Der EuGH hat gestern entschieden, dass Websitebetreiber bei Einsatz von Social-Plugins neben den Anbietern für die Erhebung und Übermittlung personenbezogener Daten der Nutzer gemeinsam verantwortlich sind.
Der Inhalt im Überblick
- Ausgangssituation des Rechtsstreits
- Vorlagefragen & Antworten des EuGHs
- 1. Frage: Können gemeinnützige Verbände zur Wahrung der Interessen der Verbraucher gegen Verursacher von Datenschutzverletzung vorgehen?
- 2. Frage: Wird ein Websitebetreiber durch Einbindung des Like-Buttons datenschutzrechtlich Verantwortlicher?
- 3. Frage: Falls die vorherige Frage zu verneinen ist (also keine gemeinsame Verantwortlichkeit vorliegt), ist die Haftung des Verantwortlichen abschließend oder kann der Websitebetreiber dennoch neben dem Verantwortlichen haften?
- 4. Frage: Auf wessen „berechtigte Interessen“ ist bei einer Interessenabwägung abzustellen?
- 5. & 6. Frage: Wem gegenüber muss die Einwilligung erklärt werden & Wer muss die Informationspflichten erfüllen?
- Bedeutung des Urteils für die aktuelle Rechtslage
- Konsequenzen für Websitebetreiber
Ausgangssituation des Rechtsstreits
Die Verbraucherzentrale erhob vor dem LG Düsseldorf Klage auf Unterlassung gegen einen Online-Händler (Fashion-ID), der einen Facebook-Like-Button (Social-Plugin) in seine Website eingebunden hatte.
Der Hintergrund war, dass durch Einbindung des Facebook-Like-Buttons in der Regel bei Aufruf der Website die dynamische IP-Adresse des Routers des Websitebesuchers, die aufgerufenen Inhalte der Website des Beklagten sowie browserspezifische Informationen direkt von Facebook gesammelt wurden. Der Beklagte übermittelte hingegen keine bei ihm gespeicherten Daten an Facebook. Der Vorwurf bestand darin, dass der Online-Händler die Datenübertragung vom Nutzergerät an Facebook durch die Einbindung des Facebook-Plugin-Codes in den HTML-Code seiner Website überhaupt erst ermöglichte. In der Folge konnte Facebook Cookies auf dem Nutzerendgerät setzen und hierüber zumindest bei registrierten und eingeloggten Mitgliedern personenbezogene Nutzerprofile bilden.
Im Rahmen des Verfahrens hatte das LG Düsseldorf erstinstanzlich über die datenschutzrechtliche Verantwortlichkeit des Beklagten zu entscheiden.
Vorlagefragen & Antworten des EuGHs
Im Unterschied zum Facebook Fanpage-Urteil wurde dem EuGH nicht nur die Grundsatzfrage des „ob“ einer gemeinsamen Verantwortlichkeit des Betreibers und Facebook vorlegt, sondern zudem Fragen zu den Konsequenzen einer gemeinsamen Verantwortlichkeit. Zu beachten ist, dass sich die Vorlagefragen noch auf die alte Rechtslage nach der DS-RL vor der DSGVO beziehen. Trotzdem sind die Antworten des Gerichts weitgehend auf die neue Rechtslage übertragbar, weil die Definition der gemeinsamen Verantwortlichkeit unverändert geblieben ist.
Es wurden folgende Vorlagefragen gestellt:
1. Frage: Können gemeinnützige Verbände zur Wahrung der Interessen der Verbraucher gegen Verursacher von Datenschutzverletzung vorgehen?
Die Frage hat keine praktische Relevanz mehr, da Art. 80 Abs. 2 DSGVO den Mitgliedstaaten die Schaffung einer Möglichkeit zur Verbandsklage in Datenschutzsachen erlaubt.
2. Frage: Wird ein Websitebetreiber durch Einbindung des Like-Buttons datenschutzrechtlich Verantwortlicher?
Der EuGH bejaht eine gemeinsame Verantwortlichkeit bei der Einbindung von Facebook-Like-Button zwischen Websitebetreiber und Facebook, da erst die Einbindung des Social-Plugin auf der Website den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln,
Der EuGH führt hierzu aus,
- dass es ausreicht, wenn ein Beteiligter aus Eigeninteresse auf die Verarbeitung personenbezogener Daten Einfluss nimmt (siehe hierzu auch das Urteil vom 10. Juli 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551‚ Rn. 68)
- dass es nicht zwingend notwendig ist, dass jeder der gemeinsam Verantwortlichen Zugang zu den betreffenden personenbezogenen Daten hat (vgl. in diesem Sinne Urteile vom 5. Juni 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, Rn. 38, und vom 10. Juli 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, Rn. 69)
Der Begriff des Verantwortlichen soll nämlich durch seine weite Definition einen wirksamen und umfassenden Schutz der betroffenen Personen gewährleisten.
Eine gemeinsame Verantwortlichkeit bedarf daher nicht zwangsläufig eine gleichwertige Verantwortlichkeit. Vielmehr können die Verantwortlichen in verschiedenen Phasen und in unterschiedlichem Ausmaß einbezogen sein. Es kommt daher bei der Beurteilung des Grades der Verantwortlichkeit auf die Umstände des Einzelfalls an.
