Newsletter Data, IT, and media

EuGH: Reichweite der datenschutzrechtlichen Verantwortlichkeit für Website‑​Betreiber

Mit Urteil vom 29.07.2019 in der Rechtssache Fashion ID (Rs C‑40/17) hat der EuGH entschieden, wer für die Datenverarbeitung, die auf Facebook‑​Like‑​Buttons beruht, datenschutzrechtlich verantwortlich ist. Dabei hat der Gerichtshof richtungsweisende Aussagen zur Reichweite der datenschutzrechtlichen Verantwortlichkeit von Website‑​Betreibern für auf der Website eingebundene Inhalte Dritter insgesamt getroffen.

Zum Verfahren

Das Unternehmen Fashion ID, ein Onlinehändler für Modeartikel, hat in seine Webseite ein bestimmtes Plugin eingebunden – den sogenannten „Like‑​Button“ (auch als „Gefällt‑​mir‑​Button“ bekannt). Besucht ein Nutzer die Webseite von Fashion ID, wird der Like‑​Button von den Servern von Facebook geladen. Auf diese Weise gelangt Facebook an Informationen wie die IP Adresse dieses Nutzers und die Website, die er besucht hat. Der Like‑​Button ermöglicht Facebook sogenanntes „Tracking“, das Nachverfolgen der Aktivitäten des Nutzers im Internet. Facebook erhält diese Informationen unabhängig davon, ob der Nutzer den Button angeklickt hat oder über ein Facebook‑​Nutzerkonto verfügt; die Übermittlung erfolgt automatisch beim Laden der Webseite.

Die so erhobenen Daten werden von Facebook insbesondere dazu verwendet, dem Nutzer zielgenauere Werbung anzuzeigen: Wer etwa die Website von Fashion ID besucht hat, bekommt von Facebook später bevorzugt deren Werbeanzeigen ausgespielt – oder die eines ähnlichen Unternehmens.

Der EuGH sollte unter anderem beantworten, ob und inwieweit neben Facebook auch der Betreiber der Website (hier: Fashion ID) datenschutzrechtlich für die Verarbeitung der so gewonnenen Daten verantwortlich ist. Die datenschutzrechtliche Verantwortlichkeit bringt Pflichten nach der DSGVO mit sich. Zu den wichtigsten gehören hier die Informationspflichten (Datenschutzerklärung), die Erfüllung der Betroffenenrechte (z. B. Auskunft, Löschung), ein spezieller Vertrag zwischen den Verantwortlichen gemäß Art. 26 DSGVO und die Pflicht, die Daten nur aufgrund einer wirksamen Rechtsgrundlage zu verarbeiten (z. B. Einwilligung, berechtigtes Interesse).

Zwar bezieht sich das Verfahren noch auf die alte EG‑​Datenschutzrichtlinie, die im vergangenen Jahr durch die DSGVO abgelöst wurde. Die Rechtslage hat sich unserer Ansicht nach aber in Bezug auf die behandelten Rechtsfragen nicht geändert, so dass die Feststellungen des Urteils auch in Zeiten der DSGVO weitgehend gelten.

Wann ist ein Website‑​Betreibers für eingebundene Dritt‑​Dienste verantwortlich?

Der EuGH ist seiner Linie aus den Urteilen der letzten Jahre zu Google Spain, Facebook‑​Fanpages und Zeugen Jehovas zur datenschutzrechtlichen Verantwortlichkeit treu geblieben, den Begriff der Verantwortlichkeit sehr weit auszulegen. Insoweit ist es nicht überraschend, dass der EuGH festgestellt hat, dass neben Facebook auch Fashion ID für die Verarbeitung datenschutzrechtlich verantwortlich ist. Entscheidend sei, wer die „Mittel und Zwecke der Verarbeitung“ festlege. Das seien in diesem Fall sowohl Facebook als auch Fashion ID. Als Begründung führte der EuGH wie schon in vergangenen Entscheidungen ein Bündel an Argumenten an, die wohl in der Gesamtschau eine gemeinsame Verantwortlichkeit ergeben sollen: Zum einen das Ermöglichen der Verarbeitung durch den Website‑​Betreiber, wobei erschwerend hinzukomme, dass auch die Verarbeitung personenbezogener Daten solcher Nutzer ermöglicht wird, die kein Konto bei Facebook besitzen. Zum anderen ein wirtschaftliches Interesse sowohl des Website‑​Betreibers als auch Facebooks, die beide von der Optimierung von Werbemaßnahmen profitieren.

