EuGH: Webseitenbetreiber mitverantwortlich für Datenerhebung bei „Gefällt mir“-Button

Der Europäische Gerichtshof hat entschieden, dass Betreiber einer Website, die ein Social Plugin einbinden, für das Erheben und die Übermittlung der Daten über das Plugin mitverantwortlich sind (Urt. v. 29.7.2019 – C-40/17 – Fashion ID). Das OLG Düsseldorf hatte 2017 ein entsprechendes Verfahren ausgesetzt und dem EuGH mehrere Frage zur Vorabentscheidung vorgelegt.

Der Sachverhalt

Der Online-Shop
Fashion ID hatte 2015 auf seiner Website den „Gefällt mir“-Button von Facebook eingebunden.
Durch den „Gefällt mir“-Button können Nutzer den Inhalt einer Website mit ihrem
Facebook-Profil verknüpfen und so kundtun, dass ihnen der verlinkte Inhalt
gefällt. Die Einbindung des Buttons erfolgt dabei über einige HTML-Codezeilen,
durch welche der eigentliche Programmcode direkt von den Servern des Anbieters
geladen wird. Beim Aufrufen der entsprechenden Seite werden aufgrund dieser
Einbindung personenbezogene Daten eines Besuchers an Facebook Ireland
übermittelt, unabhängig davon, ob der Besucher Mitglied bei Facebook ist oder
den Button angeklickt hat. Ist der Nutzer bei Facebook eingeloggt, kann der
Besuch der Website direkt dem Profil zugeordnet werden.

Die
Verbraucherzentrale NRW warf der Beklagten daher vor, personenbezogene Daten der
Besucher ihrer Website ohne deren Einwilligung und unter Verstoß gegen die
Informationspflichten nach den Vorschriften über den Schutz personenbezogener
Daten an Facebook Ireland übermittelt zu haben.

Das LG Düsseldorf hatte in erster Instanz den Like-Button für rechtswidrig erklärt. Gegen dieses Urteil hatte die Beklagte Berufung eingelegt. Das OLG Düsseldorf setzte das Berufungsverfahren aus und legte dem EuGH mehrere Fragen zur Vorabentscheidung vor.

Verbraucherschutzverbände können Verstöße ahnden

Die erste
Vorlagefrage betraf die Frage, ob neben den Datenschutzbehörden und den
Betroffenen auch Verbraucherverbände befugt sind, im Falle von Verletzungen
gegen den Verletzer vorzugehen. Hier stellte der EuGH klar, dass die
Datenschutzrichtline 95/46 keine umfassende Harmonisierung der gerichtlichen
Rechtsbehelfe vorsehe.

Da die seit
2018 geltende DSGVO aber eine ausdrückliche Möglichkeit für Verbände vorsieht,
im Falle von Datenschutzverstößen gegen den mutmaßlichen Verletzer vorzugehen
(Art. 80 Abs. 2 DSGVO), hat diese Vorlagefrage keine praktische Relevanz mehr.

Gemeinsame Verantwortlichkeit

Mit seiner
zweiten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob der
Betreiber einer Website (hier Fashion ID), der ein Social Plugin einbindet, das
den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters
dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an
diesen Anbieter zu übermitteln, als für die Verarbeitung Verantwortlicher
angesehen werden kann, obwohl dieser Betreiber keinen Einfluss auf die
Verarbeitung der auf diese Weise an den Anbieter übermittelten Daten hat.

Der EuGH
stellte zunächst klar, dass das Ziel der weiten Definition des „für die
Verarbeitung Verantwortlichen“ die Gewährleistung eines wirksamen und
umfassenden Schutzes der betroffenen Person sei. Dieser Begriff könne mehrere
Personen erfassen.

Zudem verweist der Begriff des „für die Verarbeitung Verantwortlichen“, da er sich, wie Art. 2 Buchst. d der Richtlinie 95/46 ausdrücklich vorsieht, auf die Stelle bezieht, die „allein oder gemeinsam mit anderen“ über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, nicht zwingend auf eine einzige Stelle und kann mehrere an dieser Verarbeitung beteiligte Akteure betreffen, wobei dann jeder von ihnen den Datenschutzvorschriften unterliegt.

