Facebook-Fanpages und Cookie-Banner: Umsetzung in Krankenhäusern nach aktueller Rechtslage

27. November 2019

Wie mittlerweile sehr viele Unternehmen auch, nutzen viele Krankenhäuser soziale Medien und eigene Webseiten, um sich im Internet zu präsentieren. Die Spielregeln für diese Form der Außendarstellung wurden in den letzten anderthalb Jahren allerdings etwas durcheinandergebracht, was für einige Verunsicherung sorgte. Die Rede ist von zwei Urteilen des EuGH – eines zu Facebook-Fanpages, ein anderes, das Auswirkungen auf die Implementierung von Cookie-Bannern auf Webseiten hat.

Facebook-Fanpages

Hintergrund des ersten EuGH-Urteils (05.06.2018, Az. C-210/16) waren die sogenannten „Facebook-Insights“. Über diese Funktion können Betreiber von Facebook-Fanpages statistische Informationen über ihre Besucher abfragen – vergleichbar mit den Besucherstatistiken auf der eigenen Webseite. Um diese Statistiken anzubieten, sammelt Facebook jedoch zahlreiche personenbezogene Daten von allen Fanpage-Besuchern, unabhängig davon, ob diese selbst Facebook-Mitglied sind. Zudem nutzt Facebook die so erhobenen Daten zu eigenen Werbezwecken.

Das Unabhängige Landeszentrum für Datenschutz (ULD), die Datenschutzbehörde von Schleswig-Holstein, untersagte schließlich einem Unternehmen den Betrieb seiner Facebook-Fanpage mit der Begründung, Besucher würden nicht über die Datenerhebung aufgeklärt. Das Unternehmen wiederum argumentierte, es habe keinerlei Einfluss auf die Datenerhebung und könne daher nicht in Verantwortung genommen werden.

Das sah der EuGH aber anders: Nach seiner Auffassung sind Fanpage-Betreiber und Facebook gemeinsam verantwortlich. Diese Einschätzung ist rechtlich folgenreich. „Gemeinsam Verantwortliche“ müssen gemäß Art. 26 DSGVO eine schriftliche Vereinbarung schließen, um die jeweiligen Verantwortungsbereiche festzulegen. Darüber hinaus treffen beide Verantwortliche die Pflichten aus der DSGVO, allem voran die Betroffenenrechte auf Auskunft, Berichtigung oder Löschung.

In den folgenden Monaten besserte Facebook zwar nach; die Datenerhebung wurde minimal beschränkt und Facebook veröffentlichte eine Art. 26 DSGVO entsprechende Insights-Vereinbarung (konkret: „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“), der alle Fanpage-Betreiber automatisch zustimmen. Nach Auffassung der Datenschutzkonferenz, dem Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden, reicht das jedoch nicht aus.

Wie können Fanpages also zum aktuellen Zeitpunkt trotzdem betrieben werden? Streng genommen ist aufgrund der bisherigen weitestgehenden Untätigkeit von Facebook ein datenschutzkonformer Betrieb von Fanpages nicht möglich. Gleichwohl lassen sich zumindest einige Vorkehrungen treffen, um etwaige rechtliche Risiken zu minimieren.

Zunächst empfiehlt es sich, die Datenerhebung durch Facebook-Insights als eigenständigen Punkt in die Datenschutzerklärung auf der eigenen Webseite aufzunehmen. Darin enthalten sein sollten Hinweise auf die Art der Datenerhebung sowie die „Facebook Ireland Ltd“ als primären Ansprechpartner bei Datenschutzanfragen. Für weitere Informationen kann dann auf die Insights-Vereinbarung verlinkt werden. Schließlich ist ein Link zu dieser Datenschutzerklärung auf der Facebook-Fanpage zu platzieren. Als geeigneter Ort bietet sich der „Info“-Reiter an.

Darüber hinaus müssen sich Fanpage-Betreiber im Klaren sein, dass Nutzer z.B. Auskunftsrechte gegen sie geltend machen können. Die Auskunft müssen sie natürlich nicht selbst erteilen. Allerdings sind Fanpage-Betreiber nach der Insights-Vereinbarung dazu verpflichtet, jegliche Anfragen von Nutzern und Aufsichtsbehörden binnen 7 Tagen an Facebook weiterzuleiten.

