EuGH, Urteil v. 29.07.2019, C-40/17 (Fashion ID)

Am 29.07.2019 verkündete der EuGH sein Urteil in der Rechtssache C-40/17 (Fashion ID). In diesem Vorabentscheidungsverfahren hatte der EuGH aufgrund eines Vorlagebeschlusses des OLG Düsseldorf (Beschluss v. 19.01.17, Az. I-20 U 40/16) u.a. die folgenden Vorlagefragen zu beantworten:¹

1. Ist ein Websitebetreiber, der ein Plugin [hier: den Facebook-„Gefällt-mir-Button“] in seine Website einbindet, welches den Browser des Websitebesuchers veranlasst, Inhalte von einem Dritten [hier: Facebook] anzufordern und hierzu personenbezogene Daten [u.a. IP-Adresse] an den Dritten zu übermitteln, „Verantwortlicher“ im Sinne der Datenschutzrichtlinie 95/46 [Anm.: Vorgänger-Richtlinie der DSGVO, welche auf den streitgegenständlichen Sachverhalt noch Anwendung fand]?
2. Auf wessen „berechtigte Interessen“ ist in einer Konstellation wie der vorliegenden bei der nach Art. 7 (f) der Datenschutzrichtlinie 96/46 vorzunehmenden Abwägung abzustellen? Auf das Interesse [des Webseitenbetreibers] an der Einbindung von Drittinhalten oder das Interesse des Dritten [hier: Facebook]?
3. Wem gegenüber muss die nach Art. 7 (a) und Art. 2 (h) der Datenschutzrichtlinie 95/46 zu erklärende Einwilligung in einer Konstellation wie der vorliegenden erfolgen?
4. Trifft die Informationspflicht des Art. 10 der Datenschutzrichtlinie 95/46 in einer Situation wie der vorliegenden auch den Betreiber der Website, der den Inhalt eines Dritten [hier: Facebook] eingebunden hat und so die Ursache für die Verarbeitung personenbezogener Daten durch den Dritten setzt?

Zum Sachverhalt:

Ein Websitebetreiber (Fashion ID) band in seine Website den Facebook-„Gefällt mir-Button“ als Plugin ein. Mit dem Aufruf der Website wurden dadurch automatisch personenbezogene Daten des Nutzers (u.a. IP-Adresse) an Facebook Irland übermittelt. Weder hatte der Nutzer zuvor in die Datenübermittlung an Facebook eingewilligt, noch war er darüber informiert worden. Ferner erfolgte die Datenübermittlung unabhängig davon, ob der Nutzer einen Account bei Facebook hatte oder nicht.

Feststellungen des EuGH:

Zu 1.:

• Fashion ID habe es durch die Einbindung des „Gefällt-mir-Buttons“ in seine eigene Website ermöglicht, personenbezogene Daten der Besucher seiner Website zu erhalten. (…) Unter Berücksichtigung dieser Informationen sei festzustellen, dass Fashion ID über Zwecke und Mittel der Erhebung vorgenannter Daten und deren Weitergabe durch Übermittlunggemeinsam mit Facebook entschieden habe. (…) Folglich sei Fashion ID für die Vorgänge des Erhebens und der Weitergabe durch Übermittlung gemeinsam mit Facebook als „verantwortlich“ im Sinne der Datenschutzrichtlinie 95/46 anzusehen. Hingegen sei Fashion ID für die Weiterverarbeitung der (übermittelten) Daten durch Facebook nicht als „Verantwortlicher“ anzusehen.
• Es scheine, dass die Einbindung des „Gefällt-mir-Buttons“ Fashion ID ermögliche, die Werbung für ihre Produkte zu optimieren, indem diese im sozialen Netzwerk Facebook sichtbarer gemacht würden, wenn ein Besucher ihrer Website den Button anklicke. (…) Dabei würden diese Verarbeitungsvorgänge (Anm.: Erheben personenbezogener Daten der Websitenutzer sowie deren Übermittlung an Facebook) sowohl im wirtschaftlichen Interesse von Fashion ID als auch von Facebook durchgeführt, für die die Tatsache, über diese Daten für ihre eigenen wirtschaftlichen Zwecke verfügen zu können, die Gegenleistung für den Fashion ID gebotenen Vorteil darstelle. Der gemeinsamen Verantwortlichkeit stehe auch nicht entgegen, dass Fashion ID zu den erhobenen und übermittelten Daten nicht selbst Zugang habe.

