Der Europäische Gerichtshof hat entschieden, dass Betreiber einer Website, die ein Social Plugin einbinden, für das Erheben und die Übermittlung der Daten über das Plugin mitverantwortlich sind (Urt. v. 29.7.2019 – C-40/17 – Fashion ID). Das OLG Düsseldorf hatte 2017 ein entsprechendes Verfahren ausgesetzt und dem EuGH mehrere Frage zur Vorabentscheidung vorgelegt.
Der Sachverhalt
Der Online-Shop Fashion ID hatte 2015 auf seiner Website den „Gefällt mir“-Button von Facebook eingebunden. Durch den „Gefällt mir“-Button können Nutzer den Inhalt einer Website mit ihrem Facebook-Profil verknüpfen und so kundtun, dass ihnen der verlinkte Inhalt gefällt. Die Einbindung des Buttons erfolgt dabei über einige HTML-Codezeilen, durch welche der eigentliche Programmcode direkt von den Servern des Anbieters geladen wird. Beim Aufrufen der entsprechenden Seite werden aufgrund dieser Einbindung personenbezogene Daten eines Besuchers an Facebook Ireland übermittelt, unabhängig davon, ob der Besucher Mitglied bei Facebook ist oder den Button angeklickt hat. Ist der Nutzer bei Facebook eingeloggt, kann der Besuch der Website direkt dem Profil zugeordnet werden.
Die Verbraucherzentrale NRW warf der Beklagten daher vor, personenbezogene Daten der Besucher ihrer Website ohne deren Einwilligung und unter Verstoß gegen die Informationspflichten nach den Vorschriften über den Schutz personenbezogener Daten an Facebook Ireland übermittelt zu haben.
Das LG Düsseldorf hatte in erster Instanz den Like-Button für rechtswidrig erklärt. Gegen dieses Urteil hatte die Beklagte Berufung eingelegt. Das OLG Düsseldorf setzte das Berufungsverfahren aus und legte dem EuGH mehrere Fragen zur Vorabentscheidung vor.
Verbraucherschutzverbände können Verstöße ahnden
Die erste Vorlagefrage betraf die Frage, ob neben den Datenschutzbehörden und den Betroffenen auch Verbraucherverbände befugt sind, im Falle von Verletzungen gegen den Verletzer vorzugehen. Hier stellte der EuGH klar, dass die Datenschutzrichtline 95/46 keine umfassende Harmonisierung der gerichtlichen Rechtsbehelfe vorsehe.
Da die seit 2018 geltende DSGVO aber eine ausdrückliche Möglichkeit für Verbände vorsieht, im Falle von Datenschutzverstößen gegen den mutmaßlichen Verletzer vorzugehen (Art. 80 Abs. 2 DSGVO), hat diese Vorlagefrage keine praktische Relevanz mehr.
Gemeinsame Verantwortlichkeit
Mit seiner zweiten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob der Betreiber einer Website (hier Fashion ID), der ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, als für die Verarbeitung Verantwortlicher angesehen werden kann, obwohl dieser Betreiber keinen Einfluss auf die Verarbeitung der auf diese Weise an den Anbieter übermittelten Daten hat.
Der EuGH stellte zunächst klar, dass das Ziel der weiten Definition des „für die Verarbeitung Verantwortlichen“ die Gewährleistung eines wirksamen und umfassenden Schutzes der betroffenen Person sei. Dieser Begriff könne mehrere Personen erfassen.
Zudem verweist der Begriff des „für die Verarbeitung Verantwortlichen“, da er sich, wie Art. 2 Buchst. d der Richtlinie 95/46 ausdrücklich vorsieht, auf die Stelle bezieht, die „allein oder gemeinsam mit anderen“ über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, nicht zwingend auf eine einzige Stelle und kann mehrere an dieser Verarbeitung beteiligte Akteure betreffen, wobei dann jeder von ihnen den Datenschutzvorschriften unterliegt.
