Vetter Gerlach Hartmann Rechtsanwälte
Aktuelle Fachbeiträge
 

EuGH: Beratung zur datenschutzrechtlichen Verantwortung des Facebook- Plugin „Gefällt mir“

Nach Ansicht von Generalanwalt Bobek ist der Betreiber einer Webseite, auf der ein Plugin eines Dritten wie der Facebook-„Gefällt mir“-Button eingebunden wird, das zur Erhebung und Übermittlung der personenbezogenen Daten des Nutzers führt, für diese Phase der Datenverarbeitung mitverantwortlich.

Der Betreiber der Webseite muss den Nutzern hinsichtlich dieser Datenverarbeitungsvorgänge die Informationen zur Verfügung stellen, die sie zumindest erhalten müssen, und, wo dies erforderlich ist, ihre Einwilligung einholen, bevor Daten erhoben und übermittelt werden.

FID ist ein deutscher Online-Händler für Modeartikel. In seine Webseite ist ein Plugin, der Facebook-„Gefällt mir“-Button, eingebunden. Besucht ein Nutzer die Webseite von Fashion ID, werden Facebook daher Informationen über die IP-Adresse und der Browser-String dieses Nutzers übermittelt. Diese Übermittlung erfolgt automatisch beim Laden der Webseite von Fashion ID unabhängig davon, ob der Nutzer den „Gefällt mir“-Button angeklickt hat oder über ein Facebook Nutzerkonto verfügt.

Die Verbraucherzentrale NRW, ein deutscher Verbraucherschutzverband, hat mit der Begründung, die Verwendung des Facebook-„Gefällt mir“-Buttons verstoße gegen Datenschutzrecht, gegen FID eine Unterlassungsklage erhoben.

Das mit der Sache befasste Oberlandesgericht Düsseldorf (Deutschland) ersucht um die Auslegung einer Reihe von Bestimmungen der früheren Datenschutzrichtlinie von 1995¹ (die weiterhin auf den Fall anwendbar ist, aber durch die neue Datenschutzrichtlinie von 2016² mit Wirkung vom 25.05.2018 ersetzt worden ist).

¹ Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. 1995, L 281, S. 31).

² Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.04. 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1).

In seinen heute vorgelegten Schlussanträgen schlägt Generalanwalt Bobek dem Gerichtshof vor, erstens zu entscheiden, dass die Richtlinie einer nationalen Regelung nicht entgegenstehe, die gemeinnützigen Verbänden die Befugnis einräume, zur Wahrung der Interessen der Verbraucher rechtlich gegen den mutmaßlichen Verletzer von Datenschutzrecht vorzugehen.

Ferner schlägt der Generalanwalt vor, zu entscheiden, dass nach der Datenschutzrichtlinie der Betreiber einer Webseite (wie Fashion ID), der in seine Webseite ein von einem Dritten bereitgestelltes Plugin (wie den Facebook-„Gefällt mir“-Button) eingebunden habe, das die Erhebung und Übermittlung der personenbezogenen Daten des Nutzers veranlasse, zusammen mit diesem Dritten (hier Facebook Ireland) als gemeinsamer Verantwortlicher anzusehen sei.

Diese (gemeinsame) Verantwortlichkeit des für die Verarbeitung Verantwortlichen sollte jedoch auf die Verarbeitungsvorgänge beschränkt sein, für die er tatsächlich einen Beitrag zur Entscheidung über die Mittel und Zwecke der Verarbeitung der personenbezogenen Daten leiste.

Das bedeute, dass ein (gemeinsam) für die Verarbeitung Verantwortlicher für den Vorgang oder die Vorgangsreihe verantwortlich sei, für den bzw. für die er, soweit es den betreffenden Verarbeitungsvorgang angehe, einen Beitrag zu der Entscheidung über dessen Zwecke und Mittel leiste. Im Gegensatz dazu könne die betreffende Person weder für die vorhergehenden noch die nachfolgenden Phasen der Gesamtkette der Datenverarbeitungsvorgänge verantwortlich gemacht werden, für die sie weder die Zwecke noch die Mittel habe festlegen können.