Weitreichende Konsequenzen für Website‑​Betreiber – Plugins und Dritt‑​Dienste gehören auf den Prüfstand

Betreiber von Websites, auf denen die Angebote von Dritten eingebunden sind, die diese Kriterien erfüllen, sollten überprüfen, ob sie in dieser Hinsicht alle Pflichten der DSGVO – erfüllen. Das kann z. B. Plugins wie Youtube und Google Maps, die Teilnahme an Werbe‑​Netzwerken, Google Analytics oder Google Fonts betreffen. Das Urteil des EuGH wiegt auch deshalb schwer für Unternehmen, weil der Gerichtshof andeutet, dass für diese Art der Verarbeitung und entgegen § 15 Abs. 3 Telemediengesetz (TMG) aus seiner Sicht eine vorherige (!) Einwilligung der Nutzer notwendig ist; der Nutzer müsste also in der Praxis gefragt werden, ob er in die jeweilige Verarbeitung einwilligt, bevor der Dienst auf der Website geladen wird. Selbst eine grundsätzlich datenschutzfreundliche und praktikable Lösung wie die sogenannten „Shariff‑​Buttons“ bzw. 2‑Klick‑Lösungen gehören damit auf den Prüfstand.

Die guten Nachrichten: (Etwas) mehr Rechtssicherheit und ein Silberstreif – Die gemeinsame Verantwortlichkeit ist nicht uferlos

Wie zu erwarten war, hat der EuGH aber auch einen wichtigen Punkt, der bislang umstritten war, im Sinne der Website‑​Betreiber klargestellt: Dieser ist nur für die Verarbeitungsschritte datenschutzrechtlich verantwortlich, auf die er tatsächlich Einfluss hat.

Bei „Like‑​Buttons“ sind dies die Erhebung und Übermittlung der Daten an Facebook. Der Website‑​Betreiber muss insoweit u. a. den Nutzer in seiner Datenschutzerklärung über die Verarbeitung informieren, die Erfüllung der Betroffenenrechte – gegebenenfalls in Abstimmung mit Facebook – sicherstellen, einen Vertrag nach Art. 26 DSGVO schließen und für eine Rechtsgrundlage sorgen.

Nicht datenschutzrechtlich verantwortlich ist der Website‑​Betreiber aber für all die Datenverarbeitungsvorgänge, die bei Facebook (und anderen Anbietern von Dritt‑​Diensten wie Google) nach der Übermittlung der Daten im Verborgenen stattfinden, soweit der Website‑​Betreiber nicht mehr kontrolliert, was mit den übermittelten Daten geschieht. Die oben genannten Pflichten beziehen sich also bei Like‑​Buttons nur auf die Erhebung und Übermittlung der Daten.

Fazit

Das Fashion‑​ID‑​Urteil des EuGH hat in einigen Bereichen für die datenschutzrechtliche Compliance von Unternehmen ein wenig mehr an Rechtssicherheit gebracht. Insbesondere – und das ist zu begrüßen – reicht die Verantwortlichkeit der Website‑​Betreiber bei eingebundenen Drittdiensten nur soweit, wie tatsächlich Einfluss auf die einzelnen Schritte der personenbezogenen Daten besteht, also zumindest für die Erhebung und Übermittlung der Daten. Keine Verantwortlichkeit besteht dort, wo die Datenverarbeitung nicht mehr kontrolliert wird. So werden die Pflichten nach der DSGVO absehbarer und damit auch beherrschbarer.

Das Mehr an Rechtssicherheit besitzt jedoch auch eine Kehrseite. Die Aufsichtsbehörden werden von nun an wenig Nachsicht bei Verstößen zeigen, so dass die komplexe Identifizierung und Umsetzung der Pflichten zeitnah in Angriff genommen werden sollte, um die oft diskutierten und teils drakonischen Bußgelder der DSGVO zu vermeiden.

This newsletter does not constitute individual legal advice and is intended solely to provide information on selected topics. If you have any questions regarding the newsletter, please contact a named contact person.