Dislike für Facebook Like-Button auch vom EuGH?

Urteilsbesprechung

Executive Summary

EUGH entscheidet über Facebook-Like-Button

Datenschutzrecht. Der Europäische Gerichtshof (EuGH) wird voraussichtlich am Montag, den 29.07.2019 eine Entscheidung im sog. „Fashion ID“-Verfahren - Rechtssache C-40/17 verkünden. In dem Verfahren geht es um Facebooks „Gefällt mir“-Button, der vor einiger Zeit noch auf vielen Websites eingebunden war. Durch diesen Button wurden Daten der Website-Besucher an Facebook übertragen. Nun muss der EuGH entscheiden, ob dies in zulässiger Weise geschehen ist.

Worum geht es?

Das eigentliche Verfahren läuft vor dem Oberlandesgericht (OLG) Düsseldorf zu dem Az. 20 U 40/16. Die Verbraucherzentrale NRW hat das Unternehmen Fashion ID GmbH & Co. KG, welches einen Onlineshop für Kleidung betreibt, verklagt und auf Unterlassung in Anspruch genommen. Das Unternehmen hatte den Facebook „Gefällt mir“-Button – ein sog. „Social Plug-in“ – auf seiner Website integriert. Mittels dieses Plug-ins wurden Daten der Websitebesucher direkt an Facebook übermittelt. Zu den Daten gehörten u.a. Informationen zum Surfverhalten und die IP-Adressen der Websitebesucher.

Fashion ID selbst hatte selbst keinen Zugriff auf die erhobenen Daten und zudem auch keinen Einfluss auf die Konfiguration des Plug-ins – bis auf dessen Einbindung auf der Website. Zudem wurden Daten der Websitebesucher unabhängig davon übertragen, ob Besucher auf den Button klickten oder nicht. Daneben platzierte Facebook verschiedene Cookies (session-, datr-, fr-Cookies) auf den Nutzergeräten, wenn sie die Website aufriefen.

Die Verbraucherzentrale NRW verklagte das Unternehmen Fashion ID auf Unterlassung, da sie die Datenverarbeitung für unzulässig hielt und darin einen Wettbewerbsverstoß gemäß § 3a UWG, §§ 12, 13 TMG sah. Insbesondere kritisierte die Verbraucherzentrale, dass Fashion ID keine Einwilligung der Nutzer in die Verarbeitung ihrer personenbezogenen Daten eingeholt hatte und zudem keine ausreichenden Informationen über die Verarbeitungsprozesse bereitstellte.

Das Landgericht (LG) Düsseldorf hatte mit Urteil vom vom 09.03.2016, Az. 12 I 151/15 der Verbraucherzentrale Recht gegegeben. Wir berichteten. Dabei nahm das LG an, dass es sich bei den §§ 12, 13 TMG um Marktverhaltensregeln handele, sodass deren Verletzung eine unlautere Handlung im Sinne des § 3a UWG begründe. Zudem urteilte es, dass Fashion ID auch für die Verarbeitung der Daten (datenschutzrechtlich) verantwortlich sein. Dies schlussfolgerte das Gericht aus dem Umstand, dass Fashion ID die Datenverarbeitung erst durch die Einbindung auf der Website ermöglichte.

Fashion ID legte gegen die Entscheidung Berufung zum Oberlandesgericht (OLG) Düsseldorf ein. Zur Beantwortung verschiedener entscheidungserheblicher Fragen legte das OLG diese sodann dem EuGH zur Vorabentscheidung vor, vgl. Beschluss vom 19.01.2017 – Az. I-20 U 40/16:

1. Steht die Regelung in Artikeln 22, 23 und 24 der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr vom 24. Oktober 19951 einer nationalen Regelung entgegen, die neben den Eingriffsbefugnissen der Datenschutzbehörden und den Rechtsbehelfsmöglichkeiten des Betroffenen gemeinnützigen Verbänden zur Wahrung der Interessen der Verbraucher die Befugnis einräumt, im Falle von Verletzungen gegen den Verletzer vorzugehen?

