30.07.2019Fachbeitrag

Update Datenschutz Nr. 63

Urteil des EuGH zum Facebook Like-Button – Ein neues Kapitel der gemeinsamen Verantwortlichkeit

Der Europäische Gerichtshof („EuGH“) hat am 29. Juli 2019 seine lang erwartete Entscheidung zur Verwendung des Facebook Like-Buttons veröffentlicht (Rs. C-40/17). Gegenstand des Urteils ist insbesondere die Frage, inwieweit Facebook und Webseitenbetreiber, die den Like Button auf ihrer Webseite einbinden, aus datenschutzrechtlicher Sicht gemeinsame Verantwortliche sind. Im Ergebnis bejaht der EuGH diese Frage und nimmt in diesem Zusammenhang dezidiert Stellung zu den Voraussetzungen gemeinsamer Verantwortlichkeit. Vor diesem Hintergrund ist das Urteil nicht nur für Webseitenbetreiber, sondern allgemein für datenverarbeitende Stellen, die gemeinsamen mit anderen personenbezogene Daten verarbeiten, von hoher Bedeutung.

Hintergrund

Bei dem Facebook Like Button handelt es sich um ein Social Media Plugin, welches von Webseitenbetreibern per Programmcode auf Ihrer Homepage eingebunden werden kann. Nutzer haben hierdurch die Möglichkeit, die Webseiten, auf denen der Like-Button eingebunden ist, in ihrem Facebook Profil zu teilen.

Webseitenbetreiber können hiermit somit die Reichweite ihrer Webseiten bzw. der dort dargestellten Produkte erhöhen. Aus technischer Sicht wird bereits beim bloßen Aufrufen einer Webseite, auf dem der Like Button implementiert ist, von Facebook ein sog. Cookie auf dem Rechner der Nutzer gesetzt. Dieser übermittelt automatisch Daten an Facebook. Facebook verwendet diese Daten dann, um das Verhalten und die individuellen Präferenzen des Nutzers auszuwerten. Ziel von Facebook ist es, individuelle Werbung zu schalten. Erfasst werden hierbei aber nicht nur Nutzer der Webseite, die bereits bei Facebook angemeldet sind, sondern auch Nicht-Mitglieder außerhalb des sozialen Netzwerks. Facebook legt auch für diese entsprechende Profile an.

Gegenstand des Verfahrens vor dem EuGH war nun insbesondere die Frage, inwieweit der jeweilige Webseitenbetreiber zusammen mit Facebook für die Verarbeitung der erfassten personenbezogenen Daten gemeinsam verantwortlich im Sinne der Richtlinie 95/46 (sog. Datenschutzrichtlinie) ist. Aufgrund der gleichlaufenden Voraussetzungen für die gemeinsame Verantwortlichkeit ist diese Frage aber auch für die seit Mai 2018 geltende und die Datenschutzrichtlinie ablösende Datenschutzgrundverordnung („DSGVO“) von Relevanz. Eine gemeinsame Verantwortlichkeit liegt danach vor, wenn zwei oder mehrere Personen gemeinsam über Mittel und Zwecke der Verarbeitung personenbezogener Daten entscheiden. Ist dies der Fall, sind die gemeinsam Verantwortlichen verpflichtet, eine Vereinbarung zu schließen, in der festgelegt ist, wer für die Einhaltung der einzelnen datenschutzrechtlichen Vorgaben der DSGVO zuständig ist (vgl. Art. 26 DSGVO). Dies betrifft insbesondere die Umsetzung der Betroffenenrechte sowie der Informationspflichten. Weiterhin haften die gemeinsam Verantwortlichen gegenüber den Betroffenen bei Verstößen gegen datenschutzrechtliche Vorschriften gesamtschuldnerisch.

Entscheidung des EuGH

Bereits der Generalanwalt vertrat in seinen Schlussanträgen den Standpunkt, dass Facebook und der jeweiligen Webseitenbetreiber hinsichtlich der mithilfe des Like-Buttons erfassten personenbezogenen Daten gemeinsam Verantwortliche sind, da sie insoweit gemeinsam die Mittel und Zwecke der Datenverarbeitung festlegen. Wenig überraschend ist der EuGH in seiner Entscheidung den Ausführungen des Generalanwalts gefolgt und bejaht ebenfalls eine gemeinsame Verantwortlichkeit von Facebook und den jeweiligen Webseitenbetreiber.