Verantwortlichkeit des Einbindenden
Eine solche gemeinsame Verantwortlichkeit für dieselbe Verarbeitung setze jedoch nicht voraus, dass jeder Akteur zwangsläufig Zugang zu den betreffenden personenbezogenen Daten habe. Dies hatte der EuGH bereits in einem anderen Verfahren entschieden (Urt. v. 10.7.2018 – C‑25/17- Jehovan todistajat), in welchem eine Organisation, Koordination und Ermunterung zur Datenerhebung für eine Verantwortlichkeit genügte, ohne dass Zugang zu sämtlichen erhobenen Daten bestand.
Bereits im Rahmen seines Fanpage-Urteils stellte der EuGH klar, dass eine gemeinsame Verantwortlichkeit aber nicht zwingend eine gleichwertige Verantwortlichkeit bedeute (Urt. v. 5.6.2018 – C-210/16 – Wirtschaftsakademie Schleswig-Holstein). Dieser Linie bleibt der EuGH treu und entschied nun:
Da jedoch das Ziel von Art. 2 Buchst. d der Richtlinie 95/46 darin besteht, durch eine weite Definition des Begriffs des „Verantwortlichen“ einen wirksamen und umfassenden Schutz der betroffenen Personen zu gewährleisten, hat das Bestehen einer gemeinsamen Verantwortlichkeit nicht zwangsläufig eine gleichwertige Verantwortlichkeit der verschiedenen Akteure für dieselbe Verarbeitung personenbezogener Daten zur Folge. Vielmehr können diese Akteure in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß einbezogen sein, so dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist.
Aus dieser Definition gehe hervor, dass eine Verarbeitung personenbezogener Daten aus einem oder mehreren Vorgängen bestehen kann, von denen jeder eine der verschiedenen Phasen betrifft, die eine Verarbeitung personenbezogener Daten umfassen kann.
Fashion ID für Erhebung und Weitergabe verantwortlich
Unter Berücksichtigung dieser Informationen stellten die Luxemburger Richter fest, dass die Vorgänge der Verarbeitung personenbezogener Daten, für die Fashion ID gemeinsam mit Facebook Ireland über die Zwecke und Mittel entscheiden kann, sowohl das Erheben der personenbezogenen Daten der Besucher als auch deren Weitergabe durch Übermittlung sei.
Die Beklagte sei daher für die Vorgänge des Erhebens personenbezogener Daten und deren Weitergabe durch Übermittlung gemeinsam mit Facebook Ireland verantwortlich i.S.v. Art. 2 Buchst. b RL 95/46/EG. Die Verantwortlichkeit sei jedoch auf die Vorgänge der Datenverarbeitung beschränkt, die für die sie tatsächlich über die Zwecke und Mittel entscheide, vorliegend also die Erhebung und die Weitergabe der entsprechenden Daten.
Der EuGH folgt damit der Meinung des Generalanwaltes Bobek (Schlussanträge 19.12.2018).
Berechtigtes Interesse des Websitebetreibers oder Plugin-Anbieters?
In einer weiteren Vorlagefrage ging es darum, auf wessen berechtigtes Interesse es nach Art. 7 Buchst. f RL 95/46/EG ankomme – auf das des Websitebetreibers oder das des Anbieters des Plugins.
Da angesichts der Antwort auf die zweite Frage in einer Situation wie der im Ausgangsverfahren in Rede stehenden der Betreiber einer Website, der in diese Website ein Social Plugin einbindet, […], gemeinsam mit diesem Anbieter [des Social Plugins] als für die Vorgänge der Verarbeitung – d. h. das Erheben und die Weitergabe durch Übermittlung – von personenbezogenen Daten der Besucher seiner Website Verantwortlicher angesehen werden kann, ist es erforderlich, dass jeder dieser Verantwortlichen mit diesen Verarbeitungsvorgängen ein berechtigtes Interesse im Sinne von Art. 7 Buchst. f der Richtlinie 95/46 wahrnimmt, damit diese Vorgänge für jeden Einzelnen von ihnen gerechtfertigt sind.
