Der „Gefällt-mir“-Button ist ein Social Plugin von Facebook, das Betreiber von Webseiten auf ihrer Seite zum Optimieren der Werbung für Ihre Produkte einbinden können und über das Nutzungsdaten der Seitenbesucher an Facebook übermittelt werden. Ohne weiteres Zutun der Seitenbesucher erfährt Facebook damit, wann von welcher IP-Adresse – und bei Facebook-Mitgliedern häufig von welcher Person konkret – welche Internet-Seite aufgerufen wurde. Facebook erhält damit Einblick in das Surfverhalten vieler Nutzerinnen und Nutzer, auch solcher, die nicht Mitglied des Sozialen Netzwerks sind. Der EuGH hat nun mit Urteil vom 29.7.2019 entschieden, dass die Seitenbetreiber hinsichtlich dieser Übermittlungen als Verantwortliche im Sinne des Datenschutzrechts anzusehen sind.
Hintergrund des Verfahrens ist ein Rechtsstreit, mit dem sich das Oberlandesgericht Düsseldorf befasste. Die Verbraucherzentrale NRW hatte gegen den deutschen Modehändler Fashion ID geklagt, der den Facebook-Button in seine Webseiten eingebunden hatte. Schon das Aufrufen der Webseite löst die Übermittlung an Facebook aus, das Betätigen des Buttons ist hierzu nicht erforderlich.
Der EuGH entschied konkret:
• Verbände, die Verbraucherinteressen wahren, können auch bereits unter der Rechtslage der bis zum 24.5.2018 geltenden EU-Datenschutzrichtlinie, gegen Verletzungen des Datenschutzrechts im Namen der Verbraucher Klage erheben (Hintergrund ist, dass die Fragen der Verbraucherzentrale noch auf der ehemaligen Datenschutzrichtlinie beruhten);
• Fashion ID und Facebook sind gemeinsam verantwortlich. Fashion ID ist zwar nicht verantwortlich für die Datenverarbeitungsvorgänge, die Facebook Irland nach der Datenübermittlung vornimmt, jedoch für das Erheben auf der Webseite und für die Übermittlung der Daten an Facebook. Diese Feststellungen gelten dem Grunde nach auch für die Datenschutz-Grundverordnung;
• Der Betreiber einer Website (hier: Fashion ID) muss als (Mit-)Verantwortlicher seine Besucher zum Zeitpunkt über die Datenverarbeitung informieren (u.a. über die Datenübermittlung an Facebook und die Zwecke der Verarbeitung);
• Einwilligungen der Nutzer muss der Betreiber der Webseite nur für die Vorgänge einholen, für die er mitverantwortlich ist (hier: das Erheben und die Übermittlung der Daten), dies jedoch, bevor die Daten erhoben und übermittelt werden;
• Falls die Datenverarbeitung mit der Wahrung berechtigter Interessen gemäß Art. 6 Abs. 1 lit. f DS-GVO begründet werden soll, muss jeder der für die Verarbeitung Verantwortlichen eins solchesInteresse verfolgen. Ob im Ergebnis die Erhebung und Übermittlung an Facebook mit Art. 6 Abs. 1 lit. f DS-GVO begründet werden können, lässt der EuGH offen. Dies hängt von der Abwägung der Interessen der Verantwortlichen mit den Rechten und Freiheiten der betroffenen Personen im Einzelfall ab. Dass die Übermittlung schon durch das Aufrufen der Seite ausgelöst wird und von den Nutzern weder erkannt noch unterbunden werden kann, spricht allerdings stark gegen eine Zulässigkeit nach Art. 6 Abs. 1 lit. f DS-GVO.
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI), Prof. Dr. Dieter Kugelmann, begrüßt das Urteil des EuGH. „Das Urteil konkretisiert nicht nur den Begriff der gemeinsamen Verantwortlichkeit, sondern unterstreicht auch die Prinzipien der Transparenz und Rechtmäßigkeit der Verarbeitung, die maßgebliche Vorgaben der Datenschutz-Grundverordnung sind. Nutzerinnen und Nutzer müssen wissen, woran sie sind, wenn sie eine Webseite aufrufen. Die deutschen und europäischen Datenschutzaufsichtsbehörden werden das Urteil mit Blick auf die aktuelle Rechtslage eingehend auswerten. Prof. Kugelmann stellt fest: „Dabei wird auch zu prüfen sein, welche Konsequenzen sich aus der aktuellen Rechtsprechung für die Betreiber von Internet-Angeboten und Facebook-Seiten und entsprechend für die aufsichtsbehördliche Praxis des LfDI ergeben. So sind auch andere Methoden des Nutzer-Tracking, bei denen Seitenbetreiber bereitgestellte Analyse-Tools von Drittanbietern nutzen, an diesen rechtlichen Anforderungen zu messen. Insbesondere die Frage einer vorherigen Einwilligung der Nutzerinnen und Nutzer rückt hier in den Blickpunkt.“
Bereits 2018 hatte der EuGH über die gemeinsame Verantwortung von Facebook und den Betreibern sogenannter „Facebook-Fanpages“ entschieden und auch hier eine gemeinsame Verantwortung von Betreiber und Facebook bejaht.
Weitere Informationen:
- EuGH-Urteil C-40/17 vom 29.7.2019 (FashionID)
- EuGH-Urteil C-210/16 vom 5.6.2018 (Facebook-Fanpages)
- Pressemitteilung des LfDI Rheinland-Pfalz vom 6.6.2018
- Beschluss der Datenschutzkonferenz zu Facebook-Fanpages vom 5.9.2018
- Orientierungshilfe der Datenschutzkonferenz für die Anbieter von Telemedien