Zu 2. und 3.:

• [Anm.: hinsichtlich der unter 2. und 3. dargestellten Vorlagefragen des OLG stellt sich dem Leser ggf. die berechtigte Frage, ob sich beide Vorlagefragen nicht gegeneinander ausschließen. Denn beide Fragen betreffen die Rechtsgrundlage der streitgegenständlichen Datenverarbeitungsvorgänge. Diese können folglich nur auf eine der genannten Rechtsgrundlagen – Einwilligung oder berechtigtes Interesse – gestützt werden. Wenn also eine Einwilligung für die Verarbeitung der personenbezogenen Daten erforderlich ist, scheidet eine Verarbeitung auf Basis des berechtigten Interesses aus, und umgekehrt. Warum das OLG dennoch beide Fragen vorlegte, ergibt sich aus den nachfolgenden Ausführungen.]
• Zunächst müsse das vorlegende Gericht [hier: OLG Düsseldorf] nachprüfen, ob der Anbieter des Social Plugins [hier: Facebook] „Zugriff auf Informationen habe, die im Endgerät des Besuchers der Website des Betreibers gespeichert seien“.
• [Anm.: das Gericht wirft hier die entscheidende Frage auf, auf welcher Rechtsgrundlage die personenbezogenen Daten des Nutzers überhaupt verarbeitet werden dürfen. Konkret: kann die Verarbeitung auf Grundlage des berechtigten Interesses [falls ja, wessen berechtigten Interesses?] erfolgen oder ist „sogar“ eine Einwilligung des Nutzers erforderlich?

Zur Beantwortung dieser Frage ist folgendes Hintergrundwissen erforderlich: Art. 5 Abs. 3 der Richtlinie 2009/136 („Cookie-Richtlinie“) lautet:

„Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.“

Das berechtigte Interesse kann als Rechtsgrundlage also nur dann dienen, wenn keine Daten verarbeitet werden, die bereits im Endgerät des Nutzers gespeichert waren. Findet durch das Social Plugin eine Speicherung von Daten im Endgerät statt oder erfolgt ein Zugriff auf solche Daten, die bereits im Endgerät abgespeichert sind, ist gem. Art. 5 Abs. 3 der Richtlinie 2009/136 eine Einwilligung des Nutzers erforderlich.

Da der Sachverhalt insoweit noch nicht feststand, verlangt der EuGH daher vom OLG Düsseldorf weitere Sachverhaltsaufklärung.]

• [für den Fall, dass eine Verarbeitung auf Grundlage des berechtigten Interesses möglich ist:] es sei erforderlich, dass der Websitebetreiber und der Plugin-Anbieter mit den Verarbeitungsvorgängen jeweils ein berechtigtes Interesse wahrnehmen.

• [für den Fall, dass eine Einwilligung erforderlich ist:] die Einwilligung müsse von dem Websitebetreiber und nicht vom Plugin-Anbieter eingeholt werden, da die Datenverarbeitungsprozesse (aber nur Erheben und Weitergabe; nicht hingegen: Weiterverarbeitung durch Facebook) dadurch ausgelöst würden, dass ein Besucher die Website aufrufe

Zu 4.:

• Die Pflicht zur Information des Nutzers (Datenschutzerklärung) treffe ebenfalls den Websitebetreiber, aber nur in Bezug auf die Datenverarbeitungsvorgänge [Anm.: Erheben und Weitergabe], für die der Betreiber tatsächlich über die Zwecke und Mittel entscheide.

Zusammenfassung und Handlungsempfehlung

• Der EuGH hat festgestellt, dass bei Einbindung des Facebook-„Gefällt-mir-Buttons“ sowohl Websitebetreiber als Einbindender als auch Facebook als Anbieter des Plugins gemeinsam verantwortlich i.S.d. Datenschutzrichtlinie 95/46 sind.

