Die Verbraucherzentrale klagte gegen Mode-Versandhändler Fashion-ID und nun hat der EuGH die Hürden für die Nutzung von Social Plugins, wie dem Like-Button von Facebook, höher gesetzt.
Der EuGH hat mit Urteil vom 29.07.2019 (Az: C-40/17) die datenschutzrechtlichen Pflichten und Verantwortlichkeiten von Webseitenbetreibern konkretisiert. Das Urteil hat große praktische Relevanz für jede Webseite, die Drittinhalte, insbesondere Social-Media-Plugins wie den „Gefällt mir“-Button von Facebook verwendet und findet daher aktuell viel Beachtung.
Sachverhalt
Gegenstand der Entscheidung des EuGH war der Online-Shop Fashion ID, der wie viele andere Webseiten die Möglichkeit anbot, den Inhalt mittels eines sog. „Gefällt mir“-Buttons mit dem eigenen Facebook-Profil zu verlinken und zu teilen. Die Einbindung des Buttons wurde technisch so vorgenommen, dass bei Aufruf der Seite automatisch Nutzerdaten wie IP-Adresse und Browser-Informationen vom Browser direkt an Facebook Ireland übermittelt wurden. Dies geschah unabhängig davon, ob der jeweilige Nutzer den „Gefällt mir“-Button anklickt und selbst dann, wenn der Nutzer nicht einmal über ein Facebook-Konto verfügt. Ein ausdrücklicher Hinweis hierzu fehlte auf der Seite von Fashion ID ebenso wie die Möglichkeit, der Erhebung und Übermittlung der Nutzerdaten zu widersprechen.
Dieses Vorgehen hielt die Verbraucherzentrale NRW für rechtswidrig und klagte zunächst vor dem LG Düsseldorf gegen die Betreiber des Online-Shops Fashion ID. Das Gericht gab der Verbraucherzentrale recht und erklärte den „Gefällt mir“-Button in der beschriebenen Form für rechtswidrig. Das OLG Düsseldorf, welches sich in zweiter Instanz mit dem Fall befasste, sah die Rechtslage nicht ganz so eindeutig und setzte das Verfahren daher zunächst aus, um mehrere Vorfragen vom EuGH klären zu lassen.
Das Urteil des EuGH
Zunächst stellte der EuGH zur ersten Vorlagefrage des OLG Düsseldorf fest, dass Verbraucherschutzverbände wie die Verbraucherzentrale NRW in einem wie hier gelagerten Fall klagebefugt sind, um einen umfassenden Schutz von Verbraucherinteressen sicherzustellen. Dies ergibt sich heute bereits aus Art. 80 Abs. 2 DSGVO, das Urteil des EuGH bezog sich noch auf die inzwischen durch die DSGVO ersetzte Datenschutzrichtline 95/46, in der ein solches Klagerecht nicht ausdrücklich geregelt war.
Praktisch weit relevanter sind die Feststellungen des EuGH zur zweiten Vorlagefrage des OLG Düsseldorf, betreffend die (Mit-)Verantwortlichkeit von Webseitenbetreibern für die Erhebung und Verarbeitung personenbezogener Daten. Hierzu stellt der EuGH klar, dass der Betreiber einer Webseite neben dem Anbieter des Plugins auch dann als „für die Verarbeitung Verantwortlicher“ im Sinne des Art. 2 Buchst. d der Richtlinie 95/46 gilt, wenn er selbst keinen Einfluss auf den Vorgang der Datenerhebung und -übermittlung hat. Die Einbindung des Plugins in dem Wissen, dass hierdurch Nutzerdaten erhoben und an Dritte übermittelt werden, reiche für eine Verantwortlichkeit im datenschutzrechtlichen Sinne aus. Hiermit bestätigt der EuGH sein Urteil vom 05.06.2018 (Az: C 210/16 – Wirtschaftsakademie Schleswig-Holstein). Allerdings sei dieser Grundsatz insofern einzuschränken, als der jeweilige Beteiligte lediglich für diejenigen Datenverarbeitungsvorgänge verantwortlich sei, für die er auch tatsächlich über Mittel und Zweck entscheide. Vorliegend war der Betreiber der Webseite Fashion ID also Mitverantwortlicher hinsichtlich der Erhebung der Daten und deren Übermittlung an Facebook Ireland, nicht jedoch für die weitere Datenverarbeitung nach der Übermittlung.