Art. 7 Buchst. f RL 95/46/EG enthielt Voraussetzungen für die Zulässigkeit der Verarbeitung personenbezogener Daten aufgrund eines berechtigten Interesses. Auch wenn diese Norm nicht mehr in Kraft ist, so ist der Wortlaut doch mit Art. 6 Abs. 1 Buchst. f DSGVO vergleichbar, welcher die Zulässigkeit der Datenverarbeitung aufgrund eines berechtigten Interesses regelt, sodass die Ausführungen des EuGH hier weiterhin Relevanz haben.
Wer muss die Einwilligung einholen und informieren?
Mit seinen letzten beiden Fragen wollte das OLG Düsseldorf beantwortet wissen, ob die nach Art. 7 Buchst. a und Art. 2 Buchst. h RL 95/46/EG zu erklärende Einwilligung dem Websitebetreiber oder dem Plugin-Anbieter gegenüber abzugeben ist und ob die Informationspflichten nach Art. 10 RL 95/46/EG auch den Websitebetreiber treffen.
Hinsichtlich der einzuholenden Einwilligung entschieden die Richter:
Was die Einwilligung […] betrifft, so muss diese vor dem Erheben der Daten der betroffenen Person und deren Weitergabe durch Übermittlung erklärt werden. Daher obliegt es dem Betreiber der Website und nicht dem Anbieter des Social Plugins, diese Einwilligung einzuholen, da der Verarbeitungsprozess der personenbezogenen Daten dadurch ausgelöst wird, dass ein Besucher diese Website aufruft. […] Die Einwilligung, die dem Betreiber gegenüber zu erklären ist, betrifft jedoch nur den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten, für den bzw. für die er tatsächlich über die Zwecke und Mittel entscheidet.
Dagegen würden sich diese Verpflichtungen nicht auf Vorgänge der Verarbeitung personenbezogener Daten erstrecken, die andere, diesen Vorgängen vor- oder nachgelagerte Phasen betreffen, die die Verarbeitung der in Rede stehenden personenbezogenen Daten gegebenenfalls mit sich bringt.
Dies gelte auch für die zu erfüllenden Informationspflichten:
Daraus folgt, dass in einer Situation wie der im Ausgangsverfahren in Rede stehenden auch die Informationspflicht gemäß Art. 10 der Richtlinie 95/46 den Betreiber der Website trifft, wobei dieser die betroffene Person jedoch nur in Bezug auf den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten informieren muss, für den bzw. für die dieser Betreiber tatsächlich über die Zwecke und Mittel entscheidet.
Relevanz für DSGVO?
Die Entscheidung des EuGH erging noch zur Datenschutzrichtlinie 95/46/EG. Diese ist zwar mit Inkrafttreten der DSGVO am 25.5.2018 außer Kraft getreten. Dennoch hat die Entscheidung Bedeutung für die aktuelle Rechtslage.
Die Definition des „für die Verarbeitung Verantwortlichen” findet sich nun in Art. 4 Nr. 7 DSGVO und unterscheidet sich nur unwesentlich von der aus Art. 2 Buchst. d der Richtlinie 95/46. Auch die Datenverarbeitung auf Grundlage einer Einwilligung oder eines berechtigten Interesses bestehen unter der DSGVO in ähnlichem Wortlaut weiter.
Fazit für Shopbetreiber
Vor einigen Jahren waren Social Plugins wie der „Gefällt mir“-Button von Facebook noch in fast jedem Online-Shop zu finden. Seit den ersten Abmahnungen 2015 sind diese auf deutschen Webseiten immer seltener geworden. Auch wir empfehlen rechtssichere Alternativen wie z.B. Shariff oder reine Verlinkungen, um der oben dargestellten Problematik der Datenverarbeitung auf der eigenen Seite zu entgehen. Die Shariff-Lösung wird z.B. hier im Blog eingesetzt.