Wer auf seiner Website einen Like-Button von Facebook einbindet, ist zumindest für einen Teil der dadurch ausgelösten Datenverarbeitungen mitverantwortlich. Zu diesem Schluss gelangte der Europäische Gerichtshof (EuGH) in einem aktuellen Urteil. Auch wenn der Sachverhalt noch unter den zeitlichen Geltungsbereich der alten Datenschutz-Richtlinie (Datenschutz-RL) fiel, dürfte die Beurteilung unter der EU-Datenschutzgrundverodnung (DSGVO) kaum anders ausfallen. Nachdem der EuGH bereits im Zusammenhang mit Facebook-Fanpages eine datenschutzrechtliche Mitverantwortung der Seiten-Betreiber bejahte, überrascht das Urteil nicht. Im Unterschied zur ersten wegweisenden Entscheidung, wird im aktuellen Urteil allerdings zwischen den einzelnen Datenverarbeitungen rund um den Like-Button differenziert und der Bereich der gemeinsamen Verantwortlichkeit (mit Facebook) nicht auf sämtliche Verarbeitungen ausgedehnt.

Verbraucherschutzverband klagt gegen Shopbetreiber

Dem vorliegenden Urteil des EuGH lag ein zweitinstanzliches Verfahren vor dem Oberlandesgericht (OLG) Düsseldorf zugrunde. Dieses wiederum beruhte auf einer Unterlassungsklage der Verbraucherzentrale NRW, einem gemeinnützigen Verband für Verbraucherinteressen, gegen den Betreiber eines Online-Shops für Modeartikel, Fashion ID. Auf dessen Website war das verbreitete Social Plugin von Facebook, der Like-Button eingebunden. Über dieses Plugin wurden personenbezogene Daten der Website-Besucher an Facebook übermittelt, ohne dass die Besucher darüber informiert wurden und unabhängig davon, ob die Besucher über einen Facebook-Account verfügten oder den Like-Button anklickten. Die Verbraucherzentrale NRW sah darin einen Verstoss gegen die EU-Datenschutzrichtlinie (95/46/EG, Datenschutz-RL), die zum damaligen Zeitpunkt noch in Kraft gewesen war (im Mai 2018 durch die EU-Datenschutzgrundverordnung (DSGVO) ersetzt), und klagte auf Unterlassung. Sie rügte die Verletzung von Informationspflichten und die fehlende Einwilligung der betroffenen Personen, deren Daten an Facebook übermittelt wurden.

Sie erhielt in erster Instanz teilweise Recht, wogegen Fashion ID Berufung vor dem OLG Düsseldorf erhob. Auch die Verbraucherzentrale erhob Anschlussberufung und verlangte eine weitergehende Gutheissung der Klage. Das OLG Düsseldorf entschied sich in der Folge das Verfahren auszusetzen und dem EuGH Fragen zur Vorabentscheidung vorzulegen (sog. Vorabentscheidungsverfahren). Facebook war als Streitberufene zur Unterstützung von Fashion ID ebenfalls am Verfahren beteiligt.

Verbraucherschutzverband darf eine Unterlassungsklage erheben

In seinem Urteil vom 29. Juli 2019 (C‑40/17) musste sich der EuGH zunächst mit der Frage auseinandersetzen, ob die Verbraucherzentrale als Verband überhaupt berechtigt war, eine datenschutzrechtliche Unterlassungsklage zu erheben. Fashion ID und Facebook stellten sich auf den Standpunkt, dass die Datenschutz-RL einer nationalen Regelung entgegenstehe, die einem gemeinnützigen Verband zur Wahrung von Verbraucherinteressen in einem solchen Fall eine Klagelegitimation zugestehe.

Der EuGH verwarf diesen Einwand und bejahte die Klagelegitimation der Verbraucherzentrale NRW. Dies ergebe sich einerseits aus der Interpretation der alten Datenschutz-RL und auch aus dem Umstand, dass unter der heute geltenden DSGVO die Klagelegitimation von gemeinnützigen Verbänden zur Wahrung von Verbraucherinteressen ausdrücklich zugelassen sei und somit dem Willen des EU-Gesetzgebers entspreche.