Verantwortlichkeit des Einbindenden

Eine solche gemeinsame Verantwortlichkeit für dieselbe Verarbeitung setze jedoch nicht voraus, dass jeder Akteur zwangsläufig Zugang zu den betreffenden personenbezogenen Daten habe. Dies hatte der EuGH bereits in einem anderen Verfahren entschieden (Urt. v. 10.7.2018 – C‑25/17- Jehovan todistajat), in welchem eine Organisation, Koordination und Ermunterung zur Datenerhebung für eine Verantwortlichkeit genügte, ohne dass Zugang zu sämtlichen erhobenen Daten bestand.

Bereits im Rahmen seines Fanpage-Urteils stellte der EuGH klar, dass eine gemeinsame Verantwortlichkeit aber nicht zwingend eine gleichwertige Verantwortlichkeit bedeute (Urt. v. 5.6.2018 – C-210/16 – Wirtschaftsakademie Schleswig-Holstein). Dieser Linie bleibt der EuGH treu und entschied nun:

Da jedoch das Ziel von Art. 2 Buchst. d der Richtlinie 95/46 darin besteht, durch eine weite Definition des Begriffs des „Verantwortlichen“ einen wirksamen und umfassenden Schutz der betroffenen Personen zu gewährleisten, hat das Bestehen einer gemeinsamen Verantwortlichkeit nicht zwangsläufig eine gleichwertige Verantwortlichkeit der verschiedenen Akteure für dieselbe Verarbeitung personenbezogener Daten zur Folge. Vielmehr können diese Akteure in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß einbezogen sein, so dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist.

Aus dieser
Definition gehe hervor, dass eine Verarbeitung personenbezogener Daten aus
einem oder mehreren Vorgängen bestehen kann, von denen jeder eine der
verschiedenen Phasen betrifft, die eine Verarbeitung personenbezogener Daten
umfassen kann.

Fashion ID für Erhebung und Weitergabe verantwortlich

Unter Berücksichtigung
dieser Informationen stellten die Luxemburger Richter fest, dass die Vorgänge
der Verarbeitung personenbezogener Daten, für die Fashion ID gemeinsam mit
Facebook Ireland über die Zwecke und Mittel entscheiden kann, sowohl das
Erheben der personenbezogenen Daten der Besucher als auch deren Weitergabe
durch Übermittlung sei.

Die Beklagte
sei daher für die Vorgänge des Erhebens personenbezogener Daten und deren
Weitergabe durch Übermittlung gemeinsam mit Facebook Ireland verantwortlich
i.S.v. Art. 2 Buchst. b RL 95/46/EG. Die Verantwortlichkeit sei jedoch auf die
Vorgänge der Datenverarbeitung beschränkt, die für die sie tatsächlich über die
Zwecke und Mittel entscheide, vorliegend also die Erhebung und die Weitergabe
der entsprechenden Daten.

Der EuGH folgt
damit der Meinung des Generalanwaltes Bobek (Schlussanträge 19.12.2018).

Berechtigtes Interesse des Websitebetreibers oder Plugin-Anbieters?

In einer
weiteren Vorlagefrage ging es darum, auf wessen berechtigtes Interesse es nach
Art. 7 Buchst. f RL 95/46/EG ankomme – auf das des Websitebetreibers oder das
des Anbieters des Plugins.

Da angesichts der Antwort auf die zweite Frage in einer Situation wie der im Ausgangsverfahren in Rede stehenden der Betreiber einer Website, der in diese Website ein Social Plugin einbindet, […], gemeinsam mit diesem Anbieter [des Social Plugins] als für die Vorgänge der Verarbeitung – d. h. das Erheben und die Weitergabe durch Übermittlung – von personenbezogenen Daten der Besucher seiner Website Verantwortlicher angesehen werden kann, ist es erforderlich, dass jeder dieser Verantwortlichen mit diesen Verarbeitungsvorgängen ein berechtigtes Interesse im Sinne von Art. 7 Buchst. f der Richtlinie 95/46 wahrnimmt, damit diese Vorgänge für jeden Einzelnen von ihnen gerechtfertigt sind.

Art. 7 Buchst. f RL 95/46/EG enthielt Voraussetzungen für die Zulässigkeit der Verarbeitung personenbezogener Daten aufgrund eines berechtigten Interesses. Auch wenn diese Norm nicht mehr in Kraft ist, so ist der Wortlaut doch mit Art. 6 Abs. 1 Buchst. f DSGVO vergleichbar, welcher die Zulässigkeit der Datenverarbeitung aufgrund eines berechtigten Interesses regelt, sodass die Ausführungen des EuGH hier weiterhin Relevanz haben.

