Aktuell in CR

Plugins nach dem EuGH: Cookie Consent und Joint Controller überall? (Kremer, CR 2019, 676-688)

Der Beitrag fasst die wesentlichen Aussagen des EuGH-Urteils in Sachen „Fashion ID“ (EuGH v. 19.12.2018 – C‑40/17, CR 2019, 574 m. Anm. Schleipfer) zur Einbindung von Social Plugins in Websites und deren Auswirkungen auf die Praxis zusammen (I.). Danach folgen Feststellungen zum Verhältnis von DSGVO, Art. 5 Abs. 3 e‑Privacy-Richtlinie und § 15 Abs. 3 TMG (II.) sowie eine Einordnung des Einwilligungserfordernisses aus Art. 5 Abs. 3 e‑Privacy-Richtlinie (III.). Abschließend folgt ein Fazit des Autors (IV.).

Warum und wie Plugins und Tools für Websites und andere Telemedien ab sofort auf technischer Ebene zu filetieren sind

Inhaltsverzeichnis:

I.       Fashion ID: EuGH-Urteil und Auswirkungen auf die Praxis, Rz. 1

1.        Sachverhalt, Rz. 2

2.        Bisheriger Verlauf des Rechtsstreits, Rz. 3

3.        Antworten des EuGH auf die Vorlagefragen, Rz. 4

a)        Entscheidung zur Frage 1: Klagebefugnis gemeinnütziger Verbände gegeben, Rz. 5
b)        Entscheidung zur Frage 2: Websitebetreiber und Pluginanbieter sind gemeinsam Verantwortliche, Rz. 7
c)        Keine Entscheidung zur Frage 3: Störerhaftung des Websitebetreibers, Rz. 13
d)        Entscheidung zu Frage 4: Betreiber und Anbieter brauchen jeweils berechtigte Interessen, Rz. 15
e)        Entscheidung zur Frage 5: Einwilligung für Plugin erforderlich – oder nicht?, Rz. 18
f)         Entscheidung zur Frage 6: Informationspflicht trifft Websitebetreiber, Rz. 24
g)        Vom EuGH nicht entschiedene Fragen, Rz. 26

4.        Auswirkungen von „Fashion ID“ auf die Praxis, Rz. 27

a)        Gemeinsame Verantwortlichkeit bei allen Telemedien und allen Plugins/Tools möglich, Rz. 27
b)        Zwingendes Einwilligungserfordernis, Rz. 32
c)        Keine Interessensabwägung bei Verarbeitung von Daten unbeteiligter Dritter, Rz. 35
d)        Erstreckung der gemeinsamen Verantwortlichkeit auf Weiterverarbeitungen, Rz. 37

5.        Maßnahmen für Betreiber von Telemedien, Rz. 39

II.          Verhältnis von DSGVO, Art. 5 Abs. 3 e-Privacy-Richtlinie und § 15 Abs. 3 TMG, Rz. 40

1.        Anwendbarkeit von Art. 5 Abs. 3 e-Privacy-Richtlinie über § 15 Abs. 3 TMG, Rz. 42

a)        Keine Umsetzung von Art. 5 Abs. 3 e-Privacy-Richtlinie in § 15 Abs. 3 TMG, Rz. 43
b)        Keine richtlinienkonforme Auslegung von § 15 Abs. 3 TMG, Rz. 46

2.        Unmittelbare Anwendbarkeit von Art. 5 Abs. 3 ePrivacy-Richtlinie, Rz. 47

3.        Berücksichtigung von Art. 5 Abs. 3 e-Privacy-Richtlinie in Art. 6 DSGVO, Rz. 48

a)        Unterschiede zwischen Art. 6 Abs. 1 DSGVO und Art. 5 Abs. 3 e-Privacy-Richtlinie, Rz. 49
b)        Korrektur des Art. 6 Abs. 1 DSGVO über Art. 5 Abs. 3 e-Privacy-Richtlinie, Rz. 50
c)        Keine Interessenabwägung bei Einwilligungserfordernis aus e-Privacy-Richtlinie, Rz. 51
d)        Sanktionierbarkeit von Zuwiderhandlungen, Rz. 53

III.         Einwilligungen gem. Art. 5 e-Privacy-Richtlinie, Rz. 56

1.        Informiertheit des Einwilligenden, Rz. 57

2.        Erteilen der Einwilligung, Rz. 64

3.        Gegenstand der Einwilligung, Rz. 66

4.        Ausnahmen vom Einwilligungserfordernis, Rz. 68

a)        Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz, Rz. 69
b)        Unbedingte Erforderlichkeit zum Verfügung stellen eines ausdrücklich gewünschten Dienstes, Rz. 74

IV.         Fazit, Rz. 77

  

