EuGH, C-40/17: Schlussanträge des Generalanwalts vom 19.12.2018

Facebook: "Gefällt mir"-Button und Datenschutz

Nach Ansicht von Generalanwalt Bobek ist der Betreiber einer Webseite, auf der ein Plugin eines Dritten wie der Facebook-"Gefällt mir"-Button eingebunden wird, das zur Erhebung und Übermittlung der personenbezogenen Daten des Nutzers führt, für diese Phase der Datenverarbeitung mitverantwortlich. Der Betreiber der Webseite muss den Nutzern hinsichtlich dieser Datenverarbeitungsvorgänge die Informationen zur Verfügung stellen, die sie zumindest erhalten müssen, und, wo dies erforderlich ist, ihre Einwilligung einholen, bevor Daten erhoben und übermittelt werden.

Der Sachverhalt:

Die beklagte Firma "Fashion ID" ist ein deutscher Online-Händler für Modeartikel. Auf der Webseite der Beklagten ist ein Plugin - der Facebook-"Gefällt mir"-Button - eingebunden. Besucht ein Nutzer diese Webseite, werden Facebook daher Informationen über die IP-Adresse und der Browser-String des Nutzers übermittelt. Diese Übermittlung erfolgt automatisch beim Laden der Webseite der Beklagten unabhängig davon, ob der Nutzer den "Gefällt mir"-Button angeklickt hat oder über ein Facebook-Nutzerkonto verfügt. Die klagende Verbraucherzentrale NRW erhob mit der Begründung, die Verwendung des Facebook-"Gefällt mir"-Buttons verstoße gegen Datenschutzrecht, eine Unterlassungsklage gegen die Beklagte.

Das mit der Sache befasste OLG Düsseldorf hat das Verfahren ausgesetzt und ersucht den EuGH im Wege des Vorabentscheidungsersuchens um die Auslegung einer Reihe von Bestimmungen der früheren Datenschutzrichtlinie von 1995 (die weiterhin auf den Fall anwendbar ist, aber durch die neue Datenschutzrichtlinie von 2016 mit Wirkung vom 25.5.2018 ersetzt worden ist).

Die Gründe:

Generalanwalt Bobek schlägt dem EuGH nunmehr vor, zu entscheiden, dass die Richtlinie einer nationalen Regelung nicht entgegensteht, die gemeinnützigen Verbänden die Befugnis einräumt, zur Wahrung der Interessen der Verbraucher rechtlich gegen den mutmaßlichen Verletzer von Datenschutzrecht vorzugehen. Ferner schlägt er vor, zu entscheiden, dass nach der Datenschutzrichtlinie der Betreiber einer Webseite (wie Fashion ID), der in seine Webseite ein von einem Dritten bereitgestelltes Plugin (wie den Facebook-"Gefällt mir"-Button) eingebunden hat, das die Erhebung und Übermittlung der personenbezogenen Daten des Nutzers veranlasst, zusammen mit diesem Dritten (hier Facebook Ireland) als gemeinsamer Verantwortlicher anzusehen ist.

Diese (gemeinsame) Verantwortlichkeit des für die Verarbeitung Verantwortlichen sollte jedoch auf die Verarbeitungsvorgänge beschränkt sein, für die er tatsächlich einen Beitrag zur Entscheidung über die Mittel und Zwecke der Verarbeitung der personenbezogenen Daten leistet. Das bedeutet, dass ein (gemeinsam) für die Verarbeitung Verantwortlicher für den Vorgang oder die Vorgangsreihe verantwortlich ist, für den bzw. für die er, soweit es den betreffenden Verarbeitungsvorgang angeht, einen Beitrag zu der Entscheidung über dessen Zwecke und Mittel leistet. Im Gegensatz dazu kann die betreffende Person weder für die vorhergehenden noch die nachfolgenden Phasen der Gesamtkette der Datenverarbeitungsvorgänge verantwortlich gemacht werden, für die sie weder die Zwecke noch die Mittel festlegen konnte.

Vorliegend scheint es daher so zu sein, dass Fashion ID und Facebook Ireland gemeinsam die Mittel und Zwecke der Datenverarbeitung in der Phase der Erhebung und Übermittlung der betreffenden personenbezogenen Daten festlegen. Vorbehaltlich der Nachprüfung durch das OLG haben sowohl Facebook Ireland als auch Fashion ID somit offenbar willentlich die Phase der Erhebung und Übermittlung von Daten innerhalb der Datenverarbeitung eingeleitet, und trotz fehlender Zweckidentität besteht eine Einheit der Zwe>

Die Verarbeitung personenbezogener Daten bei fehlender Einwilligung des Nutzers der Webseite ist nach der Richtlinie unter drei kumulativen Voraussetzungen zulässig: Erstens muss der für die Verarbeitung Verantwortliche oder der bzw. die Dritten, denen die Daten übermittelt werden, ein berechtigtes Interesse verfolgen; zweitens muss die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein, und drittens dürfen die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen. Der EuGH sollte daher entscheiden, dass auf die berechtigten Interessen beider im Einzelfall für die Verarbeitung Verantwortlichen abzustellen ist, und diese Interessen gegen die Rechte der betroffenen Personen abzuwägen sind. Zudem sollte der EuGH entscheiden, dass die Einwilligung des Nutzers der Webseite, sofern erforderlich, gegenüber dem Betreiber der Webseite (Fashion ID) zu erklären ist, der Drittinhalte in seine Webseite eingebunden hat. Ebenso gilt die Pflicht, dem Nutzer der Webseite die Informationen zur Verfügung stellen, die er zumindest erhalten muss, auch für den Betreiber der Webseite (Fashion ID).

Linkhinweis:

Verlag Dr. Otto Schmidt vom 19.12.2018 14:52
Quelle: EuGH PM Nr. 206 vom 19.12.2018

zurück zur vorherigen Seite