• Die gemeinsame Verantwortlichkeit erstreckt sich aber nur auf folgende Verarbeitungsvorgänge: Erhebung der Daten beim Nutzer sowie deren Weitergabe durch Übermittlung an Facebook. Hinsichtlich der möglichen anschließenden Weiterverarbeitung dieser Daten durch Facebook (bzw. andere Plugin-Anbieter) besteht keine datenschutzrechtliche Verantwortlichkeit des Websitebetreibers mehr.

• Die Beurteilung der Frage, auf welche Rechtsgrundlage – Einwilligung oder berechtigtes Interesse – die Datenverarbeitungen zu stützen seien, hat der EuGH offengelassen und dies von der weiteren Sachverhaltsaufklärung durch das Vorlagegericht abhängig gemacht (s.o., zu 2. und 3.).

• Für den Fall, dass infolge der weiteren Sachverhaltsaufklärung durch das Vorlagegericht die rechtliche Schussfolgerung zu ziehen wäre, dass eine Einwilligung des Nutzers notwendig wäre (s. hierzu oben, zu 2. und 3.), müsse laut EuGH diese Einwilligung vom Websitebetreiber eingeholt werden.

• Die vom EuGH getroffenen Feststellungen beziehen sich zwar auf die Datenschutzrichtlinie 96/46, dürften aber auch auf die DSGVO übertragbar sein, da sich Wortlaut und Zielrichtung der jeweiligen einschlägigen Normen der DSGVO im Vergleich zur Datenschutzrichtlinie 95/46 nicht wesentlich geändert haben. Durch die Anforderungen der nunmehr geltenden DSGVO ergeben sich dann u.a. folgende Konsequenzen:

1. Websitebetreiber und Plugin-Anbieter haben einen Vertrag gem. Art. 26 DSGVO zu schließen („Joint Controllership Agreement“)
2. Speichert das Plugin Informationen auf dem Endgerät des Websitebetreibers oder liest es solche aus, ist eine Einwilligung (Opt-In) des Nutzers einzuholen; diese hat den Anforderungen insbes. von Art. 4 Nr. 11 und Art. 7 DSGVO gerecht zu werden; die Datenverarbeitung darf erst stattfinden, nachdem eine Einwilligung wirksam eingeholt wurde
3. Sollte die Datenverarbeitung auf Art. 6 (1) (f) (berechtigtes Interesse) gestützt werden können (in der Praxis wohl eher die Ausnahme), haben Websitebetreiber und Plugin-Anbieter wirksame Widerspruchsmöglichkeiten nach Art. 21 DSGVO vorzuhalten
4. Die jeweiligen Datenschutzerklärungen sind entsprechend anzupassen

• Das Urteil zieht einerseits zu Gunsten des Websitebetreibers klare Grenzen hinsichtlich der datenschutzrechtlichen Verantwortlichkeitssphären. Denn für die Weiterverarbeitung der Daten durch Facebook (bzw. jeden anderen Plugin-Anbieter) ist eine datenschutzrechtliche Verantwortlichkeit grundsätzlich zu verneinen. Andererseits muss der Websitebetreiber unbedingt die technische Funktion der von ihm eingebundenen Plugins kennen, um die Rechtsgrundlage der Datenverarbeitungsvorgänge zu definieren. In einem zweiten Schritt wären die vorgenannten rechtlichen Anforderungen der DSGVO umzusetzen. Die konkreten Maßnahmen hängen – wie ausgeführt – davon ab, auf welcher Rechtsgrundlage die Daten der Nutzer verarbeitet werden können/müssen.

• Das vollständige Urteil des EuGH ist abrufbar unter http://curia.europa.eu/juris/document/document.jsf?text=&docid=216555&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1

• eine zusammenfassende Pressemitteilung durch den EuGH findet sich unter https://curia.europa.eu/jcms/upload/docs/application/pdf/2019-07/cp190099de.pdf

Wir beraten und unterstützen Sie gerne bei der Umsetzung der o.g. Anforderungen. Sprechen Sie uns an.

Kommentaren und Anregungen unter law@naumann-ra.de sehen wir ebenfalls gern entgegen.

1 Hier werden die aus hiesiger Sicht relevantesten Vorlagefragen dargestellt und teils mit eigenen Worten zusammengefasst; die hier gewählte Nummerierung der Vorlagefragen entspricht folglich nicht derjenigen des EuGH-Urteils (s. insoweit aber der Link zum Urteil am Ende dieses Artikels)