Cookie-Banner

Das zweite Urteil des EuGH erging erst kürzlich (01.10.2019, Az. C-673/17) und hatte die Erteilung von Einwilligungen im Internet zum Gegenstand. In dem zugrundeliegenden Fall veranstaltete ein Webseitenbetreiber ein Gewinnspiel. Eine Voraussetzung der Teilnahme war die Einwilligung in die Platzierung von Cookies. Diese Einwilligung wurde durch eine Checkbox eingeholt. Der Clou an der Sache: Die Checkbox war bereits standardmäßig vorausgefüllt, potentielle Gewinnspielteilnehmer mussten das Häkchen also nicht mehr selbst setzen. Die große Frage war nun, ob das den datenschutzrechtlichen Anforderungen an eine Einwilligung genügt.

Die Antwort des EuGH war ein klares „Nein“. Gemäß Art. 4 Nr. 11 DSGVO ist eine Einwilligung eine „unmissverständlich abgegebene Willensbekundung in Form einer Erklärung“. Dem entnimmt das Gericht, dass nur eine aktive Handlung und kein bloß passives Verhalten zu einer wirksamen Einwilligung führen kann. Zwar kann das auch durch die bewusste Entscheidung des Nutzers, das Häkchen nicht zu entfernen erfolgen. Jedoch ist diese Form der Willensbekundung nach außen überhaupt nicht festzustellen und damit nicht wie gefordert „unmissverständlich“. Dieser Vorgang spielt sich allein im Kopf des Handelnden ab, Außenstehende und insbesondere der Webseitenbetreiber können nicht wissen, ob die Checkbox absichtlich nicht abgewählt oder einfach übersehen oder vergessen wurde.

Die eingangs erwähnten Cookie-Banner wurde in dem Urteil zwar nicht explizit angesprochen, sind aber durch die Entscheidung hinsichtlich der Wirksamkeit von Einwilligungen stark betroffen. Denn aktuell werden Cookie-Banner primär als eine Art Hinweis-Schild verstanden. Ein bloßer Hinweis auf die Erhebung personenbezogener Daten mittels Cookies reicht jedoch nicht aus. Erforderlich ist eine Einwilligung der Webseitenbesucher. Die wiederum erfordert, wie dem EuGH-Urteil zu entnehmen ist, eine aktive und unmissverständliche Willensbekundung.

Die praktische Umsetzung von mit der EuGH-Entscheidung konformen Cookie-Bannern ist im Grunde gar nicht so schwer: Neben dem Hinweis auf die Datenerhebung muss dem Webseitenbesucher die Möglichkeit gegeben werden, der Datenerhebung zuzustimmen oder zu widersprechen. Das erfolgt am einfachsten über zwei entsprechende Buttons innerhalb des Cookie-Banners. Wichtig: bevor der Nutzer sein Einverständnis erklärt hat, darf keine Datenerhebung stattfinden! Das kann mitunter Probleme bereiten, da einige (Tracking-) Programme keine derartigen technischen Einstellungen ermöglichen. Erfahrungsgemäß ist in naher Zukunft jedoch mit einer Anpassung, jedenfalls seitens der großen Anbieter wie Google zu rechnen.

Diese Form der Einwilligung ist übrigens nicht für solche Datenerhebungen bzw. Cookies erforderlich, die lediglich die Funktionsfähigkeit der Webseite ermöglichen. Denn anderenfalls würde der Aufruf der Webseite überhaupt nicht funktionieren. Hingegen erfordern Tracking-Programme, eingebundene Dritt-Software und ähnliche zusätzliche Datensammler zwingend die Einwilligung der Webseitenbesucher.

Fazit

Das alles hört sich zunächst nach großen Änderungen und einer Menge Arbeit an. Die meisten Unternehmen mit Webseiten und Facebook-Fanpage werden allerdings sowieso bereits über die nötige Infrastruktur verfügen, um die Anforderungen des EuGH und der DSGVO unkompliziert umsetzen zu können.

Auf keinen Fall sollte die Umsetzung verschleppt werden. Erst im September 2019 hat das Bundesverwaltungsgericht entschieden (BVerwG, Urteil vom 11.09.2019, Az. 6 C 15.18), dass Datenschutzbehörden den Betrieb gewerblicher Fanpages bei schwerwiegenden Datenschutzverstößen untersagen können. Davon betroffene Unternehmen müssen ihre Fanpage dann bis zur Behebung der Mängel deaktivieren. Und auch beim Thema Cookie-Banner kommt vonseiten des Gesetzgebers Bewegung in die Sache: Noch vor Ende des Jahres will das Wirtschaftsministerium Änderungen am Telemediengesetz vorschlagen, um Online-Tracking stärker zu regulieren. Es ist daher empfehlenswert, auch weiterhin am Ball zu bleiben und sich über aktuelle Entwicklungen auf dem Laufenden zu halten.

Quelle: Pressemeldung – BDO Legal Rechtsanwaltsgesellschaft mbH
Render-Time: 0.156281