Das Thema Datenschutz hat für die Online-Werbebranche spätestens seit Wirksamkeit der Datenschutzgrundverordnung (DSGVO) im Mai 2018 erheblich an Bedeutung gewonnen. Die entscheidende Frage lautete von Anfang an, ob die mit den digitalen Werbetechniken verbundenen Datenverarbeitungsprozesse einer – technisch schwer umsetzbaren – individuellen Einwilligung der User bedürfen oder ob ein gesetzlicher Erlaubnistatbestand eingreift. Jetzt hat der EuGH in der Rechtssache „Fashion ID“ eine Vorabentscheidung getroffen, die sich neben der Frage einer gemeinsamen Verantwortlichkeit von Werbenden und Plug-In-Betreibern u. a. auch mit der Frage der Rechtmäßigkeit des Einsatzes von Plug-Ins auf eigenen Webseiten befasst. Bis zu einer endgültigen Entscheidung des in der Sache zuständigen Düsseldorfer Oberlandesgerichts können jedoch noch Jahre vergehen. Bis dahin heißt es weiter: Ruhe bewahren, Rechtslage beobachten, Vorkehrungen für den Ernstfall treffen.
In seiner Entscheidung in der Rechtssache Fashion ID GmbH & Co. KG gegen die Verbraucherzentrale NRW e. V. hatte sich der EuGH in erster Linie mit der Frage der Verantwortlichkeit beim Einbinden von Social-Plug-Ins, konkret des Facebook-like-Buttons zu beschäftigen. Der EuGH entschied so, wie man es angesichts der vorhergehenden Entscheidung in Sachen „Fanpage“ bereits erwartet hatte: zwischen Webseitenbetreiber und Anbieter des Plug-Ins besteht eine sogenannte gemeinsame Verantwortlichkeit nach Artikel 26 DSGVO. Die praktischen Folgen dieses Teils der Entscheidung dürften für Webseitenbetreiber überschaubar bleiben. Denn die nach Artikel 26 Absatz 1 DSGVO zwingend erforderliche Vereinbarung über die gemeinsame Verantwortlichkeit wird in der Praxis – wie man es im Falle der Fanpages beobachten konnte – ganz simpel über eine Ergänzung der Nutzungsbedingungen geregelt werden. Muss man sich als Seitenbetreiber also aller Voraussicht nach nicht drum kümmern, nach dem Motto: „Die machen das schon.“ Soweit, so entspannt.
Anders als im Falle des Fanpage-Urteils äußerte sich der EuGH diesmal allerdings auch zu der Frage, ob für die Datenverarbeitung im Zusammenhang mit einem Social Plug-In zwingend eine Einwilligung erforderlich ist, oder ob die Datenverarbeitung zulässiger Weise auf Grundlage des gesetzlichen Erlaubnistatbestands der Interessensabwägung erfolgen kann. Der EuGH sagt hierzu wörtlich, dass „die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer (…), seine Einwilligung gegeben hat.“ Ob dies im Falle von Facebooks Plug-Ins der Fall ist, hat der EuGH aber entgegen mancherorts zu lesender Verlautbarungen nicht (!) festgestellt. Der EuGH sagt im Gegenteil ausdrücklich: „Es ist Sache des vorlegenden Gerichts, nachzuprüfen, ob in einer Situation wie der im Ausgangsverfahren in Rede stehenden der Anbieter eines Social Plug-Ins, wie im vorliegenden Fall Facebook Ireland, Zugriff auf Informationen hat, die im Endgerät des Besuchers der Website des Betreibers gespeichert sind, wie die Kommission geltend macht.“ Das Oberlandesgericht Düsseldorf, das den Fall auf der Grundlage dieser Feststellungen zu entscheiden hat, wird den Fall also insbesondere in technischer Hinsicht weitergehend zu beurteilen haben.
Da es neben Social Plug-Ins auch andere technische Möglichkeiten des Zugriffs auf Informationen im Endgerät des Nutzers gibt, ist die bevorstehende Entscheidung des OLGs potentiell von erheblicher Tragweite. Es ist daher nicht unwahrscheinlich, dass sich das OLG in dieser Sache Zeit lässt, um Lösungsmöglichkeiten zu eruieren. Der EuGH hat jedenfalls einen geschickten work-around für die entscheidende Rechtsfrage „Einwilligung vs. Interessenabwägung“ gefunden, indem er die Sache auf die Ebene des technischen Sachverhalts gehoben und sich damit einer definitiven Entscheidung in der Sache entzogen hat. Wie auch immer die Entscheidung des OLG ausfällt, steht damit nach wie vor keine höchstrichterliche Klärung der Frage „Opt-In oder Opt-Out“ bei digitaler Werbung in Aussicht. Damit bietet sich für Webseitenbetreiber wie für die Anbieter von Social Plug-Ins die Möglichkeit, die Entscheidung des OLGs in aller Ruhe abzuwarten und sich Gedanken zu machen, wie digitale Werbung technisch anders umgesetzt bzw. wie ein nutzerfreundlicher Opt-In gestaltet werden könnte.
Dr. jur. Philipp Siedenburg (37) ist TÜV zertifizierter externer Datenschutzbeauftragter, u.a. bei NetzwerkReklame. Da NetzwerkReklame als Agentur keine Rechtsberatung erteilen darf, wenden Sie sich bei weitergehenden juristischen Fragen gern an einen qualifizierten Experten. Bei allen technischen und konzeptionellen Fragen rund um Tracking, Big Data & Programmatic stehen wir bei NetzwerkReklame jederzeit gern zur Verfügung.