Website-Betreiber und Facebook sind gemeinsam Verantwortliche

In einem nächsten Schritt musste sich der EuGH mit der datenschutzrechtlichen Rolle von Fashion ID und damit auch mit derjenigen von anderen Website-Betreibern, die Social Plugins verwenden im Allgemeinen, befassen. Zu dieser kontroversen Fragestellung der datenschutzrechtlichen Verantwortlichkeit fällte der EuGH bereits im vergangenen Jahr ein wegweisendes Urteil. Darin entschied der Gerichtshof, dass die Betreiber einer Facebook-Fanpage gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich sind (vgl. MLL-News vom 17.6.2018). Vorliegend stellte sich die Frage, ob auch Fashion ID als Website-Betreiber, der das Social Plugin auf seiner Website eingebunden hatte, als Verantwortlicher qualifiziert werden konnte.

Sowohl nach der Datenschutz-RL als auch in der DSGVO muss beurteilt werden, wer die alleinigen oder gemeinsam Verantwortlichen für eine Datenverarbeitung sind. Der Begriff des datenschutzrechtlichen Verantwortlichen sei – so der EuGH – weit auszulegen, insbesondere „um einen wirksamen und umfassenden Schutz der betroffenen Person zu gewährleisten„. Gemeinsam verantwortlich im Sinne der Datenschutz-RL könne aber nur sein, wer über die Zwecke und Mittel der Vorgänge einer Verarbeitung personenbezogener Daten gemeinsam mit einem anderen Person entscheiden könne. Der EuGH prüfte deshalb in der Folge, ob Fashion ID über Mittel und Zweck der Datenverarbeitungsvorgänge entscheiden konnte. Anders als noch im Fanpages-Urteil differenzierte er dabei zwischen einzelnen Vorgängen der Datenerhebung, -übermittlung und letztendlich der Weiterverarbeitung durch Facebook.

Fashion ID habe als Website-Betreiber mit der Einbindung des Like-Buttons einerseits die dadurch erfolgende Erhebung personenbezogener Daten, anderseits die Weitergabe dieser Daten durch Übermittlung an Facebook ermöglicht. Es sei deshalb davon auszugehen, dass Fashion ID mit Facebook, als Anbieter des Like-Buttons und Empfänger der Daten, gemeinsam über den Like-Button als Mittel der Erhebung und Übermittlung personenbezogener Daten entschieden haben.

Auch über den Zweck der Verarbeitung personenbezogener Daten liege vorliegend eine gemeinsame Entscheidung von Fashion ID und Facebook vor. Denn nicht nur Facebook habe wirtschaftliche Zwecke durch die Nutzung der über die Fashion ID-Website erhaltenen Daten verfolgt. Auch Fashion ID habe von Klicks auf den Like-Button durch ihre Website-Besucher profitiert, indem durch die Klicks die Produkte-Werbung optimiert werden konnte, weil die Produkte durch die Likes auf Facebook sichtbarer wurden. Angesichts dieser durch Klicks auf den Like-Button generierten wirtschaftlichen Vorteile, sah es der EuGH als gegeben an, dass Fashion ID der Erhebung und Übermittlung der personenbezogenen Daten zumindest stillschweigend zugestimmt habe. Die Tatsache, dass auch bereits das Aufrufen der Fashion ID-Website durch Personen, die über keinen Facebook-Account verfügten, automatisch zu einer Verarbeitung von deren Daten durch Facebook führte, lasse die Verantwortlichkeit von Fashion ID zudem noch höher erscheinen.

Berechtigtes Interesse jedes Co-Verantwortlichen erforderlich

Sowohl nach der Datenschutz-RL als auch nach der DSGVO ist eine Verarbeitung personenbezogener Daten nur zulässig, wenn ein Erlaubnistatbestand gegeben ist. Nach Art. 7 Bst. f Datenschutz-RL oder der heute geltenden, nahezu gleichlautenden Regelung in Art. 6 Abs. 1 Bst. f DSGVO, ist eine Verarbeitung personenbezogener Daten insbesondere dann zulässig, wenn diese zur Verwirklichung eines berechtigten Interesses des für die Verarbeitung Verantwortlichen erforderlich ist. Dieses Interesse muss gegenüber den Grundrechten oder Grundfreiheiten der betroffenen Person überwiegen. Der EuGH musste nun Stellung dazu nehmen, ob bei gemeinsam Verantwortlichen, beide ein überwiegendes Interesse aufweisen müssen.

