Zentrale Normen: § 3 Abs. 7 (BDSG) a.F., Art. 2 lit. d EG-Richtlinie 95/46, Art. 4 Ziff. 7 DS-GVO
Das OLG Düsseldorf hat dem EuGH im Rahmen eines Vorabentscheidungsverfahrens die Frage vorgelegt, ob Facebook und ein Webseiten-Betreiber gemeinsam für die Datenverarbeitung verantwortlich sind, wenn der Webseiten-Betreiber den „Facebook-Like-Button“ durch ein sogenanntes Plug-In auf seiner Website integriert. Diese Frage erinnert an einen ähnlichen Fall aus diesem Jahr, welcher sich mit der datenschutzrechtlichen Verantwortlichkeit beim Betrieb von Fanpages befasste.
Verlauf der Entscheidungen zur datenschutzrechtlichen Verantwortung – das Fanpage-Urteil
Schon im Juni diesen Jahres lag dem EuGH die Frage vor, ob Facebook und der Betreiber einer Fanpage auf Facebook gemeinsam für die Verarbeitung von personenbezogenen Daten verantwortlich sind. Hintergrund: Der Betreiber einer Fanpage kann Facebook nutzen, um für seine Produkte und Dienstleistungen zu werben. Die Fanpage ist sowohl für Facebook-Nutzer abrufbar als auch für Besucher, die keinen Facebook-Account haben. Unabhängig davon, ob der Besucher Nutzer ist oder nicht, platziert das Soziale Netzwerk beim Aufruf einer solchen Seite einen Cookie (kleine Textdatei, die auf dem Endgerät des Besuchers gespeichert wird und Informationen zum Nutzerverhalten enthält).
Der EuGH legte fest, dass es sich bei den Fanpage-Betreibern um (Mit-) Verantwortliche gemäß § 3 Abs. 7 Bundesdatenschutzgesetz (BDSG) a.F. handelt (Entscheidung vom 5.6.2018, Az. C-210/16). Es ging im Kern um die Frage, ob Art. 2 lit. d der EG-Richtlinie 95/46 (Datenschutzrichtlinie) so auszulegen ist, dass von einer gemeinsamen Verantwortlichkeit von sozialem Netzwerk und Fanpage-Betreibern ausgegangen werden kann, wenn Daten verarbeitet werden. Der EuGH legte in seiner Entscheidung den Begriff „des für die Verarbeitung Verantwortlichen“ großzügig aus. Das Ziel der Bestimmung besteht nach Auffassung des EuGH nämlich darin, durch eine weite Definition des Begriffs des „Verantwortlichen“ einen wirksamen und umfassenden Schutz der betroffenen Personen zu gewährleisten. Nach dem EuGH reicht es aus, wenn ein wesentlicher Beitrag zur Datenerhebung durch den Fanpage-Betreiber unterstützt wird. Dies ist der Fall, wenn über die Zwecke und Mittel einer Verarbeitung personenbezogener Daten entschieden werden kann. Dies war in dem konkreten Fall gegeben. Nach Ansicht des Gerichtshofs könne der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutze, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, diesen nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien. Die Verarbeitung personenbezogener Daten ermöglicht dem Betreiber einer Fanpage, zum Zwecke der Steuerung der Vermarktung seiner Tätigkeit Statistiken, die Facebook erstellt, zu erhalten. Damit profitiert auch der Betreiber der Fanpage von der Verarbeitung der personenbezogenen Daten. Mit der Entscheidung des EuGH steht also fest, dass sowohl Facebook als auch der Betreiber der Fanpage gemeinsam datenschutzrechtlich verantwortlich sind. Wir berichteten über die Entscheidung und die Hintergründe hier.
Gilt diese Entscheidung auch bei integrierten Like-Buttons?
Gegenstand des aktuellen Verfahrens vor dem EuGH
In dem derzeit dem EuGH vorliegenden Sachverhalt dreht es sich im Kern ebenfalls um die Problematik der datenschutzrechtlichen Verantwortlichkeit. Es handelt sich dabei um einen Rechtsstreit zwischen der Verbraucherzentrale NRW und dem Online-Shop Fashion ID GmbH & Co. KG. Es geht hierbei konkret um eine Website, auf der der Facebook Like-Button eingebunden ist. Die Implementierung dieses Tools führt dazu, dass u.a. sogenannte Logfile-Daten des Besuchers zusammen mit Daten zu dessen Surfverhalten (IP-Adresse, Referrer-URL, genutzter Browsertyp, Betriebssystem, Verweildauer u.a.) an Facebook übermittelt werden – und zwar unabhängig davon, ob der Nutzer den Button tatsächlich anklickt oder nicht. Auch widersprechen kann der Website-Besucher in diesem Falle nicht.
