EuGH-Urteil vom 29.7.2019, Rechtssache C-40/17

 

Sachverhalt:

Ein Online-Händler für Modeartikel (Fashion ID) band den „Gefällt mir“-Button des sozialen Netzwerks Facebook auf seine Website ein. Beim Aufrufen der Website durch einen Besucher wurden aufgrund der Einbindung dieses Buttons in die Website personenbezogene Daten dieses Besuchers an Facebook übermittelt. Diese Übermittlung erfolgte, ohne dass sich der Besucher dessen bewusst war und unabhängig davon, ob er Mitglied von Facebook war oder den „Gefällt mir“-Button von Facebook anklickt hat.

Die Verbraucherzentrale NRW warf dem Online-Händler vor, personenbezogene Daten der Besucher ihrer Website ohne deren Einwilligung und unter Verstoß gegen die Informationspflichten nach den Vorschriften über den Schutz personenbezogener Daten an Facebook übermittelt zu haben und klagte.

Das Oberlandesgericht Düsseldorf beschloss, das Verfahren auszusetzen und den Fall dem EuGH zur Vorabentscheidung vorzulegen.

 

Entscheidung:

Der EuGH stellte zunächst fest, dass es Verbänden zur Wahrung von Verbraucherinteressen erlaubt ist, gegen den mutmaßlichen Verletzer von Vorschriften zum Schutz personenbezogener Daten Klage zu erheben. (Die DSGVO sieht das Klagerecht für Verbände bereits ausdrücklich vor.)

Danach befasste sich der EuGH mit der Frage, ob der Betreiber einer Website, der ein Social Plugin einbindet, das personenbezogene Daten des Besuchers an den Anbieter übermittelt, als für die Verarbeitung Verantwortlicher angesehen werden kann, obwohl er keinen Einfluss auf die Verarbeitung hat.

Zunächst hielt der EuGH fest, dass eine Verarbeitung personenbezogener Daten aus einem oder mehreren Vorgängen bestehen kann. Wenn mehrere Akteure gemeinsam die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmen, sind diese Akteure an dieser Verarbeitung als Verantwortliche beteiligt. Im vorliegenden Fall hat Fashion ID es Facebook durch den „Gefällt mir“-Button offenbar ermöglicht, personenbezogene Daten der Besucher ihrer Website zu erhalten. Diese Möglichkeit entsteht ab dem Zeitpunkt des Aufrufens einer solchen Seite, und zwar unabhängig davon, ob diese Besucher Mitglieder von Facebook sind, ob sie den „Gefällt mir“-Button von Facebook angeklickt haben oder auch ob sie von diesem Vorgang Kenntnis haben. Fashion ID hat den „Gefällt mir“-Button von Facebook offenbar in diesem Wissen in ihre Website eingebunden und hat das Erheben und die Übermittlung der Daten an Facebook entscheidend beeinflusst. Unter diesen Umständen ging der EuGH davon aus, dass Facebook und Fashion ID über die Mittel, die dem Erheben personenbezogener Daten der Besucher der Website von Fashion ID und deren Weitergabe durch Übermittlung zugrunde lagen, gemeinsam entschieden haben.

Was die Zwecke dieser Vorgänge der Verarbeitung personenbezogener Daten betrifft, kam der EuGH zu der Ansicht, dass es Fashion ID so ermöglicht wurde, die Werbung für ihre Produkte zu optimieren. Um in den Genuss dieses wirtschaftlichen Vorteils kommen zu können, scheint Fashion ID mit der Einbindung eines solchen Buttons in ihre Website zumindest stillschweigend in das Erheben personenbezogener Daten eingewilligt zu haben.

Der EuGH kam daher zu dem Ergebnis, dass Fashion ID für die Vorgänge des Erhebens personenbezogener Daten der Besucher ihrer Website und deren Weitergabe durch Übermittlung gemeinsam mit Facebook als verantwortlich im Sinne von Art. 2 Buchst. d der Datenschutzrichtlinie (RL 95/46) anzusehen ist.

Für die Datenverarbeitungsvorgänge, die Facebook nach der Übermittlung der Daten an sie vorgenommen hat, kann der Händler jedoch nicht als verantwortlich angesehen werden kann.

Im Hinblick auf eine nun unter Umständen notwendig werdende Einwilligung der Website-Besucher führte der EuGH aus, dass diese vor dem Erheben der Daten der betroffenen Person und deren Weitergabe durch Übermittlung erklärt werden müsse. Daher würde es dem Betreiber der Website obliegen und nicht dem Anbieter des Social Plugins, diese Einwilligung einzuholen, da der Verarbeitungsprozess der personenbezogenen Daten dadurch ausgelöst wird, dass ein Besucher diese Website aufruft.

Das Gleiche gilt für die Informationspflicht nach Art. 10 der Datenschutzrichtlinie. Der Websitebetreiber ist ver­pflich­tet, über den Vor­gang der Erhe­bung und Über­mitt­lung der Daten zu infor­mie­ren. Der für die Verarbeitung Verantwortliche hat diese Information sofort zu erteilen, dh zum Zeitpunkt des Erhebens der Daten. Daraus folgt, dass in einer Situation wie der im Ausgangsverfahren auch die Informationspflicht den Betreiber der Website trifft, wobei dieser die betroffene Person jedoch nur in Bezug auf den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten informieren muss, für den bzw für die dieser Betreiber tatsächlich über die Zwecke und Mittel entscheidet.