Datenschutz bei Einbinden von „Gefällt mir“-Button

Im Rahmen eines Vorabentscheidungsersuchens durfte sich der EuGH mit Fragen zur Auslegung des Datenschutzrechts im Zusammenhang mit „Gefällt mir“-Buttons von Facebook auseinandersetzen. Er entschied, dass ein Onlineshop-Betreiber, der den „Gefällt mir“-Button auf seiner Website eingebunden hat, für das Erheben und Übermitteln personenbezogener Daten der Besucher seines Onlineshops gemeinsam mit Facebook verantwortlich sein kann.

„Gefällt mir“-Button von Facebook in einem Onlineshop
Die Fashion ID GmbH & Co. KG, die zur Unternehmensgruppe der Peek & Cloppenburg KG gehört, betreibt einen Onlineshop für Modeartikel. Auf ihrer Website band sie das Social Plugin „Gefällt mir“ des sozialen Netzwerks Facebook ein. Dieses Plugin wird weitläufig auch als „Gefällt mir“-Button bezeichnet. Es ist eine Eigenschaft von Browsern (z. B. Google Chrome), dass Inhalte von verschiedenen Quellen dargestellt werden können. So kann eben auch der „Gefällt mir“-Button von Facebook in eine Website eingebunden und dargestellt werden. Wenn ein Websitebetreiber solche Inhalte von Dritten – hier von Facebook – auf seiner Internetseite einbinden möchte, wird ein technischer Verweis auf die externen Inhalte gesetzt. Wenn der Browser des Nutzers auf diesen Verweist stößt, fordert er den Inhalt von Facebook an und fügt ihn an der gewünschten Stelle ein.

Der datenschutzrechtliche Haken an der Sache:
Um die Inhalte von Facebook anzufordern, übermittelt der Browser dem Facebook-Server die IP-Adresse des Rechners des Websitebesuchers. Außerdem werden die technischen Informationen des Browsers übermittelt, damit der Server weiß, in welchem Format er den Inhalt ausliefern muss. Darüber hinaus werden auch Informationen zu dem gewünschten Inhalt übermittelt. Der Betreiber des Onlineshops, der den „Gefallt mir“-Button auf seiner Website einbindet, hat keinen Einfluss darauf, welche Informationen der Browser übermittelt bzw. ob Facebook die übermittelten Informationen speichert oder auswertet. Bei dem Social Plugin von Facebook scheinen sogar personenbezogene Daten des Onlineshop-Besuchers an Facebook übermittelt zu werden. Dies geschieht, ohne dass der Besucher Kenntnis davon hat. Er muss weder Mitglied des Facebook Netzwerks sein noch auf den „Gefällt mir“-Button geklickt haben.

Facebook trat dem Rechtstreit bei
Dieser Umstand gab der Verbraucherzentrale NRW Anlass, zur Wahrung der Verbraucherinteressen das Wort zu ergreifen. Sie warf Fashion ID vor, personenbezogene Daten ihrer Onlineshop-Besucher ohne deren Einwilligung und unter Verstoß gegen die datenschutzrechtlichen Informationspflichten an Facebook übermittelt zu haben. In dem darauffolgenden Rechtsstreit gab das Landgericht Düsseldorf den Anträgen der Verbraucherzentrale teilweise statt. Fashion ID legte Berufung zum OLG Düsseldorf ein. In dieser Instanz trat Facebook als Streithelferin auf Seiten von Fashion ID bei. Die Verbraucherzentrale legte Anschlussberufung ein, um das Urteil des LG Düsseldorf zu erweitern. Fashion ID stützte seine Ansicht vor allem darauf, dass sie weder Einfluss auf die übermittelten Daten noch darauf habe, ob und ggf. wie Facebook diese Daten verwende. Deshalb sei sie keine „für die Datenverarbeitung verantwortliche Stelle“ im Sinne der Datenschutzrichtlinie (Richtlinie 95/46).

Frage an den EuGH: wer ist für die Datenverarbeitung „verantwortlich“?
Um die streitentscheidende Problematik klären zu können, legte das OLG Düsseldorf dem Europäischen Gerichtshof daraufhin Fragen zur Auslegung der Datenschutzrichtlinie bzw. der Datenschutz-Grundverordnung vor. Das OLG stellte sich insbesondere die Frage, ob Fashion ID die für die Datenverarbeitung „Verantwortliche“ sei, obwohl sie keinen Einfluss auf die Datenverarbeitung habe. Fraglich sei auch, auf wessen „berechtigtes Interesse“ vorliegend abzustellen sei – auf das Interesse von Fashion ID oder Facebook. Außerdem solle der EuGH die Frage beantworten, wer die zu erklärende Einwilligung des Nutzers einholen müsse: der Websitebetreiber (Fashion ID) oder der Anbieter (Facebook) und ob Fashion ID von der Informationspflicht betroffen sei.