Die Verbraucherzentrale Düsseldorf hält die Einbindung des Like-Buttons für wettbewerbswidrig und klagte deshalb beim Landgericht Düsseldorf auf Unterlassung. Das Gericht gab dieser Klage weitestgehend statt und stellte sich damit auf den Standpunkt, dass datenschutzrechtliche Vorschriften nach dem Telemediengesetz (TMG) den Marktverhaltensregeln nach dem Gesetz gegen den unlauteren Wettbewerb (UWG) entsprechen. Damit besteht nach Auffassung des Landgerichts eine datenschutzrechtliche Verantwortlichkeit des Online-Shops nach § 3 Abs. 7 BDSG a.F. Der Online-Shop legte daraufhin Berufung beim OLG Düsseldorf ein, welches diese Frage nun dem EuGH im Rahmen eines Vorabentscheidungsverfahrens vorgelegt hat.
Das OLG möchte dabei vom EuGH wissen, ob die Website-Betreiber und Facebook durch die Einbindung des Like-Buttons und die damit verbundene Übermittlung von personenbezogenen Daten im Sinne von § 3 Abs. 7 BDSG a.F. gemeinsam verantwortlich sind. Darüber hinaus soll die Frage beantwortet werden, ob neben der direkten datenschutzrechtlichen Verantwortlichkeit auch eine zivilrechtliche Inanspruchnahme eines Dritten möglich ist, der zwar nicht „für die Verarbeitung verantwortlich“ ist, aber die Ursache für den Verarbeitungsvorgang setzt, ohne diesen zu beeinflussen.
Mögliche Entscheidung des EuGH
Dabei lassen sich die Argumente aus dem Vorabentscheidungsverfahren von Juni 2018 hinsichtlich der Fanpage-Entscheidung auch auf diesen Fall übertragen. Die Gemeinsamkeiten liegen vor allem darin begründet, dass es schon bei dem Fanpage – Fall irrelevant war, ob der (Mit-)Verantwortliche Zugriff auf die personenbezogenen Daten hat oder nicht. Die direkte Übermittlung an Facebook ohne Kenntnisnahme der Website- Betreiber kann also keine Rolle spielen. Hinzu kommt, dass der Website-Betreiber durch die Implementierung des Like-Buttons erst die Übermittlung an Facebook ermöglicht. Darüber hinaus werden auch in dieser Konstellation Daten von Personen erhoben, die selbst gar nicht bei Facebook registriert sind.
Jedoch können die Website-Betreiber nicht durch Parameter mitentscheiden, welche Daten verarbeitet werden. Das ist bezüglich der Fanpage-Betreiber auf Facebook anders. Jedoch sprechen andere zusätzliche Umstände für eine Mitverantwortlichkeit der Website-Betreiber. Da es sich um die eigene Website des Betreibers handelt, kann er anders als Fanpage- Betreiber auf Facebook eigenständig entscheiden, ob Plug-Ins integriert werden.
Damit spricht also viel dafür, dass der EuGH auch hier von einer Mitverantwortlichkeit der Website-Betreiber ausgeht. Bis zur Entscheidung des EuGH ist es daher derzeit nicht empfehlenswert, den Facebook Like-Button auf der eigenen Website zu integrieren, um nicht die datenschutzrechtliche Verantwortung zu tragen.
Mögliche Rechtsfolgen bei Annahme gemeinsamer Verantwortlichkeit
Gemäß Art. 26 der Datenschutz-Grundverordnung (DS-GVO) müssen beide Verantwortliche eine Vereinbarung schließen, in der in transparenter Form festgelegt wird, wer von ihnen welche Verpflichtung aus der DS-GVO erfüllt. Zudem müsste der Website-Betreiber als Mitverantwortlicher seine Informationspflichten nach den Art. 13,14 DS-GVO erfüllen. Da der Website-Betreiber aber regelmäßig keine Kenntnis von der Datenverarbeitung durch Facebook hat, sieht die Konferenz der unabhängigen Datenschutzbehören (DSK) diese in der Holschuld – sie müssen also selbst dafür sorgen, dass Facebook ihnen die entsprechenden Informationen zur Verfügung stellt, die sie für die Erfüllung ihrer Informationspflicht benötigen.
Das OLG Düsseldorf hat bekannt gegeben, dass es dem EuGH eine Reihe von Anschlussfragen vorlegen wird, sollte dieser eine gemeinsame Verantwortlichkeit bejahen. Eine der Fragen befasst sich dabei mit der Erfüllung der Informationspflicht durch die Verantwortlichen.
Haben Sie Fragen? Unser Team berät Sie gern.