Wer muss die Einwilligung einholen und informieren?

Mit seinen
letzten beiden Fragen wollte das OLG Düsseldorf beantwortet wissen, ob die nach
Art. 7 Buchst. a und Art. 2 Buchst. h RL 95/46/EG zu erklärende Einwilligung
dem Websitebetreiber oder dem Plugin-Anbieter gegenüber abzugeben ist und ob
die Informationspflichten nach Art. 10 RL 95/46/EG auch den Websitebetreiber
treffen.

Hinsichtlich
der einzuholenden Einwilligung entschieden die Richter:

Was die Einwilligung […] betrifft, so muss diese vor dem Erheben der Daten der betroffenen Person und deren Weitergabe durch Übermittlung erklärt werden. Daher obliegt es dem Betreiber der Website und nicht dem Anbieter des Social Plugins, diese Einwilligung einzuholen, da der Verarbeitungsprozess der personenbezogenen Daten dadurch ausgelöst wird, dass ein Besucher diese Website aufruft. […] Die Einwilligung, die dem Betreiber gegenüber zu erklären ist, betrifft jedoch nur den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten, für den bzw. für die er tatsächlich über die Zwecke und Mittel entscheidet.

Dagegen würden
sich diese Verpflichtungen nicht auf Vorgänge der Verarbeitung
personenbezogener Daten erstrecken, die andere, diesen Vorgängen vor- oder
nachgelagerte Phasen betreffen, die die Verarbeitung der in Rede stehenden personenbezogenen
Daten gegebenenfalls mit sich bringt.

Dies gelte auch
für die zu erfüllenden Informationspflichten:

Daraus folgt, dass in einer Situation wie der im Ausgangsverfahren in Rede stehenden auch die Informationspflicht gemäß Art. 10 der Richtlinie 95/46 den Betreiber der Website trifft, wobei dieser die betroffene Person jedoch nur in Bezug auf den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten informieren muss, für den bzw. für die dieser Betreiber tatsächlich über die Zwecke und Mittel entscheidet.

Relevanz für DSGVO?

Die
Entscheidung des EuGH erging noch zur Datenschutzrichtlinie 95/46/EG. Diese ist
zwar mit Inkrafttreten der DSGVO am 25.5.2018 außer Kraft getreten. Dennoch hat
die Entscheidung Bedeutung für die aktuelle Rechtslage.

Die Definition des „für die Verarbeitung Verantwortlichen” findet sich nun in Art. 4 Nr. 7 DSGVO und unterscheidet sich nur unwesentlich von der aus Art. 2 Buchst. d der Richtlinie 95/46. Auch die Datenverarbeitung auf Grundlage einer Einwilligung oder eines berechtigten Interesses bestehen unter der DSGVO in ähnlichem Wortlaut weiter.

Fazit für Shopbetreiber

Vor einigen Jahren waren Social Plugins wie der „Gefällt mir“-Button von Facebook noch in fast jedem Online-Shop zu finden. Seit den ersten Abmahnungen 2015 sind diese auf deutschen Webseiten immer seltener geworden. Auch wir empfehlen rechtssichere Alternativen wie z.B. Shariff oder reine Verlinkungen, um der oben dargestellten Problematik der Datenverarbeitung auf der eigenen Seite zu entgehen. Die Shariff-Lösung wird z.B. hier im Blog eingesetzt.

Die Entscheidung des EuGH, eine Mitverantwortlichkeit anzunehmen, ist nicht überraschend. Für Online-Händler dürfte das Urteil aber auch eine Chance bergen, da diese Verantwortlichkeit nur Vorgänge betrifft, bei denen sie tatsächlich über die Zwecke und Mittel entscheiden. Dies gilt auch für die Einholung der Einwilligung und die Erfüllung der Informationspflichten, sodass das Urteil zu einer Erleichterung in der Formulierung von Einwilligungstexten bei einer komplexen und ggf. nicht abschließendend überschaubaren Datenverarbeitung durch Drittanbieter führen könnte.

Marian Weyo/Shutterstock.com