Controller) anzusehen.

Allerdings war das LDA Bayern im Oktober 2017 noch der Auffassung, dass die Datenverarbeitung in der Grundfunktion von Facebook Custom Audience möglicherweise über Artikel 6 (1) f) DSGVO (berechtigtes Interesse) gerechtfertigt sein könnte, wenn ein wirksames und ordnungsgemäß implementiertes Opt-Out Verfahren auf den Internetseiten des Unternehmens angeboten wird, wobei dies nach meiner Auffassung eher abzulehnen ist und wohl auch von der DSK seit spätestens April 2018 nicht mehr vertreten wird.

Entscheidung / Quelle:
Urteil EuGH vom 05.06.2018 – C 210-16 Facebook Fanpage
Positionsbestimmung der DSK vom 26.04.2018
Pressemitteilung LDA Bayern vom 04.10.2017
Beschluss OLG Düsseldorf vom 19.01.2017 – I-20 U 40/16
Urteil LG Düsseldorf vom 09.03.2016 – 12 O 151/15

Schlussfolgerungen:

  • Es liegt eine gemeinsame Verarbeitung vor
  • Unternehmer und Facebook sind gemeinsam Verantwortliche
  • der Abschluss einer Vereinbarung über eine gemeinsame Verarbeitung (GDV) ist erforderlich
  • die Übermittlung der Daten zur Erstellung einer Überschneidungs- und Zielgruppenanalyse ist nur mit einer vorherigen Einwilligung der Betroffenen rechtmäßig
  • gegenüber Betroffenen bestehen erweiterte Informationspflichten nach den Artikel 13, 14, 26 DSGVO mit § 63 BDSG
  • Die Datenübermittlung ist in das Verzeichnis der Verarbeitungstätigkeiten aufzunehmen
  • Die Datenübermittlung ist im Rahmen aller übrigen Nachweis- und Dokumentationspflichten zu berücksichtigen

(wdc)