Jedoch beschränkt sich die Verantwortlichkeit auf den Vorgang oder die Vorgänge der Datenverarbeitung, für den bzw. für die der gemeinsam Verantwortliche tatsächlich über die Zwecke und Mittel entscheidet, d.h. im vorliegenden Fall die Erhebung und die Weitergabe durch Übermittlung.
Für vor- oder nachgelagerte Vorgänge in der Verarbeitungskette, d.h. die Datenspeicherung durch Facebook und den Einsatz von Cookies, für die ein Beteiligter weder die Zwecke noch die Mittel festlegt, kann er jedoch nicht als verantwortlich angesehen werden.
3. Frage: Falls die vorherige Frage zu verneinen ist (also keine gemeinsame Verantwortlichkeit vorliegt), ist die Haftung des Verantwortlichen abschließend oder kann der Websitebetreiber dennoch neben dem Verantwortlichen haften?
Hier wird auf die zweite Vorlagefrage verwiesen. Durch Bejahung der gemeinsamen Verantwortlichkeit musste diese nicht beantwortet werden.
4. Frage: Auf wessen „berechtigte Interessen“ ist bei einer Interessenabwägung abzustellen?
Der EuGH weist darauf hin, dass angesichts des Einwilligungserfordernisses nach Art. 5 Abs. 3 der Richtlinie 2002/58 („Cookie Richtlinie“) die Verarbeitung ggf. nicht auf das berechtigte Interesse gestützt werden kann. Lässt die Frage aber für das Landgericht offen.
Nach Ansicht des EuGH ist es dabei erforderlich, dass sowohl der Websitebetreiber als auch der Anbieter des Social Plugins mit diesen Verarbeitungsvorgängen jeweils ein berechtigtes Interesse wahrnehmen, damit diese Vorgänge für jeden Einzelnen von ihnen gerechtfertigt sind.
5. & 6. Frage: Wem gegenüber muss die Einwilligung erklärt werden & Wer muss die Informationspflichten erfüllen?
Laut EuGH sind sowohl eine erforderliche Einwilligung für die Verarbeitung durch das Social-Plugin durch den Websitebetreiber einzuholen als auch die Informationspflichten von ihm zu erfüllen. Jedoch nur in Bezug auf den Vorgang oder die Vorgänge, für den bzw. für die dieser tatsächlich über die Zwecke und Mittel der Verarbeitung entscheidet, d.h. hier die Erhebung und Übermittlung der Daten an Facebook.
Die Einwilligung muss zudem vor dem Erheben der Daten der betroffenen Person und deren Weitergabe durch Übermittlung erklärt werden. Daher obliegt es dem Betreiber der Website und nicht dem Anbieter des Social Plugins, diese Einwilligung einzuholen, da der Verarbeitungsprozess der personenbezogenen Daten dadurch ausgelöst wird, dass ein Besucher diese Website aufruft. Das Gleiche gilt für die Informationspflicht.
Bedeutung des Urteils für die aktuelle Rechtslage
Der EuGH bestätigt seine Ansicht, wonach es für eine gemeinsame Verantwortlichkeit unbeachtlich ist, dass der Online-Händler zu keinem Zeitpunkt Zugriff auf die vom Nutzer direkt an Facebook übertragenen Daten hatte. Neu ist die Einschränkung, dass der Websitebetreiber nicht für die über die Erhebung und Übermittlung hinausgehende Datenspeicherung und -nutzung, wie das Setzen von Cookies durch Facebook, verantwortlich sei.
Der EuGH scheint sich damit einerseits gegen eine ausufernde gemeinsame Verantwortlichkeit auszusprechen, indem er die gemeinsame Verantwortlichkeit auf die durch den Websitebetreiber veranlasste Datenverarbeitung beschränkt, andererseits bleibt unklar, wie dieser z.B. Auskunfts-, Berichtigungs- und Löschungsansprüche umsetzen soll, wenn er keinen Zugriff auf die durch den Social-Plugin übertragenen Daten hat.
Konsequenzen für Websitebetreiber
Nicht nur der „Gefällt Mir“-Button, sondern generell alle eingebundenen Dienste von Drittanbietern müssen auf eine gemeinsame Verantwortlichkeit hin geprüft werden. Dabei stößt man auf die erste Schwierigkeit, dass die meisten Anbieter ihren Kunden noch keine Vereinbarungen zur gemeinsamen Verantwortlichkeit gem. Art. 26 DSGVO anbieten werden.
Zudem müssen alle Arten von Social-Plugins wohl von einer Cookie Consent Platform erfasst werden, um die Einwilligung für die weitere Verarbeitung durch deren Anbieter einzuholen. Solange das nicht der Fall ist, sollte zumindest beim Facebook „Gefällt Mir“-Button die Shariff-Lösung von Heise eingesetzt werden.
Die EuGH-Entscheidung lässt den Ratsuchenden letztendlich mit vielen Fragen der praktischen Umsetzung zurück. Es wird sich in der Praxis zeigen müssen, wie die Anforderungen an die Websitebetreiber und Anbieter von Social-Plugins umsetzen lassen.