“Gefällt mir” – und die datenschutzrechtliche Verantwortlichkeit

Der Betreiber einer Website, in der der „Gefällt mir“Button von Facebook enthalten ist, kann für das Erheben und die Übermittlung der personenbezogenen Daten der Besucher seiner Website gemeinsam mit Facebook verantwortlich sein. Dagegen ist er grundsätzlich nicht für die spätere Verarbeitung dieser Daten allein durch Facebook verantwortlich.

Die entschied jetzt der Gerichtshof der Europäischen Union auf ein Vorabentscheidungsersuchen des Oberlandesgerichtsgerichts Düsseldorf zwischen der Verbraucherzentrale NRW und der Fa. Fashion ID, eine im OnlineHandel mit Modeartikeln tätige Tochter der Peek & Cloppenburg KG Düsseldorf. Dies band in ihre Website den „Gefällt mir“Button von Facebook ein. Diese Einbindung des “Gefällt mir”Buttons hat zur Folge, dass beim Aufrufen der Website von Fashion ID durch einen Besucher die personenbezogenen Daten dieses Besuchers an Facebook Ireland übermittelt werden. Diese Übermittlung erfolgt, ohne dass sich der Besucher dessen bewusst ist und unabhängig davon, ob er Mitglied des sozialen Netzwerks Facebook ist oder den „Gefällt mir“Button angeklickt hat. Die Verbraucherzentrale NRW warf Fashion ID vor, personenbezogene Daten der Besucher ihrer Website ohne deren Einwilligung und unter Verstoß gegen die Informationspflichten nach den Vorschriften über den Schutz personenbezogener Daten an Facebook Ireland übermittelt zu haben.

Das in der Berufungsinstanz mit dem Rechtsstreit befasste Oberlandesgericht Düsseldorf richtete daraufhin ein Vorabentscheidungsersuchen an den Gerichtshof der Europäischen Union zur Auslegung einer Reihe von Bestimmungen der früheren Datenschutzrichtlinie von 19951, die weiterhin auf den Fall anwendbar ist, auch wenn sie zwischenzeitlich durch die neue DatenschutzGrundverordnung von 20162 mit Wirkung vom 25. Mai 2018 ersetzt worden ist.

Im Wege eines solchen Vorabentscheidungsersuchens können die Gerichte der Mitgliedstaaten in einem bei ihnen anhängigen Rechtsstreit dem Gerichtshof der Europäischen Union Fragen nach der Auslegung des Unionsrechts oder nach der Gültigkeit einer Handlung der Europäischen Union vorlegen. Der Unionsgerichtshof entscheidet dabei nur über die vorgelegte Rechtsfrage, nicht dagegen über den nationalen Rechtsstreit. Es ist und bleibt vielmehr Sache des nationalen Gerichts, sodann über die Rechtssache im Einklang mit der Entscheidung des Unionsgerichtshofs zu entscheiden. Die Entscheidung des Unionsgerichtshofs bindet in gleicher Weise auch andere nationale Gerichte, die mit einem ähnlichen Problem befasst werden.

In seinem jetzt verkündeten Urteil stellt der Gerichtshof der Europäischen Union zunächst klar, dass die alte Datenschutzrichtlinie nicht dem entgegensteht, dass es Verbänden zur Wahrung von Verbraucherinteressen erlaubt ist, gegen den mutmaßlichen Verletzer von Vorschriften zum Schutz personenbezogener Daten Klage zu erheben. Der Unionsgerichtshof weist darauf hin, dass die neue DatenschutzGrundverordnung nunmehr ausdrücklich diese Möglichkeit vorsieht.

Der Unionsgerichtshof stellt sodann fest, dass Fashion ID für die Datenverarbeitungsvorgänge, die Facebook Ireland nach der Übermittlung der Daten an sie vorgenommen hat, anscheinend nicht als verantwortlich angesehen werden kann. Es erscheint nämlich auf den ersten Blick ausgeschlossen, dass Fashion ID über die Zwecke und Mittel dieser Vorgänge entscheidet.

Dagegen kann Fashion ID für die Vorgänge des Erhebens der in Rede stehenden Daten und deren Weiterleitung durch Übermittlung an Facebook Ireland als gemeinsam mit Facebook verantwortlich angesehen werden, da (vorbehaltlich der vom Oberlandesgericht Düsseldorf vorzunehmenden Nachprüfung) davon ausgegangen werden kann, dass Fashion ID und Facebook Irland gemeinsam über die Zwecke und Mittel entscheiden.

Es scheint insbesondere, dass die Einbindung des „Gefällt mir“Buttons von Facebook durch Fashion ID in ihre Website ihr ermöglicht, die Werbung für ihre Produkte zu optimieren, indem diese im sozialen Netzwerk Facebook sichtbarer gemacht werden, wenn ein Besucher ihrer Website den Button anklickt. Um in den Genuss dieses wirtschaftlichen Vorteils kommen zu können, der in einer solchen verbesserten Werbung für ihre Produkte besteht, scheint Fashion ID mit der Einbindung eines solchen Buttons in ihre Website zumindest stillschweigend in das Erheben personenbezogener Daten der Besucher ihrer Website und deren Weitergabe durch Übermittlung eingewilligt zu haben. Dabei werden diese Verarbeitungsvorgänge im wirtschaftlichen Interesse sowohl von Fashion ID als auch von Facebook Ireland durchgeführt, für die die Tatsache, über diese Daten für ihre eigenen wirtschaftlichen Zwecke verfügen zu können, die Gegenleistung für den Fashion ID gebotenen Vorteil darstellt.

Der Unionsgerichtshof betont, dass der Betreiber einer Website wie Fashion ID für bestimmte Vorgänge der Verarbeitung der Daten der Besucher seiner Website wie das Erheben der Daten und deren Übermittlung an Facebook Ireland als (Mit)Verantwortlicher diesen Besuchern zum Zeitpunkt des Erhebens bestimmte Informationen zu geben hat, wie beispielsweise seine Identität und die Zwecke der Verarbeitung.

Außerdem präzisiert der Unionsgerichtshof noch zwei der sechs in der Richtlinie vorgesehenen Fälle einer rechtmäßigen Verarbeitung personenbezogener Daten:

Zu dem Fall, in dem die betroffene Person ihre Einwilligung gegeben hat, entscheidet der Gerichtshof, dass der Betreiber einer Website wie Fashion ID diese Einwilligung vorher (nur) für die Vorgänge einholen muss, für die er (mit)verantwortlich ist, d. h. das Erheben und die Übermittlung der Daten.

Zu den Fällen, in denen die Datenverarbeitung zur Verwirklichung eines berechtigten Interesses erforderlich ist, entscheidet der Unionsgerichtshof, dass jeder der für die Verarbeitung (Mit)Verantwortlichen, d. h. der Betreiber einer Website und der Anbieter eines Social Plugins, mit dem Erheben und der Übermittlung der personenbezogenen Daten ein berechtigtes Interesse wahrnehmen muss, damit diese Vorgänge für jeden Einzelnen von ihnen gerechtfertigt sind.

Gerichtshof der Europäischen Union, Urteil vom 29. Juli 2019 – C -40/17

  1. Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl.EG 1995, L 281, S.31 []
  2. Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG, ABl.EU 2016, L 119, S. 1 []