Des weiteren befasste sich der EuGH mit der möglichen Rechtfertigung der Erhebung und Übermittlung von Nutzerdaten. Gemäß Art. 7 Buchst. f der Richtlinie 95/46 darf eine Verarbeitung personenbezogener Daten zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, erfolgen. Aus Sicht des OLG Düsseldorf war aus dieser Vorschrift nicht klar ersichtlich, auf wessen „berechtigtes Interesse“ es hierbei ankommen soll. Der EuGH stellte klar, dass in einem Fall wie dem Vorliegenden, in dem mehrere für die Verarbeitung verantwortlich sind (siehe oben), jeder der Verantwortlichen ein eigenes berechtigtes Interesse an der jeweiligen Datenverarbeitung haben muss. Dies können grundsätzlich auch wirtschaftliche Interessen sein, allerdings ist in jedem Fall eine Abwägung mit den Grundfreiheiten des Betroffenen vorzunehmen.
Zuletzt befasste sich der EuGH mit der Frage, wen die Pflicht treffe, den Betroffenen über die Datenverarbeitung zu informieren und wem gegenüber ggf. die Einwilligung des Betroffenen in die Datenverarbeitung abzugeben sei. Hierzu führte der EuGH aus, dass die Information und Einwilligung in jedem Fall zeitlich vor der eigentlichen Datenerhebung erfolgen müsse. Daher müsse in einem wie hier gelagerten Fall bereits der Betreiber der Webseite (Fashion ID), und nicht erst der Anbieter des Plugins auf der Webseite (Facebook) auf die Datenerhebung und -übermittlung hinweisen. Ersterem gegenüber sei dementsprechend auch die Einwilligung des Betroffenen zu erteilen. Nur so könne ein effektiver Schutz der personenbezogenen Daten des Betroffenen sichergestellt werden.
Fazit
Zwar erging das hier besprochene Urteil noch zur inzwischen außer Kraft getretenen Datenschutzrichtlinie 95/46, jedoch sind die Ausführungen des EuGH zum Begriff des „Verantwortlichen“ sowie zur Hinweis- und Einwilligungspflicht problemlos auf die inzwischen geltende DSGVO anwendbar.
Das Urteil des EuGH kommt nicht überraschend und dennoch ist es zu begrüßen, da es sowohl Betreibern als auch Nutzern von Webseiten größere Sicherheit im Umgang mit Datenverarbeitungsvorgängen bietet. Die Vorteile aus Sicht des Nutzers einer Webseite liegen auf der Hand, ihm gegenüber muss bereits beim Aufruf der Webseite und noch vor Erhebung der Daten ein entsprechender Hinweis erteilt und seine Einwilligung eingeholt werden. Doch auch für Betreiber von Webseiten ist die Rechtlage durch das EuGH-Urteil deutlich klarer. Sie sind lediglich für diejenigen Datenverarbeitungsvorgänge mitverantwortlich, für die sie auch tatsächlich über Mittel und Zweck entscheiden. Entsprechend müssen sich auch die von ihnen zu erteilenden Hinweise und einzuholende Einwilligung lediglich auf eben diese Verarbeitungsvorgänge (hier die Erhebung und Übermittlung an Facebook) beziehen.
Die Ausführungen im Urteil gelten jedoch selbstverständlich nicht nur für den „Gefällt mir“-Button von Facebook, sondern für eine Vielzahl ähnlicher Inhalte von Dritten auf einer Webseite. Zudem ist anzumerken, dass sich bereits seit einigen Jahren Alternativen zum Social-Plugin (wie z.B. das sog. Shariff-Plugin, die zwei-Klick-Lösung oder auch die bloße Verlinkung) etabliert haben, auf die das vorliegende Urteil keine Auswirkungen hat.
Das Verfassen eines Kommentars ist ohne Angabe personenbezogener Daten möglich. Mehr Informationen in der Datenschutzerklärung.