Gemeinsame Verantwortlichkeit der Datenverarbeitung
Der Europäische Gerichtshof entschied am 29.07.2019, dass ein Webseitenbetreiber gemeinsam mit Facebook für die Datenverarbeitung verantwortlich sein könne, wenn er einen „Gefällt mir“-Button von Facebook in seine Seite integriert. Für die spätere, ausschließlich durch Facebook erfolgende Datenverarbeitung sei er jedoch nicht verantwortlich.
Wer ist verantwortlich?
Beklagte war die Betreiberin eines Online-Handels für Modeartikel; Klägerin die Verbraucherzentrale NRW. Die Beklagte band auf ihrer Website den „Gefällt mir“-Button von Facebook ein. Die Klägerin warf der Beklagten vor, personenbezogene Daten wie IP-Adresse oder Browserdaten an Facebook zu übermitteln, und zwar unabhängig davon, ob der „Gefällt mir“-Button angeklickt werde oder nicht. Aufgrund dessen erhob die Klägerin Unterlassungsklage. Die erste Instanz gab der Klägerin teilweise recht; dagegen legte die Beklagte Berufung ein. Das Berufungsgericht stellte sich diverse Fragen, wie z.B. auf wessen berechtigtes Interesse – das des Webseitenbetreibers oder auf das des Anbieters des Social Plugins – abzustellen sei. Das Berufungsgericht beschloss, das Verfahren auszusetzen und dem Europäischen Gerichtshof (EuGH) diverse datenschutzrechtliche Fragen zur Vorabentscheidung vorzulegen.
Verbände können klagen
Der Europäische Gerichtshof entschied, dass es auch Verbänden zur Wahrung von Verbraucherinteressen erlaubt sei, gegen mutmaßliche Verletzer von Datenschutzvorschriften zu klagen. Diese Möglichkeit sehe die neue Datenschutz-Grundverordnung (DSGVO) ausdrücklich vor. Zwar führe die entsprechende Richtlinie zu einer grundsätzlich umfassenden Harmonisierung der nationalen Rechtsvorschriften über den Schutz personenbezogener Daten. Sie sehe eine erschöpfende und abschließende Liste der Fälle vor, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden könne. Die Richtlinie enthalte allerding auch Vorschriften, die verhältnismäßig allgemein gehalten seien und auf eine große Anzahl ganz unterschiedlicher Situationen angewendet werden können. Diese Vorschriften seien durch eine gewisse Flexibilität gekennzeichnet. Es sei damit in vielen Fällen den Mitgliedstaaten überlassen, die Einzelheiten zu regeln oder zwischen Optionen zu wählen. Damit verfüge jeder einzelne Mitgliedstaat in vielerlei Hinsicht über einen Handlungsspielraum zur Umsetzung der Richtlinie.
Betreiber ist mitverantwortlich
Der EuGH befand, dass der Webseitenbetreiber, der ein Social Plugin einbindet, als Verantwortlicher für die Datenverarbeitung angesehen werden könne. Diese Verantwortlichkeit beschränke sich aber auf die Vorgänge, bei denen er tatsächlich Daten erhebt und übermittelt. Jeder sei nur für die Datenverarbeitungsvorgänge zuständig, über deren Zwecke und Mittel er – gemeinsam mit anderen – entscheiden könne und gemeinsam mit anderen verantwortlich sei. Für vor- oder nachgelagerte Vorgänge in der Datenverarbeitungskette, für die der Webseitenbetreiber weder Zwecke noch Mittel festlegt, sei er nicht verantwortlich. Vorliegend habe die Beklagte den „Gefällt mir“-Button von Facebook Ireland in ihre Website eingebunden. Damit habe sie es ermöglicht, personenbezogene Daten ihrer Webseiten-Besucher zu erhalten. Diese Möglichkeit sei ab dem Zeitpunkt des Aufrufens einer solchen Seite entstanden. Die Datenverarbeitung sei unabhängig davon, ob die Besucher Facebook-Mitglieder seien, ob sie den „Gefällt mir“-Button angeklickt haben oder ob sie von den Vorgängen Kenntnis hätten.
Einwilligung ist von Webseitenbetreiber einzuholen
Die Einwilligung in die Datenverarbeitung müsse der Webseitenbetreiber vor der Datenerhebung und -weitergabe für diejenigen Vorgänge einholen, für die er (mit)verantwortlich sei, so das Gericht weiter. Daher obliege es dem Webseitenbetreiber und nicht dem Anbieter des Social Plugins, diese Einwilligung einzuholen. Denn der Verarbeitungsprozess der personenbezogenen Daten werde dadurch ausgelöst, dass ein Besucher die Website aufruft. Es entspräche keiner wirksamen Rechtewahrung, wenn die Einwilligung lediglich gegenüber dem Anbieter des Plugins, der erst zu einem späteren Zeitpunkt beteiligt sei, erklärt werden müsse. Allerdings betreffe die Einwilligung, die dem Webseitenbetreiber gegenüber zu erklären sei, nur den Datenverarbeitungsvorgang, über den er tatsächlich auch entscheidet.
Berechtigtes Interesse an Datenverarbeitung
Weiterhin entschied das Gericht, dass jeder (Mit-)Verantwortliche ein berechtigtes Interesse an der Datenverarbeitung aufweisen müsse. Damit müsse der Webseitenbetreiber sowie der Anbieter des Social Plugins mit Erhebung und Übermittlung der personenbezogenen Daten ein berechtigtes Interesse wahrnehmen, damit diese Vorgänge gerechtfertigt seien.
Europäischer Gerichtshof, Urteil vom 29.07.2019, Az. C 40/17