Antwort: wer (gemeinsam) über „Zwecke und Mittel“ entscheidet!
Der EuGH stellte zunächst fest, dass die nationale Regelung, die es Verbänden wie der Verbraucherzentrale NRW erlaubt, gegen mutmaßliche Verletzer von Datenschutzvorschriften Klage zu erheben, der Datenschutzrichtlinie nicht entgegenstehe. Die Kernfrage der „Verantwortlichkeit für die Datenverarbeitung“ beantwortete der EuGH wie folgt: grundsätzlich sei der Begriff des „für die Verarbeitung Verantwortlichen“ weit definiert ist. Er verweise nicht zwingend nur auf eine einzige Stelle und könne mehrere Akteure betreffen, die an der Verarbeitung beteiligt sind. Die gemeinsame Verantwortlichkeit zweier Akteure setze nicht voraus, dass beide Zugang zu den Daten haben. Aus einer gemeinsamen Verantwortung folge auch nicht zwingend eine gleichwertige Verantwortlichkeit. Die Akteure können vielmehr in verschiedenen Phasen und in unterschiedlichem Ausmaß einbezogen sein. Die Datenverarbeitung kann aus mehreren Vorgängen bestehen: erheben, speichern, organisieren, aufbewahren, anpassen, verändern, auslesen, abfragen, benutzen, übermitteln, verbreiten, bereitstellen, sperren, löschen, vernichten. Daraus folge, dass eine Stelle nur für Vorgänge der Verarbeitung gemeinsam mit anderen verantwortlich sein könne, wenn sie über deren Zwecke und Mittel gemeinsam mit anderen entscheidet. Für vor- oder nachgelagerte Vorgänge, für die sie weder die Zwecke noch die Mittel festlegt, kann diese Person nicht als „Verantwortliche“ angesehen werden.

Gemeinsame Verantwortlichkeit für die Datenverarbeitung
Der EuGH stellte sodann fest, dass im streitgegenständlichen Fall Fashion ID gemeinsam mit Facebook über die Zwecke und Mittel der Erhebung und Übermittlung der personenbezogenen Daten entscheiden könne. Für die weitere Verarbeitung seitens Facebook sei Fashion ID aber jedenfalls nicht verantwortlich im Sinne des Datenschutzrechts. Das „Mittel“ der Datenerhebung und -übermittlung sei hier das Einbinden des Social Plugins. Der Zweck sei die Optimierung der Werbung, indem diese auf Facebook sichtbar gemacht wird. Facebook hingegen können über die Daten für ihre eigenen wirtschaftlichen Zwecke verfügen. Dass Fashion ID selbst keinen Zugang zu den personenbezogenen Daten hat, stehe der Einstufung als „für die Verarbeitung Verantwortlicher“ nicht entgegen. Im Übrigen sei die Verantwortlichkeit von Fashion ID sogar noch höher, da das bloße Aufrufen der Onlineshop-Website schon die automatische Datenverarbeitung auslöse. Der Besucher müsse nicht über ein Facebook-Konto verfügen. Insgesamt könne Fashion ID daher „als für die Verarbeitung Verantwortliche“ eingestuft werden. Diese Verantwortlichkeit sei aber auf den Vorgang des Erhebens und Übermittelns der Daten beschränkt.

Datenschutzrechtliche Pflichten begrenzt auf die Datenerhebung und -übermittlung
Zur Frage, auf wessen „berechtigtes Interesse“ vorliegend abzustellen sei, wenn es um eine mögliche Rechtfertigung der Datenerhebung gehe, antwortete der EuGH, dass sowohl Facebook als auch Fashion ID hier jeweils ein solches „berechtigtes Interesse“ haben müssten. Die Frage könne aber nicht streitentscheidend sein, da der Zugriff auf Informationen, die bereits im Endgerät eines Nutzers gespeichert sind (etwa die IP-Adresse), jedenfalls nicht ohne die Einwilligung des Nutzers gestattet ist. Auf das „berechtigte Interesse“ der für die Verarbeitung Verantwortlichen komme es daher gar nicht an. Die letzte Frage des OLG Düsseldorf beantwortete der EuGH wie folgt: der Websitebetreiber (Fashion ID) müsse die zu erklärende Einwilligung des Websitebesuchers nur in Bezug auf den Vorgang derjenigen Datenverarbeitung einholen, für den er tatsächlich über Zwecke und Mittel entscheidet – also das Erheben und Übermitteln der Daten an Facebook. Fashion ID treffe in dieser Situation auch die Informationspflicht der Besucher, allerdings auch wieder nur in Bezug auf das Erheben und Übermitteln der personenbezogenen Daten.

EuGH, Urteil vom 29.07.2019, Az. C-40/17