Ihre Browserversion ist veraltet. Wir empfehlen, Ihren Browser auf die neueste Version zu aktualisieren.

Schlussantrag zur gemeinsamen Verantwortlichkeit beim "Gefällt mir-"Button von Facebook

Veröffentlicht am 21.12.2018

Die Datenschutz-Grundverordnung kennt den Verantwortlichen, den Auftragsverarbeiter und den gemeinsamen Verantwortlichen nach Art. 26 DSGVO.

Zur früheren Rechtslage in puncto Mitverantwortlichkeit bei Facebook gab es jetzt die Schlussanträge. Es geht um den "Gefällt mir"-Button. Sollte der EuGH den Schlussanträgen folgen, wird dies für Art. 26 DSGVO übernommen werden können.

 

19.12.2018 PM zu C-202/18, C-238/18

 Nach Ansicht von Generalanwalt Bobek ist der Betreiber einer Webseite, auf der ein Plugin eines Dritten wie der Facebook-„Gefällt mir“-Button eingebunden wird, das zur Erhebung und Übermittlung der personenbezogenen Daten des Nutzers führt, für diese Phase der Datenverarbeitung mitverantwortlich

Der Betreiber der Webseite muss den Nutzern hinsichtlich dieser Datenverarbeitungsvorgänge die Informationen zur Verfügung stellen, die sie zumindest erhalten müssen, und, wo dies erforderlich ist, ihre Einwilligung einholen, bevor Daten erhoben und übermittelt werden

Fashion ID ist ein deutscher Online-Händler für Modeartikel. In seine Webseite ist ein Plugin, der Facebook-„Gefällt mir“-Button, eingebunden. Besucht ein Nutzer die Webseite von Fashion ID, werden Facebook daher Informationen über die IP-Adresse und der Browser-String dieses Nutzers übermittelt. Diese Übermittlung erfolgt automatisch beim Laden der Webseite von Fashion ID unabhängig davon, ob der Nutzer den „Gefällt mir“-Button angeklickt hat oder über ein Facebook-Nutzerkonto verfügt.

Die Verbraucherzentrale NRW, ein deutscher Verbraucherschutzverband, hat mit der Begründung, die Verwendung des Facebook-„Gefällt mir“-Buttons verstoße gegen Datenschutzrecht, gegen Fashion ID eine Unterlassungsklage erhoben.

Das mit der Sache befasste Oberlandesgericht Düsseldorf (Deutschland) ersucht um die Auslegung einer Reihe von Bestimmungen der früheren Datenschutzrichtlinie von 19951 (die weiterhin auf den Fall anwendbar ist, aber durch die neue Datenschutzrichtlinie von 20162 mit Wirkung vom 25. Mai 2018 ersetzt worden ist).

In seinen heute vorgelegten Schlussanträgen schlägt Generalanwalt Bobek dem Gerichtshof vor, erstens zu entscheiden, dass die Richtlinie einer nationalen Regelung nicht entgegenstehe, die gemeinnützigen Verbänden die Befugnis einräume, zur Wahrung der Interessen der Verbraucher rechtlich gegen den mutmaßlichen Verletzer von Datenschutzrecht vorzugehen.

Ferner schlägt der Generalanwalt vor, zu entscheiden, dass nach der Datenschutzrichtlinie der Betreiber einer Webseite (wie Fashion ID), der in seine Webseite ein von einem Dritten bereitgestelltes Plugin (wie den Facebook-„Gefällt mir“-Button) eingebunden habe, das die Erhebung und Übermittlung der personenbezogenen Daten des Nutzers veranlasse, zusammen mit diesem Dritten (hier Facebook Ireland) als gemeinsamer Verantwortlicher anzusehen sei.

Diese (gemeinsame) Verantwortlichkeit des für die Verarbeitung Verantwortlichen sollte jedoch auf die Verarbeitungsvorgänge beschränkt sein, für die er tatsächlich einen Beitrag zur Entscheidung über die Mittel und Zwecke der Verarbeitung der personenbezogenen Daten leiste.