Falls die Frage 1) verneint wird:

2. Ist in einem Fall wie dem vorliegenden, bei dem jemand einen Programmcode in seine Webseite einbindet, der den Browser des Benutzers veranlasst, Inhalte von einem Dritten anzufordern und hierzu personenbezogene Daten an den Dritten zu übermitteln, der Einbindende „für die Verarbeitung Verantwortlicher“ im Sinne von Art. 2 Buchstabe d) der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr vom 24. Oktober 1995, wenn er selber diesen Datenverarbeitungsvorgang nicht beeinflussen kann?
3. Falls die Frage 2 zu verneinen ist: Ist Art. 2 Buchstabe d) der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr dahingehend auszulegen, dass er die Haftung und Verantwortlichkeit in dem Sinne abschließend regelt, dass er einer zivilrechtlichen Inanspruchnahme eines Dritten entgegen steht, der zwar nicht „für die Verarbeitung Verantwortlicher“ ist, aber die Ursache für den Verarbeitungsvorgang setzt, ohne diesen zu beeinflussen?
4. Auf wessen „berechtigte Interessen“ ist in einer Konstellation wie der vorliegenden bei der nach Art. 7 Buchstabe f) der Richtlinie 95/46/EG vorzunehmende Abwägung abzustellen? Auf das Interesse an der Einbindung von Drittinhalten oder auf das Interesse des Dritten?
5. Wem gegenüber muss die nach Art. 7 Buchstabe a) und Art. 2 Buchstabe h) der Richtlinie 95/46/EG zu erklärende Einwilligung in einer Konstellation wie der vorliegenden erfolgen?
6. Trifft die Informationspflicht des Art. 10 der Richtlinie 95/46/EG in einer Situation wie der vorliegenden auch den Betreiber der Webseite, der den Inhalt eines Dritten eingebunden hat und so die Ursache für die Verarbeitung personenbezogener Daten durch den Dritten setzt?

EuGH-Generalanwalt: Fashion ID ist für Datenverarbeitung verantwortlich

Der EuGH-Generalanwalt in diesem Verfahren, Michael Bobek, stellte am 19.12.2018 seine Schlussanträge. Zwar berücksichtigte er dabei noch die alte Rechtslage nach der Datenschutzrichtlinie (95/46), da die DSGVO auf dieses Verfahren noch keine Anwendung fände. Jedoch ließen sich die Wertungen insgesamt auch auf die aktuelle Rechtslage nach der DSGVO übertragen. Der Generalanwalt ging zunächst davon aus, dass Fashion ID für die Datenverarbeitung, welche durch das Plug-in erfolgte, gemeinsam mit Facebook verantwortlich im datenschutzrechtlichen Sinne sei, vgl. Art. 4 Nr. 7 DSGVO. Dies begründete er damit, dass Fashion ID das Plug-in auf seiner Website eingebunden und somit wesentlichen Einfluss auf die Datenverarbeitung genommen habe:

„Indem die Beklagte das betreffende Tool also freiwillig in ihre Webseite einbindet, hat sie die besagten Parameter in Bezug auf die Besucher ihrer Webseite festgelegt.“ (Rn. 69 der Schlussanträge).

An der Verantwortlichkeit ändere es auch nichts, dass Fashion ID selbst gar keinen Zugang zu den mittels des Plug-ins verarbeiteten Daten habe:

„Drittens kann eine Person im Licht des Urteils Jehovan todistajat in jedem Fall als gemeinsam für die Verarbeitung Verantwortlicher eingestuft werden, selbst wenn sie nicht einmal Zugang zu den „Früchten der gemeinsamen Arbeit“ hat.“ (vgl. Rn. 70 der Schlussanträge).

Allerdings müsse die Haftung von Fashion ID auf diejenige Phase der Datenverarbeitung beschränkt sein, an welcher das Unternehmen tatsächlich beteiligt ist (vgl. Rn. 107 der Schlussanträge). Die Haftung dürfe hingegen nicht auf weitere Datenverarbeitungen durch Facebook erstreckt werden, wenn diese außerhalb jeglicher Einflussmöglichkeit und auch ohne Kenntnis von Fashion ID erfolgten.

Der Generalanwalt führte außerdem aus, dass – sofern die Datenverarbeitung aufgrund berechtigter Interessen der Verantwortlichen erfolge, im Falle der gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO auf die berechtigten Interessen beider Verantwortlicher abgestellt werden müsse und diese sodann gegen die Interessen und Rechte der Betroffenen abgewogen werden müssten.

Außerdem sei eine Einwilligung in die Datenverarbeitung gegenüber Fashion ID zu erklären gewesen, da das Unternehmen das Plug-in in seine Website eingebunden habe. Dies sei auch bei Nutzern, die über ein Facebook-Profil verfügten, nach Ansicht des Generalanwalts nicht anders. Facebook-Nutzer würden mit der Erstellung ihres Facebook-Profils nicht im Voraus in sämtliche Datenverarbeitungen einwilligen, „die im Zusammenhang mit Online-Aktivitäten solcher ‚Facebook-Nutzer‘ durch Dritte“ erfolge (vgl. Rn. 138 der Schlussanträge). Fashion ID hätte die Nutzer über die Datenverarbeitung gemäß Art. 13 DSGVO informieren müssen. Sowohl die Einholung der Einwilligung als auch das Bereitstellen der Informationen müssten auch zeitlich vor der Erhebung und Übermittlung der Daten geschehen.

Wie wird der EuGH entscheiden?

Am 29.07.2019 wissen wir mehr. Große Überraschungen werden allerdings nicht erwartet. Nachdem der EuGH sich im Zuge der „Jehovas Zeugen“- Entscheidung sowie der „Facebook Fanpages“-Entscheidung bereits zur gemeinsamen Verantwortlichkeit im Sinne des Art. 26 DSGVO geäußert und entschieden hatte, dass Betreiber einer Facebook-Fanpage gemeinsam mit Facebook für die entsprechenden Datenverarbeitungen verantwortlich seien, wird nun erwartet, dass der EuGH nunmehr diese Ansicht bestätigen wird. Spannend ist allerdings, ob es zu einer gewissen Einschränkung kommen wird, wie sie der Generalanwalt in seinen Schlussanträgen angesprochen hat.

Wir werden berichten.

Sie benötigen Beratung im Datenschutzrecht? Dann kontaktieren Sie uns gerne.

Was davon heute fortgilt

Die Entscheidung betrifft zwar ein historisches Social-Plugin, ihr rechtlicher Kern reicht aber weiter. Wer fremde Plugins, Skripte, Widgets oder andere Drittinhalte so einbindet, dass bereits beim Laden einer Seite Daten an Dritte fließen, muss Rollenverteilung, Transparenz, Rechtsgrundlage und technische Ausgestaltung vorab sauber prüfen. Für die vertiefte Einordnung von Website-Integrationen, Tracking, Transparenzpflichten und Rollenfragen führt die fachliche Vertiefung im Datenschutzrecht weiter.

FAQ

Offizielle Quellen und weiterführende Hinweise

Zuständige Rechtsanwälte bei ITMR

Bei Website-Integrationen mit Drittinhalten, Datenschutzhinweisen, Einwilligungslogiken und Fragen der gemeinsamen Verantwortlichkeit liegt der Schwerpunkt typischerweise im Datenschutz- und IT-Recht.

Kurzes Fazit

Der Beitrag bleibt als Vorab-Einordnung eines später entschiedenen Grundsatzfalls relevant. Für aktuelle Website-Projekte ist entscheidend, dass fremde Plugins, Skripte und ähnliche Einbindungen nicht erst im Banner oder in der Datenschutzerklärung, sondern bereits bei Rollenklärung, Datenflussanalyse und technischer Ausgestaltung sauber vorbereitet werden.

Wo Altlasten, eingebettete Drittinhalte oder Datenschutzhinweise auf Websites überprüft werden müssen, ist häufig zuerst eine strukturierte Prüfung der Website-Datenflüsse und Datenschutzhinweise sinnvoll.