Wie bereits in seinen vorherigen Entscheidungen betont der EuGH hierbei zunächst explizit, dass das Ziel der Datenschutzrichtlinie (und damit auch der DSGVO) ist, ein hohes Schutzniveau für die betroffenen Personen, insbesondere bei der Verarbeitung personenbezogener Daten, zu gewährleisten. Aus diesem Grund ist der Begriff des datenschutzrechtlich Verantwortlichen weit auszulegen. Maßgeblich ist insoweit, ob die jeweilige natürliche oder jurstische Person Einfluss auf die Verarbeitung personenbezogener Daten nimmt und damit an der Entscheidung über die Zwecke und Mittel der Verarbeitung mitwirkt.

Daran anknüpfend nimmt der EuGH eine dezidierte Prüfung vor, inwieweit eine gemeinsame Entscheidung zum einen über die Mittel und zum anderen über die Zwecke der Verarbeitung vorliegt.

Im Hinblick auf die Mittel der Datenverarbeitung liegt nach dem EuGH eine gemeinsame Entscheidung vor, da Facebook das Plugin zur Verfügung stellt und der Webseitenbetreiber das Plugin mit dem Wissen in seine Webseite einbindet, dass hierdurch personenbezogene Daten erhoben und an Facebook übermittelt werden. Hierdurch beeinflussen somit sowohl Facebook als auch der Webseitenbetreiber maßgeblich die Erhebung und Übermittlung der mithilfe des Plugins erfassten personenbezogener Daten, denn ohne die Bereistellung und die anschließende Einbindung des Plugins durch den Webseitenbetreiber würde die vorgenannte Verarbeitung gar nicht erfolgen. Im Ergebnis haben somit sowohl Facebook als auch der Webseitenbetreiber willentlich die Erhebungs- und Übermittlungsphase der Datenverarbeitung eingeleitet.

Im Hinblick auf den Zweck der Datenverarbeitung, dient die Einbindung des Like-Buttons durch den Webseitenbetreiber laut EuGH dazu, die Sichtbarkeit seiner Produkte über das soziale Netzwerk zu erhöhen. Durch die Einbindung des Plugins auf der Webseite erfolgt demnach zumindest eine stillschweigende Einwilligung des Webseitenbetreiber in die damit verbundene Datenverarbeitung, konkret die Erhebung der personenbezogenen Daten und deren Weitergabe an Facebook. Gleichzeitig werden die an Facebook übermittelten Daten von Facebook für deren eigene kommerzielle Zwecke verwendet. Auch wenn insoweit keine identische kommerzielle Nutzung der Daten stattfindet, verfolgen der Webseitenbetreiber und Facebook jedoch allgemein kommerzielle Zwecke, die sich wechselseitig ergänzen. Denn der dem Webseitenbetreiber durch die Einbindung des Like-Button verbundene wirtschaftliche Vorteil ist quasi die Gegenleistung dafür, dass Facebook über die hierüber erhobenen Daten für eigene wirtschaftliche Zwecke verfügen kann. Wie schon vom Generalanwalt vorgetragen besteht somit trotz fehlender Zweckidentität eine Einheit der Zwecke. Dies reicht nach Ansicht des EuGH für eine gemeinsame Festlegung des Zwecks aus.

Gleichzeitig betont der EuGH, dass sich die gemeinsame Verantwortlichkeit nur auf die Phase der Datenverarbeitung (bzw. die betreffenden Vorgänge) beschränkt, an der die Verantwortlichen auch tatsächlich beteiligt sind und die innerhalb deren Einflusssphäre liegt. Im Zusammenhang mit der Einbindung des Facebook Like-Buttons sind dies nach Ansicht des EuGH die Erhebung und die Übermittlung personenbezogener Daten, die mittels des Facebook Like-Buttons erfolgt. Etwaige nachfolgende Phasen der Datenverarbeitung, etwa die Auswertung des Nutzerverhaltens durch Facebook, unterfallen hingegen nicht der gemeinsamen Verantwortlichkeit, da eine derartige Verarbeitung durch Facebook außerhalb der Einflusssphäre und ohne Kenntnis des Webseitenbetreibers erfolgt.