---

 

I. Fashion ID: EuGH-Urteil und Auswirkungen auf die Praxis

[1] Mit dem noch zur zwischenzeitlich durch die DSGVO aufgehobenen Datenschutz-Richtlinie (DSRL) ²  ergangenen Urteil in Sachen Fashion ID hat der EuGH gleich zu mehreren wesentli- wesentlichen Fragen im Datenschutz bedeutsame Aussagen getroffen. Neben der Fortführung seiner Rechtsprechung ³  zur gemeinsamen Verantwortlichkeit i.S.d. Art. 2 lit. d) DSRL, der inhaltsgleich in Art. 4 Nr. 7 DSGVO aufgegangen ist, betrifft dies insbesondere die Frage, wann eine Einwilligung für die Nutzung von Social Plugins erforderlich ist.

1. Sachverhalt

[2] Die Fashion ID GmbH & Co. KG, ein Online-Händler für Modeartikel, band in ihre Website das Social Plugin „Gefällt mir“ („Like Button“) des sozialen Netzwerks Facebook ein. Hierdurch wurde bei jedem Aufruf der Website vom Browser des Nutzers das Plugin von Facebook geladen, wodurch es mindestens zu einer Übermittlung der IP-Adresse des Nutzers sowie von technischen Informationen zum Browser an Facebook kam, ohne dass dies von Fashion ID als Betreiber der Website hätte beeinflusst werden können (Rz. 26 f.). Nach Einschätzung des OLG Düsseldorf ⁴  als dem vorlegenden Gericht war davon auszugehen, dass das Aufrufen der Website mit dem eingebundenen Plugin zu einer Übermittlung personenbezogener Daten an Facebook führte, dies unabhängig davon, ob „sich der Besucher dessen bewusst ist und unabhängig davon, ob er Mitglied des sozialen Netzwerks Facebook ist oder den ‚Gefällt mir‘-Button von Facebook anklickt“ (Rz. 28). ⁵

2. Bisheriger Verlauf des Rechtsstreits

[3] Mangels Information der betroffenen Personen über die mit dem Plugin erfolgenden Verarbeitungen personenbezogener Daten gem. Art. 10 DSRL (abgelöst durch den deutlich erweiterten Art. 13 DSGVO) und mangels einer Einwilligung in diese Verarbeitungen gem. Art. 2 lit. h), Art. 7 lit. a) DSRL (abgelöst durch die deutlich erweiterten Art. 4 Nr. 11, Art. 6 Abs. 1 lit. a), Artt. 7 f. DSGVO) hielt die Verbraucherzentrale Nordrhein-Westfalen die Einbindung des Plugins in die Website durch die Fashion ID GmbH & Co. KG für datenschutzrechtswidrig und nahm diese auf Unterlassung in Anspruch. Vor dem LG Düsseldorf war die Verbraucherzentrale NRW teilweise erfolgreich. ⁶  Auf die von der Fashion ID GmbH & Co. KG erhobene Berufung legte das OLG Düsseldorf ⁷  sodann verschiedene Rechtsfragen zur Klärung vor.

3. Antworten des EuGH auf die Vorlagefragen

[4] Der EuGH hat mit seinem Urteil vom 29.7.2019 ⁸  die vom OLG Düsseldorf gestellten Fragen mit Ausnahme der dritten Frage zur Möglichkeit einer ausschließlich zivilrechtlichen Haftung des Websitebetreibers nach nationalem Recht (s. oben) beantwortet, dabei aber verschiedentlich deutlich gemacht (etwa in Rz. 75, 79, 81 und 90), dass es noch weiterer Feststellungen zum Sachverhalt zur abschließenden Klärung des Rechtsstreits durch die nationalen Gerichte bedarf. ⁹

a) Entscheidung zur Frage 1: Klagebefugnis gemeinnütziger Verbände gegeben

[5] Mit der ersten Frage wollte das OLG Düsseldorf wissen, ob die Artt. 22 ff. DSRL (abgelöst durch Artt. 77 ff. DSGVO) einer nationalen Regelung entgegenstehen, die gemeinnützigen Verbänden zur Wahrung der Interessen der Verbraucher die Befugnis einräumt, im Falle von Verletzungen gegen den Verletzer vorzugehen. Nach Auffassung des OLG Düsseldorf schloss die DSRL eine solche nationale Regelung nicht aus (Rz. 45 f.). Die nachfolgenden Fragen standen unter der Bedingung, dass der EuGH die Auffassung des OLG Düsseldorf teilte.

