Die NAIH hat eine Stellungnahme zur Nutzung und rechtlichen Bewertung von Community-Modulen auf Websites, zur Methode der rechtlichen Einholung der Zustimmung und zum Inhalt der Pflichten des Website-Betreibers herausgegeben.
Die NAIH untersuchte im Wesentlichen zwei Fragen:
- Wer ist der Verantwortliche für die Datenverarbeitung bei der Einbindung von Social Modulen?
Der Websitebetreiber ist für alle personenbezogenen Daten, die im Rahmen der Nutzung seiner Website erhoben und übermittelt werden – hierzu zählen auch alle Daten, die durch das von ihm eingesetzte Social-Modul verarbeitet werden – die verantwortliche Stelle.
Verantwortlicher ist etwa der Betreiber einer Website, der auf seiner Website ein sogenanntes „Tracking-Pixel“ einbindet, über welches der Browser des Besuchers personenbezogene Daten des Besuchers an den Social-Media-Anbieter übermittelt. Ohne die Einbindung des Pixels wäre eine Erfassung und Weitergabe personenbezogener Daten der Seitenbesucher an den Diensteanbieter nicht möglich. Gleichzeitig hat der Diensteanbieter das Pixel als Softwarecode entwickelt und bereitgestellt, der dem Diensteanbieter die automatisierte Erhebung, Übermittlung und Auswertung personenbezogener Daten ermöglicht. Infolgedessen sind der Websitebetreiber und der Social-Media-Anbieter in Bezug auf die Erhebung und Übermittlung personenbezogener Daten über Pixel gemeinsame Datenverantwortliche.
Die Funktion des Websitebetreibers als Verantwortlicher beschränkt sich allerdings auf jene Vorgänge, bei denen er tatsächlich über die Zwecke und Mittel entscheidet. Für weitere Datenverarbeitungsvorgänge der personenbezogenen Daten durch den Anbieter des Social-Media-Dienstes ist der Websitebetreiber nach der Übermittlung kein Verantwortlicher mehr. Die Position der NAIH in dieser Hinsicht steht im Einklang mit dem Leitlinienentwurf Nr. 8/2020 des Europäischen Datenschutzausschusses (EDSA) zum gezielten Ansprechen von Social-Media-Nutzern. - Welche Voraussetzungen müssen für die Einwilligung der betroffenen Person erfüllt sein?
Für die Nutzung des Community-Moduls ist die Einholung der Einwilligung der Betroffenen erforderlich. Die betroffene Person muss individuell entscheiden können, ob sie der Verwendung eines bestimmten Typs von Cookies zustimmt oder nicht – die betroffene Person muss entscheiden können, ob sie die Verarbeitung ihrer Daten (die Verwendung des bestimmten Cookies) wünscht oder nicht. Dies ist bei Cookies möglich, bei denen der Benutzer die Website auch dann ohne Einschränkungen durchsuchen kann, wenn er der Installation des jeweiligen Cookies nicht zustimmt. Die Freiwilligkeit der Einwilligung kann dann gegeben sein, wenn der Zugriff auf Dienste und Funktionalitäten nicht von der Einwilligung abhängig ist, Informationen auf dem Endgerät des Nutzers zu speichern oder auf dort bereits gespeicherte Informationen zuzugreifen.
Setzt der Betreiber einer Website etwa ein Skript ein, das die Sichtbarkeit der Inhalte der Website – mit Ausnahme der Schnittstelle zur Annahme von Cookies und der Bereitstellung von Informationen hierüber – unterbindet, so dass der Aufruf der Inhalte nur durch Klicken auf die Schaltfläche „Cookies akzeptieren“ möglich ist, dann hat der Benutzer der Website keine wirkliche Wahl. Ihre Zustimmung ist daher ungültig, da sie den Benutzern der Website keine echte Wahlmöglichkeit bietet.
Praktische Aufgaben
Basierend auf der Position der NAIH sollten Websitebetreiber:
- Sie müssen genau prüfen, welche Daten bei der Nutzung eines bestimmten Community-Moduls erfasst und übermittelt werden,
- Sie müssen eine entsprechende Datenverwaltungsmitteilung über die Nutzung des Community-Moduls erstellen,
- den betroffenen Nutzern muss eine gültige Einwilligung zur Nutzung des Community-Moduls vorliegen und
Darüber hinaus sollten Websitebetreiber die Datenschutzbedingungen des Social-Media-Dienstanbieters im Hinblick auf deren gemeinsamen Status als Datenverantwortliche prüfen und auch die Bestimmungen des Leitlinienentwurfs Nr. 8/2020 des EDSA zum Targeting von Social-Media-Nutzern beachten.