Nach dem Sachverhalt der vorliegenden Rechtssache scheine es daher so zu sein, dass Fashion ID und Facebook Ireland gemeinsam die Mittel und Zwecke der Datenverarbeitung in der Phase der Erhebung und Übermittlung der betreffenden personenbezogenen Daten festlegten.

Vorbehaltlich der Nachprüfung durch das vorlegende Gericht hätten sowohl Facebook Ireland als auch FID somit offenbar willentlich die Phase der Erhebung und Übermittlung von Daten innerhalb der Datenverarbeitung eingeleitet, und trotz fehlender Zweckidentität bestehe eine Einheit der Zwecke: Es würden kommerzielle und Werbezwecke verfolgt (Die Entscheidung von Fashion ID, den Facebook„Gefällt mir“-Button auf ihrer Webseite einzubinden, scheine von dem Wunsch getragen gewesen zu sein, die Sichtbarkeit ihrer Produkte über das soziale Netzwerk zu erhöhen).

Deshalb handele FID in Bezug auf die Erhebungs- und Übermittlungsphase der Datenverarbeitung als ein für die Verarbeitung Verantwortlicher, und seine Haftung bestehe insoweit gemeinsam mit der von Facebook Ireland.

Was die Zulässigkeit der Verarbeitung personenbezogener Daten bei fehlender Einwilligung³ des Nutzers der Webseite betrifft, weist der Generalanwalt darauf hin, dass eine solche Verarbeitung nach der Richtlinie unter drei kumulativen Voraussetzungen zulässig sei:

³ Der Generalanwalt weist jedoch darauf hin, dass, sofern auf den Geräten des Nutzers Cookies platziert würden, seine Einwilligung nach der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12.07.2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) (ABl. 2002, L 201, S. 37) ohnehin erforderlich sei.

Erstens müsse der für die Verarbeitung Verantwortliche oder der bzw. die Dritten, denen die Daten übermittelt würden, ein berechtigtes Interesse verfolgen; zweitens müsse die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein, und drittens dürften die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen. Insoweit schlägt der Generalanwalt dem Gerichtshof vor, zu entscheiden, dass auf die berechtigten Interessen beider im Einzelfall für die Verarbeitung Verantwortlichen (FID und Facebook Ireland) abzustellen sei, und diese Interessen gegen die Rechte der betroffenen Personen abzuwägen seien. Des Weiteren schlägt der Generalanwalt dem Gerichtshof vor, zu entscheiden, dass die Einwilligung des Nutzers der Webseite, sofern erforderlich, gegenüber dem Betreiber der Webseite (FID) zu erklären sei, der Drittinhalte in seine Webseite eingebunden habe. Ebenso gelte die Pflicht, dem Nutzer der Webseite die Informationen zur Verfügung stellen, die er zumindest erhalten müsse, auch für den Betreiber der Webseite (FID).

Die Richter des Gerichtshofs treten nunmehr in die Beratung ein. Das Urteil wird zu einem späteren Zeitpunkt verkündet.

HINWEIS: Die Schlussanträge des Generalanwalts sind für den Gerichtshof nicht bindend. Aufgabe des Generalanwalts ist es, dem Gerichtshof in völliger Unabhängigkeit einen Entscheidungsvorschlag für die betreffende Rechtssache zu unterbreiten.

HINWEIS: Im Wege eines Vorabentscheidungsersuchens können die Gerichte der Mitgliedstaaten in einem bei ihnen anhängigen Rechtsstreit dem Gerichtshof Fragen nach der Auslegung des Unionsrechts oder nach der Gültigkeit einer Handlung der Union vorlegen. Der Gerichtshof entscheidet nicht über den nationalen Rechtsstreit. Es ist Sache des nationalen Gerichts, über die Rechtssache im Einklang mit der Entscheidung des Gerichtshofs zu entscheiden. Diese Entscheidung des Gerichtshofs bindet in gleicher Weise andere nationale Gerichte, die mit einem ähnlichen Problem befasst werden.

(Quelle: Pressestelle EuGH/Curia)

Diesen Beitrag teilen

Das könnte Sie auch interessieren