 

Das bedeute, dass ein (gemeinsam) für die Verarbeitung Verantwortlicher für den Vorgang oder die Vorgangsreihe verantwortlich sei, für den bzw. für die er, soweit es den betreffenden Verarbeitungsvorgang angehe, einen Beitrag zu der Entscheidung über dessen Zwecke und Mittel leiste. Im Gegensatz dazu könne die betreffende Person weder für die vorhergehenden noch die nachfolgenden Phasen der Gesamtkette der Datenverarbeitungsvorgänge verantwortlich gemacht werden, für die sie weder die Zwecke noch die Mittel habe festlegen können.

Nach dem Sachverhalt der vorliegenden Rechtssache scheine es daher so zu sein, dass Fashion ID und Facebook Ireland gemeinsam die Mittel und Zwecke der Datenverarbeitung in der Phase der Erhebung und Übermittlung der betreffenden personenbezogenen Daten festlegten. Vorbehaltlich der Nachprüfung durch das vorlegende Gericht hätten sowohl Facebook Ireland als auch Fashion ID somit offenbar willentlich die Phase der Erhebung und Übermittlung von Daten innerhalb der Datenverarbeitung eingeleitet, und trotz fehlender Zweckidentität bestehe eine Einheit der Zwecke: Es würden kommerzielle und Werbezwecke verfolgt (Die Entscheidung von Fashion ID, den Facebook-„Gefällt mir“-Button auf ihrer Webseite einzubinden, scheine von dem Wunsch getragen gewesen zu sein, die Sichtbarkeit ihrer Produkte über das soziale Netzwerk zu erhöhen).

Deshalb handele Fashion ID in Bezug auf die Erhebungs- und Übermittlungsphase der Datenverarbeitung als ein für die Verarbeitung Verantwortlicher, und seine Haftung bestehe insoweit gemeinsam mit der von Facebook Ireland.

Was die Zulässigkeit der Verarbeitung personenbezogener Daten bei fehlender Einwilligung3 des Nutzers der Webseite betrifft, weist der Generalanwalt darauf hin, dass eine solche Verarbeitung nach der Richtlinie unter drei kumulativen Voraussetzungen zulässig sei: Erstens müsse der für die Verarbeitung Verantwortliche oder der bzw. die Dritten, denen die Daten übermittelt würden, ein berechtigtes Interesse verfolgen; zweitens müsse die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein, und drittens dürften die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen.

Insoweit schlägt der Generalanwalt dem Gerichtshof vor, zu entscheiden, dass auf die berechtigten Interessen beider im Einzelfall für die Verarbeitung Verantwortlichen (Fashion ID und Facebook Ireland) abzustellen sei, und diese Interessen gegen die Rechte der betroffenen Personen abzuwägen seien.

Des Weiteren schlägt der Generalanwalt dem Gerichtshof vor, zu entscheiden, dass die Einwilligung des Nutzers der Webseite, sofern erforderlich, gegenüber dem Betreiber der Webseite (Fashion ID) zu erklären sei, der Drittinhalte in seine Webseite eingebunden habe. Ebenso gelte die Pflicht, dem Nutzer der Webseite die Informationen zur Verfügung stellen, die er zumindest erhalten müsse, auch für den Betreiber der Webseite (Fashion ID).

 

Kommentar

Website-Betreiber sollten den Entscheid des EuGH beobachten. Folgt dieser den Schlussanträgen, gilt es mindestens die Anforderungen von Art. 26 DSGVO einzuhalten und die Datenschutzerklärung anzupassen.

 

 

Interessierende Vorschrift nach DSGVO

 

Art. 26 DSGVO Gemeinsam Verantwortliche

 

  1. 1Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. 2Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind. 3In der Vereinbarung kann eine Anlaufstelle für die betroffenen Personen angegeben werden.
  2. 1Die Vereinbarung gemäß Absatz 1 muss die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln. 2Das wesentliche der Vereinbarung wird der betroffenen Person zur Verfügung gestellt.
  3. Ungeachtet der Einzelheiten der Vereinbarung gemäß Absatz 1 kann die betroffene Person ihre Rechte im Rahmen dieser Verordnung bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen.