Der EuGH hat mit seiner Entscheidung vom 29. Juli 2019 (Rs. C‑40/17) erneut Stellung zum Datenschutzrecht genommen und die Argumentation von Verbraucherschützern bestätigt. Den Richtern zu Folge ist der Betreiber einer Webseite sowohl für das Erheben als auch die Weiterleitung der personenbezogenen Daten von Besuchern seiner Webseite grundsätzlich verantwortlich. Wird ein Like-Button bereitstellt, kann eine Mitverantwortlichkeit mit Facebook & Co. bestehen.
Verbraucherschützer sahen mehrere Datenschutzverstöße
Geklagt hatte der Verbraucherzentrale NRW e.V. gegen die Fashion ID GmbH & Co. KG. Letztere hatte auf Ihrer Webseite den “Like”- bzw. “Gefällt-mir”-Button von Facebook eingebaut. Durch dieses Social Plugin wurden personenbezogene Daten von allen Besuchern der Webseite automatisch an Facebook weitergeleitet. Das geschah unabhängig davon, ob sie den “Like”-Button benutzt haben oder selbst überhaupt Mitglied bei Facebook waren.
Dies wollten die Verbraucherschützer verhindern. Sie sahen in der Einbindung des Social-Plugins gleich mehrere Verstöße gegen das Datenschutzrecht. So habe Fashion ID nicht ausreichend über die Datenerhebung und -weitergabe informiert und keine Einwilligung der Nutzer hierfür gehabt.
Gemeinsame Verantwortlichkeit (nur) bis zur Weiterleitung
Die Richter betonen in ihrer Entscheidung einerseits, dass die Betreiber einer Webseite gemeinsam mit dem Anbieter eines Social Plugins für die Erhebung und die Weitergabe der personenbezogenen Daten an den Anbieter verantwortlich sind. Den Webseitenbetreiber trifft aber andererseits dann keine Verantwortlichkeit mehr, wenn die Daten ausschließlich beim Anbieter des Social Plugins liegen und dort verarbeitet werden.
Grund für die vorherige gemeinsame Verantwortlichkeit ist zum einen, dass sowohl der Webseitenbetreiber als auch der Anbieter des Social Plugins eigene wirtschaftliche Vorteile aus diesen beiden Datenverarbeitungen haben und verfolgen. Zum anderen entscheide auch der Webseitenbetreiber über Mittel und Zweck der Datenverarbeitung, da er es selbst in der Hand hat, welche Social Plugins er wie genau auf seiner Webseite einbindet.
In der Praxis dürfte die “Gemeinsame Verantwortlichkeit” auf kleinere wie größere Probleme stoßen. Art. 26 DSGVO schreibt u.a. vor, dass die
tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln. Das wesentliche der Vereinbarung wird der betroffenen Person zur Verfügung gestellt.
Berechtigtes Interesse muss bei allen Verantwortlichen vorliegen
Darüber hinaus hat der EuGH auch zu den möglichen Rechtsgrundlagen für die Datenverarbeitung Stellung genommen. Konkret geht es um die Möglichkeit der vorherigen Einwilligung der Nutzer sowie die Berufung auf ein berechtigtes Interesse.
Sofern sich Webseitenbetreiber auf ein berechtigtes Interesse als Rechtsgrundlage stützen, betonen die Luxemburger Richter, dass dieses für alle (Mit)Verantwortlichen geprüft und vorliegen muss. Es reicht gerade nicht aus, dass sich nur einer der Verantwortlichen auf ein berechtigtes Interesse stützen kann.
Die Prüfung eines “berechtigten Interesses” im Sinne der DSGVO erfolgt grundlegend in drei Stufen:
- Berechtigtes Interesse: Besteht ein Interesse, das von dem für die Verarbeitung Verantwortlichen und/oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden?
- Erforderlichkeit: Ist die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich?
- Interesse der betroffenen Person: Besteht (k)ein Überwiegen der Grundrechte und Grundfreiheiten der betroffenen Person?
Pflicht zur Einholung der Einwilligung und Information der Nutzer trifft auch den Webseitenbetreiber
Kann ein berechtigtes Interesse nicht dargelegt werden, wäre die Einwilligung in die Nutzung denkbar. Die Einwilligung der Nutzer muss dabei die Verarbeitungsvorgänge umfassen, für die der Webseitenbetreiber auch selbst (mit)verantwortlich ist. Konkret also die Datenerhebung und -weiterleitung an Facebook.
Für die Datenverarbeitungen, die bei Facebook selbst geschehen, ist der Webseitenbetreiber nicht mehr verantwortlich und muss daher auch keine Einwilligung für diese einholen. Dies ist allein Aufgabe von Facebook.
Jedoch trifft den Betreiber einer Webseite neben der Pflicht die Einwilligung selbst einzuholen auch die Pflicht, die Nutzer über die Datenverarbeitungen entsprechend zu informieren. Auch dies ist wiederum auf die Datenverarbeitungsvorgänge beschränkt, bei denen der Betreiber selbst Mittel und Zwecke bestimmen kann.
EuGH bleibt seiner Linie treu: Datenschutzrechtliche Verantwortlichkeit von Websitebetreibern ist ernst zu nehmen
Die Luxemburger Richter haben die Vorlagefragen damit offensichtlich zum Anlass genommen, ihre bisherige Rechtsprechung zum Datenschutzrecht fortzuschreiben.
Erst letztes Jahr hatte der EuGH geurteilt, dass Betreiber einer sogenannten Facebook-Fanpage ebenfalls zusammen mit Facebook eine datenschutzrechtliche gemeinsame Verantwortlichkeit trifft. Das aktuelle Urteil ist daher als konsequente Fortführung dieser früheren Entscheidung zu verstehen und betont nochmal die datenschutzrechtliche Verantwortlichkeit von Webseitenbetreibern.
Damit folgt der EuGH auch den Empfehlungen des Generalanwalts Michal Bobek vom 19. Dezember 2018. Dieser hatte ebenfalls eine gemeinsame Verantwortlichkeit von Webseitenbetreibern und Social-Media-Diensteanbietern bejaht.
Entscheidung auf die DSGVO und andere Dienste übertragbar
Die Entscheidung des EuGH erging noch auf Grundlage der alten Datenschutzrichtlinie (RL 95/46/EG). Die Entscheidung dürfte aber ohne größere Probleme auch auf die aktuelle Rechtslage übertragen werden können. Die Begriffe des “Verantwortlichen”, die Möglichkeiten zur rechtmäßigen Verarbeitung personenbezogener Daten sowie die grundlegenden Informationspflichten wurden aber auch in der neuen Datenschutz-Grundverordnung (DSGVO) in vielen Punkten übernommen.
Darüber hinaus ist die Entscheidung des EuGH grundsätzlich auch auf andere Anbieter von Social Media Plugins übertragbar, z.B. Instagram, Twitter, YouTube, Pinterest, Xing oder LinkedIn. Aber nicht nur das: Die Erhebung und Weiterleitung von personenbezogenen Daten von Nutzern einer Webseite an Dritte findet klassischerweise auch bei vielen Analyse-Diensten, wie z.B. Google Analytics, statt. Auch in diesen Fällen kann daher eine gemeinsame Verantwortlichkeit zu prüfen sein.
Im Grunde dürfte auch bei Cookies eine ähnliche Entscheidung zu erwarten sein. Der Generalanwalt hat hierzu bereits ausgeführt.
