16.01.2019Fachbeitrag

Update Datenschutz Nr. 50

Gemeinsame Verantwortlichkeit bei der Einbindung von Website-Plugins von Drittanbietern – Schlussanträge des Generalanwalts beim EuGH zum „Facebook Like“-Button

Der Gerichtshof der Europäischen Union (EuGH) hat derzeit die Frage zu klären, ob und wie Website-Betreiber den sog. „Like“-Button von Facebook rechtmäßig auf ihrer Website einbinden können (Rechtssache C-40/17). Ein deutscher Online-Händler hatte den „Facebook Like“-Button in seinen Online-Shop integriert. Gemäß der Funktionsweise des „Facebook Like“-Buttons wurden bei jedem Besuch der Website personenbezogene Daten an Facebook Ireland übermittelt, darunter die IP-Adresse. Diese Übermittlung fand bei jedem Besuch automatisch statt, unabhängig davon, ob der Nutzer den „Facebook Like“-Button angeklickt hatte oder überhaupt über ein Nutzerkonto bei Facebook verfügte.

Die Verbraucherzentrale Nordrhein-Westfahlen e.V. hat gegen den Online-Händler Unterlassungsklage erhoben und ist der Auffassung, die Einbindung des „Facebook Like“-Buttons verstoße gegen datenschutzrechtliche Vorschriften, insbesondere sei eine Einwilligung des Nutzers für die Datenverarbeitung erforderlich. Der Website-Betreiber sei außerdem datenschutzrechtlich Verantwortlicher, auch wenn der den „Facebook-Like“-Button nur auf seiner Website einbindet, aber keinen Einfluss auf die nachgelagerte Datenverarbeitung durch Facebook ausübt. Im Laufe des Verfahrens hat das Oberlandesgericht Düsseldorf dem EuGH daher unter anderem die Frage vorgelegt, ob der Online-Händler, der den „Facebook Like“-Button auf seiner Website einbindet, für die damit verbundene Datenverarbeitung Verantwortlicher ist.

Einordnung des Rechtsstreits

Der Rechtsstreit reiht sich in eine Folge von Verfahren vor dem EuGH ein, in denen es um Fragen zur gemeinsamen Verantwortlichkeit bei der Datenverarbeitung ging. Im Juni 2018 hatte der EuGH bereits entschieden, dass zwischen Facebook Ireland und dem Betreiber einer sog. „Facebook Fanpage“ eine gemeinsame Verantwortlichkeit besteht (vgl. Rechtssache C-C-210/16; siehe hierzu unser Update Nr. 39 aus 2018).

Die dem EuGH im jetzigen Verfahren vorgelegten Fragen des OLG Düsseldorf beziehen sich zwar auf die Auslegung der noch vor Inkrafttreten der DSGVO geltenden Datenschutz-Richtlinie 95/46/EG. Allerdings dürfte die ausstehende Entscheidung des EuGH auch auf die heute geltenden Regelungen der DSGVO übertragbar sein.

Die Antworten auf die Vorlagefragen haben nach der DSGVO weitreichende Konsequenzen für Unternehmen. Zum einen müssen gemeinsam für die Datenverarbeitung Verantwortliche gem. Art. 26 DSGVO eine Vereinbarung über die gemeinsame Verantwortlichkeit abschließen und das Wesentliche dieser Vereinbarung den Betroffenen zugänglich machen. Zum anderen haften die Verantwortlichen gesamtschuldnerisch gegenüber den Betroffenen. Der Nichtabschluss einer solchen Vereinbarung birgt schließlich erhebliche Bußgeldrisiken.

Am 19.12.2018 wurden die Schlussanträge des Generalanwalts beim EuGH im Verfahren über den „Facebook Like“-Button veröffentlicht. Mit den Schlussanträgen unterbreitet der Generalanwalt einen Vorschlag für die Urteilsfindung des EuGH, der diesem Vorschlag regelmäßig folgt. Wann der EuGH hierüber entscheidet, ist noch nicht bekannt.

Gemeinsame Verantwortlichkeit

Gemäß Art. 26 Abs. 1 DSGVO sind mehrere an der Datenverarbeitung Beteiligte als „gemeinsam für die Verarbeitung Verantwortliche“ einzustufen, wenn sie gemeinsam die Zwecke und die Mittel der Datenverarbeitung festlegen. Maßgebliches Kriterium zur Bestimmung der (gemeinsamen) Verantwortlichkeit ist der tatsächliche Einfluss auf die Verarbeitungszwecke und -mittel. Für das Vorliegen einer gemeinsamen Verantwortlichkeit muss damit jeder Beteiligte einen tatsächlichen Einfluss haben, wobei nicht zwangsläufig eine gleichwertige Entscheidungsbefugnis vorliegen muss.