[6] Auf die Frage 1 hat der EuGH entschieden, dass die Artt. 22 ff. DSRL (aufgegangen in Artt. 77 ff. DSGVO) einer nationalen Regelung nicht entgegenstehen, die es Verbänden zur Wahrung von Verbraucherinteressen erlaubt, gegen den mutmaßlichen Verletzer von Vorschriften zum Schutz personenbezogener Daten Klage zu erheben (Rz. 43 ff., 63). Dies entspreche der nunmehr durch Art. 80 Abs. 2 DSGVO ausdrücklichen Gestattung solcher Regelungen in den Mitgliedstaaten. ¹⁰

b) Entscheidung zur Frage 2: Websitebetreiber und Pluginanbieter sind gemeinsam Verantwortliche

[7] Mit der zweiten Frage wollte das OLG Düsseldorf geklärt sehen, ob sich aus dem Einbinden des Plugins in die eigene Website eine Verantwortlichkeit des Website-Betreibers gem. Art. 2 lit. d) DSRL (entspricht Art. 4 Nr. 7 DSGVO) für die durch das Plugin ausgelösten Verarbeitungen personenbezogener Daten ergibt, auch wenn der Website-Betreiber diese Verarbeitungen nicht beeinflussen kann (Rz. 47 ff.). Ohne die Möglichkeit einer gemeinsamen Verantwortlichkeit überhaupt in Betracht zu ziehen, schien das OLG Düsseldorf der Auffassung zu sein, dass ohne einen tatsächlichen oder rechtlichen Einfluss eine Verantwortlichkeit i.S.d. Art. 2 lit. d) DSRL ausscheidet. ¹¹

[8] Auf die Frage 2 führt der EuGH seine sehr weite Auslegung der gemeinsamen Verantwortlichkeit i.S.d. Art. 2 lit. d) DSRL (entspricht Art. 4 Nr. 7 DSGVO) fort und bejaht hier die Stellung von Fashion ID GmbH & Co. KG als Websitebetreiber und Facebook als Pluginanbieter als gemeinsam Verantwortliche (Rz. 64 ff., 85).

[9] Weite Auslegung der Verantwortlichkeit:  Für einen „wirksamen und umfassenden Schutz der betroffenen Person“ sei eine umfassende Definition des Begriffs des Verantwortlichen erforderlich (Rz. 66). ¹²  Es genüge für die Verantwortlichkeit i.S.d. Art. 2 lit. d) DSRL deshalb, wenn aus Eigeninteresse auf eine Verarbeitung personenbezogener Daten Einfluss genommen und damit an der Entscheidung über Zwecke und Mittel der Verarbeitung mitgewirkt werde, selbst wenn bei der gemeinsamen Verantwortlichkeit nicht jeder Verantwortliche „Zugang zu den betreffenden personenbezogenen Daten“ habe (Rz. 68 f., 82). ¹³

[10] Aufteilung der Verarbeitung in mehrere Phasen mit eigener Verantwortlichkeit:  Bestehe eine Verarbeitung personenbezogener Daten aus mehreren Vorgängen könne diese in mehrere „Phasen“ aufgeteilt werden (Rz. 72), wobei für jede Phase die (gemeinsame) Verantwortlichkeit selbständig bestimmt werden könne, mit der Folge, dass eine „natürliche oder juristische Person für vor- oder nachgelagerte Vorgänge in der Verarbeitungskette, für die sie weder die Zwecke noch die Mittel festlegt, nicht als im Sinne dieser Vorschrift verantwortlich angesehen werden“ könne (Rz. 74). Eine eigene Phase sei es, wenn der Websitebetreiber durch die Einbindung des Plugins es dem Pluginanbieter ermögliche, „ab dem Zeitpunkt des Aufrufens einer solchen Seite“ mit einem Plugin „personenbezogene Daten der Besucher ihrer Website [des Websitebetreibers] zu erhalten“ (Rz. 75). Für das in dieser Phase erfolgende Erheben und Übermitteln personenbezogener Daten der Nutzer der Website seien deshalb Fashion ID GmbH & Co. KG und Facebook gemeinsam Verantwortliche, während dies für die sich hieran anschließenden weiteren Verarbeitungen durch Facebook ausscheide (Rz. 76).

[11] Gemeinsame Entscheidung über Mittel der Verarbeitung:  Für die gemeinsame Entscheidung über die Mittel der Verarbeitung genüge es, wenn der Verantwortliche das Erheben und Übermitteln personenbezogener Daten der Besucher seiner Website durch das Einbinden des Plugins beeinflusse, wenn anderenfalls die Verarbeitung nicht erfolgen würde (Rz. 78 f.), und der Verantwortliche darum wisse, dass das von ihm eingebundene Plugin „als Werkzeug zum Erheben und zur Übermittlung von personenbezogenen Daten der Besucher [diene], unabhängig davon, ob es sich dabei um Mitglieder des sozialen Netzwerks Facebook handelt oder nicht.“ (Rz. 77).