Fazit und Ausblick

Anknüpfend an die vorherige Entscheidungpraxis des EuGH und die dezidierten Ausführungen des Generalanwalts ist das gegenständliche Urteil im Ergebnis keine große Überraschung. Gleichwohl wird auch dieses Urteil aufgrund der inhaltlichen Ausführungen weitreichende Implikationen auf die datenschutzrechtliche Praxis haben.

Dies gilt zum einen für Webseitenbetreiber, die den Like-Button auf ihrer Webseite implementiert haben. Für sie bedeutet das Urteil, dass diese zukünftig mit Facebook gemeinsam für die Einhaltung der Vorgaben der DSGVO verantwortlich sind. Es ist zu erwarten, dass Facebook, wie bereits im Nachgang zu der Facebook Fanpage Entscheidung des EuGH (Rs. C-210/16), eine entsprechende Mustervereinbarung zur Verfügung stellen wird. Inhaltlich wird die Entscheidung aber nicht nur auf den von Facebook bereitgestellten Like-Button beschränkt bleiben, sondern lässt sich auch auf Social Media Tools von anderen Anbietern übertragen.

Zum anderen bietet die Entscheidung aber auch allgemein wertvolle Hinweise für die Praxis, da der EuGH wichtige Anhaltspunkte zur Anwendung und Auslegung der gemeinsamen Verantwortlichkeit liefert, die auch auf andere Verarbeitungskonstellationen übertragbar sind.

Festzuhalten bleibt insoweit, dass eine Entscheidung über die Mittel der Verarbeitung bereits dann vorliegt, wenn ein Beteiligter wissentlich die Verarbeitung dahingehend beeinflusst, dass dadurch die Verarbeitung erst ermöglicht bzw. ausgelöst wird. Es ist also gerade nicht zwingend erforderlich, dass der Beteiligte auf das Verarbeitungsmittel derart Einfluss nimmt, dass er aktiv die Paramenter der Verarbeitung bzw. des Werkzeugs beeinflusst, z.B. durch Einstellen des betroffenen Nutzerkreises. In diesem Punkt weicht das Urteil entscheidend von der vorhergehenden Entscheidung des EuGH zur gemeinsamen Verantwortlichkeit beim Betrieb einer Facebook Fanpage ab. In diesem Urteil hatte der EuGH noch explizit darauf abgestellt, dass der Betreiber einer Facebook Fanpage aufgrund der Möglichkeit zur Parametrierung der erhobenen Daten einen ausreichenden Einfluss auf die Verarbeitung nehmen kann und damit mit Facebook gemeinsam Verantwortlich ist. Durch diese Klarstellung wird der Anwendungsbereich gemeinsamer Verantwortlichkeit nochmal erheblich ausgeweitet.

Ebenfalls ist hervorzuheben, das es nach dem EuGH für die Entscheidung über den Zweck bereits ausreicht, wenn eine Partei der Datenverarbeitung stillschweigend zustimmt und hierdurch einen wirtschaftlichen Vorteil erlangt, der derart eng mit dem von dem anderen Beteiligten verfolgten Zweck zusammenhängt, dass es sich quasi um eine Art Gegenleistung handelt.

Angesichts dieser weiten Auslegung, wird das Thema gemeinsame Verantwortlichkeit weiter an Bedeutung gewinnen. Dies gilt insbesondere für Unternehmen, die personenbezogene Daten mit anderen Unternehmen gemeinsam verarbeiten, wobei dies nicht nur den Online Bereich bzw. die Nutzung von sozialen Netzwerken und Social Media Plugins betrifft, sondern auch andere datenverarbeitende Bereiche, etwa Betrieb von Applikationen und Plattformen zur gemeinsamen Datenverwaltung oder Kooperationsverhältnisse mehrere Unternehmen mit zentraler Datenerhebung.

Als PDF herunterladen

Ansprechpartner

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.