Einbindung des „Facebook Like“-Buttons auf einer Website ausreichend

Nach der Auffassung des Generalanwalts ist die Schwelle zur Annahme einer gemeinsamen Verantwortlichkeit sehr niedrig. Der Generalanwalt geht davon aus, dass das bloße Einbinden des „Facebook-Like“-Buttons und die damit von den Beteiligten verfolgten kommerziellen Zwecke schon genügen, um eine gemeinsame Verantwortlichkeit zu begründen.

Zwar sei der Website-Betreiber – anders als in der Entscheidung um die „Facebook-Fanpage“ – nicht aktiv an der Parametrisierung des Plugins („Facebook-Like“-Buttons) beteiligt. Es genüge jedoch, dass der Website-Betreiber dadurch an der Parametrisierung teilnimmt, dass er das Plugin willentlich auf seiner Website integriert. Allein in der Einbindung liege daher eine (Mit-)Entscheidung über das Mittel der Datenverarbeitung.  

Der gemeinsame Zweck von Facebook Ireland und dem Website-Betreiber liege ebenfalls vor. Auch wenn keine identische kommerzielle Nutzung der personenbezogenen Daten stattfinde, so verfolgten Facebook Ireland und der Website-Betreiber allgemeine kommerzielle (Werbe-)Zwecke, die sich wechselseitig ergänzten. Schon das genügt dem Generalanwalt zur Bejahung der gemeinsamen Festlegung des Zwecks.

Beschränkung der Gemeinsamen Verantwortlichkeit auf einzelne Phasen der Verarbeitung

Als Korrektiv dafür, dass schon das bloße Einbinden eines Plugins für die Annahme einer gemeinsamen Verantwortlichkeit genügt, begrenzt der Generalanwalt die gemeinsame Verantwortlichkeit jedoch auf die Datenverarbeitungsvorgänge, bei denen der Website-Betreiber tatsächlich einen Beitrag zur Entscheidung über Mittel und Zwecke der Datenverarbeitung leistet.  

Das sind im konkreten Fall (nur) die Datenerhebung und -übermittlung an Facebook Ireland. Alle nachgelagerten Datenverarbeitungen von Facebook Ireland liegen in der alleinigen Verantwortlichkeit dieser. Der Website-Betreiber sei also nicht für die Gesamtkette aller Datenverarbeitungen mitverantwortlich.

Fazit

Der Generalanwalt bestätigt mit seinen Schlussanträgen, was nach der „Facebook Fanpage“-Entscheidung von vielen befürchtet wurde: Die Schwelle zum Vorliegen einer gemeinsamen Verantwortlichkeit ist niedrig. Es genügt bereits die Einbindung des Plugins eines Drittanbieters auf einer Website, welches personenbezogene Daten erhebt und übermittelt. Sollte sich der EuGH in seinem Urteil den Schlussanträgen des Generalanwalts anschließen, was in der Regel zu erwarten ist, so wird eine gemeinsame Verantwortlichkeit nicht nur bei der Einbindung eines „Facebook Like“-Buttons vorliegen. Nach den Ausführungen des Generalanwalts dürfte in der Folge auch die Einbindung anderer Social Media Plugins (z.B. Xing, Twitter, Instagram etc.) eine gemeinsame Verantwortlichkeit des Website-Betreibers mit dem jeweiligen Plugin-Anbieter begründen. Aber nicht nur sog. Social Plugins sind betroffen. Auch bei Website-Analyse-Tools und sonstigen datenerhebenden Dritt-Tools und -Contents wird sich künftig die Frage stellen, ob nicht eine gemeinsame Verantwortlichkeit vorliegt, da die Anbieter solcher Tools mit den erhobenen Daten regelmäßig auch kommerzielle Zwecke verfolgen.  

Praxishinweis

Sollte der EuGH sich den Schlussanträgen des Generalanwalts anschließen, so müssen Unternehmen vor Einbindung von Plugins sowie anderen Tools und Contents von Drittanbietern auf ihrer Website genau prüfen, ob eine gemeinsame Verantwortlichkeit gegeben ist. Wenn diese Frage bejaht wird, ist weiterhin zu prüfen, für welche konkreten Phasen der Datenverarbeitung die gemeinsame Verantwortlichkeit vorliegt.

Um vor allem Bußgeldrisiken zu vermeiden, müssen Unternehmen zunächst für eine ausreichende Rechtsgrundlage für die Datenverarbeitung über das eingebundene Tool sorgen (insbesondere Einwilligung). Mit dem Anbieter des Plugins bzw. Tools ist eine Vereinbarung über die gemeinsame Verantwortlichkeit abzuschließen und das Wesentliche dieser Vereinbarung den Betroffenen (Usern) zugänglich machen. Sollte der EuGH so entscheiden, wie es der Generalanwalt vorsieht, so ist zu erwarten, dass die die großen Anbieter (z.B. Facebook) entsprechende Standardvereinbarungen bereitstellen.

Als PDF herunterladen

Ansprechpartner

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.