[12] Gemeinsame Entscheidung über Zwecke der Verarbeitung:  Der gemeinsame Zweck der Verarbeitung liege in der Durchführung der „Verarbeitungsvorgänge im wirtschaftlichen Interesse sowohl von Fashion ID als auch von Facebook“. Die gemeinsame Entscheidung über diesen Verarbeitungszweck ergebe sich daraus, dass „Fashion ID mit der Einbindung eines solchen Buttons in ihre Website zumindest stillschweigend in das Erheben personenbezogener Daten der Besucher ihrer Website und deren Weitergabe durch Übermittlung eingewilligt“ habe, um eine „verbesserte Werbung für ihre Produkte“ auf Facebook zu erhalten. ¹⁴  Für Facebook komme es demgegenüber darauf an, „über diese Daten für ihre eigenen wirtschaftlichen Zwecke verfügen zu können“, weil diese „die Gegenleistung für den Fashion ID gebotenen Vorteil“ darstellen (alles Rz. 80). Der demgegenüber im Datenschutz relevante. konkrete Verarbeitungszweck, so wie er etwa in Art. 13 Abs. 1 lit. c), Art. 14 Abs. 1 lit. c), Art. 30 Abs. 1 lit. b) DSGVO zu dokumentieren ist, ist für den EuGH bedeutungslos, da dieser allein auf die übergeordnete Ebene abstellt und damit einen eigenen Zweckbegriff für Art. 4 Nr. 7 DSGVO schafft. ¹⁵

c) Keine Entscheidung zur Frage 3: Störerhaftung des Websitebetreibers

[13] Durch die dritte Frage wollte das OLG Düsseldorf beantwortet wissen, ob Art. 2 lit. d) DSRL (entspricht Art. 4 Nr. 7 DSGVO) einer zivilrechtlichen Störerhaftung des Website-Betreibers als Verursacher der Verarbeitung personenbezogener Daten durch das Plugin entgegensteht, wenn wegen der fehlenden Möglichkeit zur Beeinflussung der Verarbeitung (s. Frage 2) dessen datenschutzrechtliche Verantwortlichkeit ausscheidet (Rz. 49 f.). Insoweit ging das OLG Düsseldorf davon aus, dass die Voraussetzungen einer solchen Störerhaftung beim Website-Betreiber nach deutschem Recht gegeben seien.

[14] Nachdem der EuGH die (gemeinsame) Verantwortlichkeit des Websitebetreibers gem. Art. 2 lit. d) DSRL (entspricht Art. 4 Nr. 7 DSGVO) bejaht hat (s. oben), war die dritte Frage nicht mehr zu beantworten, ob die fehlende datenschutzrechtliche Verantwortlichkeit einer zivilrechtlichen Haftung des Websitebetreibers nach nationalem Recht entgegenstehe (Rz. 86). Allerdings hat der EuGH klargestellt, dass die Beschränkung der datenschutzrechtlichen Verantwortlichkeit auf einzelne Phasen einer aus mehreren Vorgängen bestehenden Verarbeitung personenbezogener Daten (s. oben) „unbeschadet einer etwaigen insoweit im nationalen Recht vorgesehenen zivilrechtlichen Haftung“ bestehe (Rz. 74). Hieraus wird man ableiten müssen, dass der EuGH richtigerweise eine eigenständige, über die datenschutzrechtliche Verantwortlichkeit hinausgehende, zivilrechtliche Haftung nach dem nationalen Recht sehr wohl für möglich erachtet. ¹⁶

d) Entscheidung zu Frage 4: Betreiber und Anbieter brauchen jeweils berechtigte Interessen

[15] Die vierte Frage des OLG Düsseldorf zielte auf die Klärung der Frage, wessen berechtigte Interessen bei einer Interessensabwägung gem. Art. 7 lit. f) DSRL (entspricht Art. 6 Abs. 1 lit. f) DSGVO) abzustellen ist, ob also die Interessen des Websitebetreibers mit dem Plugin oder diejenigen von Facebook als Anbieter des Plugins relevant sind (Rz. 52). Das OLG Düsseldorf schien (ohne sich jedoch festzulegen) insoweit darüber nachzudenken, ob die Verarbeitungen personenbezogener Daten im Zusammenhang mit dem Plugin i.S.d. Art. 15 Abs. 1 TMG erforderlich sein könnten und stellt diese Erforderlichkeitsprüfung mit der Interessensabwägung gleich. ¹⁷

[16] Interessensabwägung als Erlaubnistatbestand für Plugins:  Auf die Frage 4 hat der EuGH zunächst festgestellt, dass (...)

Hier direkt weiterlesen im juris PartnerModul IT-Recht