Einleitend spricht der EuGH den Umstand an, dass die Datenverarbeitungen womöglich teilweise auf dem Einsatz von Cookies basieren. Cookies dienen der Speicherung von Informationen auf einem Endgerät des Nutzers oder dem Zugriff auf Informationen, die auf einem Endgerät eines Nutzers gespeicherte sind. Die EU-Mitgliedstaaten müssen gemäss Art. 5 Abs. 3 der ePrivacy-Richtlinie (ePrivacy-RL) innerstaatlich sicherstellen, dass die Verwendung von Cookies nur mit einer entsprechenden Information und Einwilligung des betroffenen Nutzers zulässig ist. Die ePrivacy-RL hätte eigentlich bereits durch die neue ePrivacy-Verordnung (ePrivacy-VO) ersetzt werden sollen, deren Inkraftsetzung erfolgt wohl aber frühestens im Jahr 2021, so dass zurzeit die ePrivacy-RL und die DSGVO trotz Überschneidungen noch parallel zur Anwendung gelangen (vgl. MLL-News vom 2.12.2017 & MLL-News vom 27.4.2019).

Der EuGH wies bedauerlicherweise die Frage an das OLG Düsseldorf zur Abklärung zurück, ob im vorliegenden Fall Cookies verwendet wurden und somit die Vorgaben der ePrivacy-RL bzw. der innerstaatlichen Gesetzgebung überhaupt zu prüfen seien. Das OLG Düsseldorf ging aber offenbar davon aus, dass die an Facebook übermittelten personenbezogenen Daten sich nicht bloss auf solche beschränkten, die im Endgerät der Nutzer gespeichert sind. Sofern dies zutreffe, was das OLG zu verifizieren habe, sei die Datenverarbeitung nur zulässig, wenn einer der Erlaubnistatbestände der Datenschutzrichtlinie gegeben sei. Sofern die Datenverarbeitung auf den Erlaubnistatbestand des berechtigten Interesses abgestützt wird, müssen gemäss EuGH jedenfalls beide gemeinsam Verantwortlichen über ein solches (überwiegendes) Interesse verfügen.

Informationspflicht und Einholung einer Einwilligung bei Co-Verantwortlichkeit

Zuletzt ging der EuGH auf die Frage ein, ob Fashion ID in der vorliegenden Konstellation als Website-Betreiber oder Facebook für die Einhaltung der Informationspflicht und für die Einholung einer Einwilligung der Nutzer verantwortlich ist. Dabei verwies der EuGH auf die Erwägungen zur datenschutzrechtlichen Rolle, wonach sich der Umfang der Verantwortlichkeit auf jene Vorgänge der Datenverarbeitung beschränke, für die der Verantwortliche tatsächlich über die Zwecke und Mittel entscheiden könne. Für die diesen Vorgängen vor- oder nachgelagerten Phasen bestehe jedoch keine Verantwortlichkeit. Fashion ID als Webseite-Betreiber sei vorliegend also nur zur Information und Einholung einer Einwilligung der betroffenen Person hinsichtlich der Erhebung und Übermittlung der Daten an Facebook verpflichtet.

Fazit und Anmerkungen

Das vorliegende Urteil des EuGH bringt keine Überraschungen mit sich und knüpft an die bisherige Rechtsprechung an, insbesondere an das Facebook-Fanpage Urteil des vergangenen Jahres. Es lässt sich aber doch erkennen, dass der EuGH im vorliegenden Urteil klar zwischen einzelnen Vorgängen bzw. Phasen eines gesamten Verarbeitungskomplexes differenziert, während im Facebook-Fanpage Urteil noch von einem Vorgang der Datenverarbeitung als solchem ausgegangen wurde. Für Website-Betreiber ist die damit verbundene Einschränkung der Verantwortlichkeit erfreulich. Allerdings bleibt abzuwarten, wie Facebook auf das Urteil reagiert und inwieweit die zwischen den Co-Verantwortlichen abzuschliessende Vereinbarung angepasst wird.

Weitere Informationen: