Datenschutzrecht: EuGH zum Facebook-Like-Button, Pflichten für Websitebetreiber und Plugin-Anbieter?

Anmerkung zum Urteil des EuGHs vom 29.07.2019 zur gemeinsamen Verantwortlichkeit von Websitebetreibern und Social Plugin Anbieter beim Einsatz des Facebook Like-Button.

In seinem Urteil vom 29.07.2019, Aktenzeichen C-40/17 , hat der EuGH nach unserer Ansicht entschieden, dass den Like-Button nutzende Internetseitenbetreiber für die Erhebung sowie Übermittlung von personenbezogenen Besucherdaten gemeinsam mit Facebook verantwortlich sein können.

In dem oben genannten Fall ging es um einen deutschen Online-Händler, der in seine Website den „Gefällt mir“-Button von Facebook einband.  Dies führte zur Übermittlung von personenbezogenen Daten an Facebook, ohne dass sich Besucher dessen bewusst waren. Ob der jeweilige Besucher Mitglied bei Facebook war oder überhaupt der Like-Button betätigt wurde, spielte in der Entscheidung des EuGH nach unserer Ansicht keine Rolle.

Verbandsklagebefugnis in Datenschutzsachen!

Der EuGH stellte zunächst klar, dass die alte Datenschutzrichtlinie nicht der Klageerhebung durch die Verbraucherzentrale NRW entgegensteht:

„[…] Art. 22 bis 24 der Richtlinie 95/46 [sind] dahin auszulegen […], dass sie einer nationalen Regelung, die es Verbänden zur Wahrung von Verbraucherinteressen erlaubt, gegen den mutmaßlichen Verletzer von Vorschriften zum Schutz personenbezogener Daten Klage zu erheben, nicht entgegenstehen.“
(EuGH, Urteil vom 29.07.2019, C-40/17)

Zudem erlaubt nach unserer Auffassung Art. 80 Abs. 2 DSGVO den Mitgliedstaaten nunmehr explizit die Zulassung von Datenschutz-Verbandsklagen.

Gemeinsame Verantwortlichkeit in Sachen des Datenschutzes beim Einsatz von Social Plugins wie dem Like-Button

Sowohl Anbieter von Social Plugins als auch diese Plugins nutzenden Internetseitenbetreiber können nach dem EuGH für die damit einhergehende Datenerhebung sowie deren Weiterleitung gemeinsam verantwortlich sein:

„[…] der Betreiber einer Website wie Fashion ID, der in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, als für die Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 angesehen werden kann. Diese Verantwortlichkeit ist jedoch auf den Vorgang oder die Vorgänge der Datenverarbeitung beschränkt, für den bzw. für die er tatsächlich über die Zwecke und Mittel entscheidet, d. h. das Erheben der in Rede stehenden Daten und deren Weitergabe durch Übermittlung.“
(EuGH, Urteil vom 29.07.2019, C-40/17, Hervorhebungen nicht im Original)

Verantwortlich ist nach Art. 4 Nr. 7 DSGVO wer: „allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“.

Die Figur der gemeinsamen Verantwortlichkeit findet ihre Begründung im Erwägungsgrund 79 zur DSGVO:

„Zum Schutz der Rechte und Freiheiten der betroffenen Personen sowie bezüglich der Verantwortung und Haftung der Verantwortlichen und der Auftragsverarbeiter bedarf es […] einer klaren Zuteilung der Verantwortlichkeiten durch diese Verordnung, einschließlich der Fälle, in denen ein Verantwortlicher die Verarbeitungszwecke und -mittel gemeinsam mit anderen Verantwortlichen festlegt oder ein Verarbeitungsvorgang im Auftrag eines Verantwortlichen durchgeführt wird.“
(Quelle: https://dsgvo-gesetz.de/erwaegungsgruende/nr-79/, Hervorhebungen nicht im Original)

Die von den immer komplexer werdenden Verarbeitungsprozessen personenbezogener Daten Betroffene sollen nach unserer Auffassung durch die Entscheidung des EuGH geschützt werden. Die Gefahr, dass bei der Frage nach der Verantwortlichkeit einfach immer auf andere Stellen verwiesen wird, versucht der EuGH nach unserer Ansicht zu vermeiden.

Grad gemeinsamer Verantwortlichkeit im Einzelfall zu bestimmen

In der oben genannte Entscheidung hat der EuGH festgestellt, dass der Grad der Verantwortlichkeit im Enzelfall zu bestimmen sei:

„[…] das Bestehen einer gemeinsamen Verantwortlichkeit nicht zwangsläufig eine gleichwertige Verantwortlichkeit der verschiedenen Akteure für dieselbe Verarbeitung personenbezogener Daten zur Folge [hat]. Vielmehr können diese Akteure in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß einbezogen sein, so dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist.“
(EuGH, Urteil vom 29.07.2019, C-40/17, Hervorhebungen nicht im Original)

Erstmalige Datenerhebung Mitverantwortlichkeit für Webseitbetreiber neben Plugin Anbieter möglich!

Fashion ID sei nach dem EuGH für die erstmalige Datenerhebung sowie deren Weiterleitung noch gemeinsam mit Facebook verantwortlich, da gemeinsam über die Zwecke und Mittel entscheiden wurde:

Mit der Einbindung eines solchen Social Plugins in ihre Website hat Fashion ID im Übrigen entscheidend das Erheben und die Übermittlung von personenbezogenen Daten der Besucher dieser Seite zugunsten des Anbieters dieses Plugins […] beeinflusst, die ohne Einbindung dieses Plugins nicht erfolgen würden.
Unter diesen Umständen […] ist davon auszugehen, dass Facebook Ireland und Fashion ID über die Mittel, die dem Erheben personenbezogener Daten der Besucher der Website von Fashion ID und deren Weitergabe durch Übermittlung zugrunde lagen, gemeinsam entschieden haben.
Was die Zwecke dieser Vorgänge der Verarbeitung personenbezogener Daten betrifft, scheint es, dass die Einbindung des „Gefällt mir“-Buttons von Facebook durch Fashion ID in ihre Website ihr ermöglicht, die Werbung für ihre Produkte zu optimieren, indem diese im sozialen Netzwerk Facebook sichtbarer gemacht werden, wenn ein Besucher ihrer Website den Button anklickt. Um in den Genuss dieses wirtschaftlichen Vorteils kommen zu können, der in einer solchen verbesserten Werbung für ihre Produkte besteht, scheint Fashion ID mit der Einbindung eines solchen Buttons in ihre Website zumindest stillschweigend in das Erheben personenbezogener Daten der Besucher ihrer Website und deren Weitergabe durch Übermittlung eingewilligt zu haben. Dabei werden diese Verarbeitungsvorgänge im wirtschaftlichen Interesse sowohl von Fashion ID als auch von Facebook Ireland durchgeführt, für die die Tatsache, über diese Daten für ihre eigenen wirtschaftlichen Zwecke verfügen zu können, die Gegenleistung für den Fashion ID gebotenen Vorteil darstellt.“
(EuGH, Urteil vom 29.07.2019, C-40/17, Hervorhebungen nicht im Original)

Spätere Datenweiterverarbeitungen des Plugin Anbieters verursachen keine Mitverantwortung für Websiteanbieter nach dem Datenschutzrecht

Für später allein von Facebook vorgenommene Datenverarbeitungsvorgänge bestehe nach unserer Ansicht dagegen keine Mitverantwortung, nach der Entscheidung des EuGH vom 29.07.2019 scheint es dem Gericht als ausgeschlossen, dass vom Websitebetreiber über Zwecke und Mittel bezüglich der späteren Datenverarbeitungen neben dem Social Plugin Anbieter noch mitentschieden werden kann:

„Dagegen ist nach diesen Informationen auf den ersten Blick ausgeschlossen, dass Fashion ID über die Zwecke und Mittel der Vorgänge der Verarbeitung personenbezogener Daten entscheidet, die Facebook Ireland nach der Übermittlung dieser Daten an sie vorgenommen hat, so dass Fashion ID für diese Vorgänge nicht als verantwortlich im Sinne von Art. 2 Buchst. d angesehen werden kann.“
(EuGH, Urteil vom 29.07.2019, C-40/17, Hervorhebungen nicht im Original)

Berechtigtes Interesse an der Datenverarbeitung seitens der Verantwortlichen Stellen

Sowohl der Internetseitenbetreiber als auch der Plugin-Anbieter müssen nach unserer Auffassung jeweils ein eigenes berechtigtes Interesse nach der DSGVO bezüglich der einzelnen gewünschten Datenverarbeitung wahrnehmen:

„[…] der Betreiber und der Anbieter [müssen] mit diesen Verarbeitungsvorgängen jeweils ein berechtigtes Interesse im Sinne von Art. 7 Buchst. f der Richtlinie 95/46 wahrnehmen, damit diese Vorgänge für jeden Einzelnen von ihnen gerechtfertigt sind.“
(EuGH, Urteil vom 29.07.2019, C-40/17, Hervorhebungen nicht im Original)

Einwilligung vor der Datenverarbeitung seitens der Betroffenen und Informationspflicht der verantwortlichen Stelle gegenüber dem Betroffenen

Zur vorherigen Einwilligung seitens der Betroffenen in die jeweilige Datenverarbeitung, soweit diese erforderlich ist, und den Informationspflichten der verantwortlichen Stellen gegenüber dem Betroffenen äußerte sich der EuGH wie folgt:

„[…] die […] zu erklärende Einwilligung [ist] von dem Betreiber nur in Bezug auf den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten einzuholen […], für den bzw. für die dieser Betreiber tatsächlich über die Zwecke und Mittel entscheidet. […] auch die […] Informationspflicht [trifft] den Betreiber […], wobei dieser die betroffene Person jedoch nur in Bezug auf den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten informieren muss, für den bzw. für die dieser Betreiber tatsächlich über die Zwecke und Mittel entscheidet.“
(EuGH, Urteil vom 29.07.2019, C-40/17, Hervorhebungen nicht im Original)

Unser Fazit zur Entscheidung des EuGH zur gemeinsamen Verantwortlichkeit in Datenschutzsachen:

Der EuGH begrenzt in seinem Urteil zwar die gemeinsame Verantwortlichkeit, allerdings bleibt nach unserer Ansicht schon fraglich, wie Websitebetreiber Ansprüche der Betroffenen aus der vom EuGH wohl nun anerkannten gemeinsamen Verantwortlichkeit bei Social Plugins in der Praxis die Betroffenenrechte umsetzen sollen, denn ohne eigenen Zugriff auf die an den Social Plugin Anbieter übertragenen Daten kann nach unserer Ansicht wohl keine Auskunft, keine Berichtigung oder gar eine Löschung der Daten des jeweiligen Websitenutzer seitens des Websitebetreibers erfolgen.

Bezüglich der Cookie-Banner sei nach unserer Auffassung nun von den Websitenutzern nun, schon bevor es zu einer Datenverarbeitung kommt, eine entsprechende Einwilligung eingeholt werden, wie der EuGH in seiner Entscheigung zu Social Plugins, nun wahrscheinlich auch analog für Cookies zu verstehen sein wird.

Neben dem Like-Button könnten nach der EuGH Entscheidung vom 29.07.2019 auch alle anderen in Websites eingebundenen Drittanbieterdienste einer gemeinsamen datenschutzrechtlichen Verantwortlichkeit unterliegen. Problematisch ist, zudem meist dass es wahrscheinlich an einer nach Art. 26 DSGVO erforderlichen Vereinbarungen zur ggf. gemeinsamen Verantwortlichkeit fehlen wird.

Bisher wurde der Betriebsrat als bloßer Bestandteil des verantwortlichen Unternehmens angesehen und nicht selbst als datenschutzrechtlich Verantwortlicher bzw. Mitverantwortlicher im Sinne einer gemeinsamen Verantwortlichkeit. Über die datenschutzrechtliche Mitverantwortlichkeit des Betriebsrats lässt sich aber aufgrund der mit der DSGVO verbundenen Definitionsänderung des Verantwortlichen streiten, hierzu mehr zu lesen in unserem Blog.

Bei Fragen zu obiger Entscheidung des EuGH und dem rechtskonformen Einsatz von Social-Plugins, Cookies sowie Drittanbieterdiensten und damit verbundenen datenschutzrechtlichen Fragen eignet sich die Beratung durch einen Fachanwalt im IT-Recht und/oder Datenschutzbeauftragten.