Der Betreiber der Webseite muss den Nutzern hinsichtlich dieser Datenverarbeitungsvorgänge die Informationen zur Verfügung stellen, die sie zumindest erhalten müssen, und, wo dies erforderlich ist, ihre Einwilligung einholen, bevor Daten erhoben und übermittelt werden
Fashion ID ist ein deutscher Online-Händler für Modeartikel. In seine Webseite ist ein Plugin, der Facebook-„Gefällt mir“-Button, eingebunden. Besucht ein Nutzer die Webseite von Fashion ID, werden Facebook daher Informationen über die IP-Adresse und der Browser-String dieses Nutzers übermittelt. Diese Übermittlung erfolgt automatisch beim Laden der Webseite von Fashion ID unabhängig davon, ob der Nutzer den „Gefällt mir“-Button angeklickt hat oder über ein Facebook-Nutzerkonto verfügt.
Die Verbraucherzentrale NRW, ein deutscher Verbraucherschutzverband, hat mit der Begründung, die Verwendung des Facebook-„Gefällt mir“-Buttons verstoße gegen Datenschutzrecht, gegen Fashion ID eine Unterlassungsklage erhoben.
Das mit der Sache befasste OLG Düsseldorf (Deutschland) ersucht um die Auslegung einer Reihe von Bestimmungen der früheren Datenschutzrichtlinie von 1995[1] (die weiterhin auf den Fall anwendbar ist, aber durch die neue Datenschutzrichtlinie von 2016[2] mit Wirkung vom 25. Mai 2018 ersetzt worden ist).
In seinen heute vorgelegten Schlussanträgen schlägt Generalanwalt Bobek dem Gerichtshof vor, erstens zu entscheiden, dass die Richtlinie einer nationalen Regelung nicht entgegenstehe, die gemeinnützigen Verbänden die Befugnis einräume, zur Wahrung der Interessen der Verbraucher rechtlich gegen den mutmaßlichen Verletzer von Datenschutzrecht vorzugehen.
Ferner schlägt der Generalanwalt vor, zu entscheiden, dass nach der Datenschutzrichtlinie der Betreiber einer Webseite (wie Fashion ID), der in seine Webseite ein von einem Dritten bereitgestelltes Plugin (wie den Facebook-„Gefällt mir“-Button) eingebunden habe, das die Erhebung und Übermittlung der personenbezogenen Daten des Nutzers veranlasse, zusammen mit diesem Dritten (hier Facebook Ireland) als gemeinsamer Verantwortlicher anzusehen sei.
Diese (gemeinsame) Verantwortlichkeit des für die Verarbeitung Verantwortlichen sollte jedoch auf die Verarbeitungsvorgänge beschränkt sein, für die er tatsächlich einen Beitrag zur Entscheidung über die Mittel und Zwecke der Verarbeitung der personenbezogenen Daten leiste.
Das bedeute, dass ein (gemeinsam) für die Verarbeitung Verantwortlicher für den Vorgang oder die Vorgangsreihe verantwortlich sei, für den bzw. für die er, soweit es den betreffenden Verarbeitungsvorgang angehe, einen Beitrag zu der Entscheidung über dessen Zwecke und Mittel leiste. Im Gegensatz dazu könne die betreffende Person weder für die vorhergehenden noch die nachfolgenden Phasen der Gesamtkette der Datenverarbeitungsvorgänge verantwortlich gemacht werden, für die sie weder die Zwecke noch die Mittel habe festlegen können.
Nach dem Sachverhalt der vorliegenden Rechtssache scheine es daher so zu sein, dass Fashion ID und Facebook Ireland gemeinsam die Mittel und Zwecke der Datenverarbeitung in der Phase der Erhebung und Übermittlung der betreffenden personenbezogenen Daten festlegten. Vorbehaltlich der Nachprüfung durch das vorlegende Gericht hätten sowohl Facebook Ireland als auch Fashion ID somit offenbar willentlich die Phase der Erhebung und Übermittlung von Daten innerhalb der Datenverarbeitung eingeleitet, und trotz fehlender Zweckidentität bestehe eine Einheit der Zwecke: Es würden kommerzielle und Werbezwecke verfolgt (Die Entscheidung von Fashion ID, den Facebook-„Gefällt mir“-Button auf ihrer Webseite einzubinden, scheine von dem Wunsch getragen gewesen zu sein, die Sichtbarkeit ihrer Produkte über das soziale Netzwerk zu erhöhen).
Deshalb handele Fashion ID in Bezug auf die Erhebungs- und Übermittlungsphase der Datenverarbeitung als ein für die Verarbeitung Verantwortlicher, und seine Haftung bestehe insoweit gemeinsam mit der von Facebook Ireland.
Was die Zulässigkeit der Verarbeitung personenbezogener Daten bei fehlender Einwilligung3 des Nutzers der Webseite betrifft, weist der Generalanwalt darauf hin, dass eine solche Verarbeitung nach der Richtlinie unter drei kumulativen Voraussetzungen zulässig sei: Erstens müsse der für die Verarbeitung Verantwortliche oder der bzw. die Dritten, denen die Daten übermittelt würden, ein berechtigtes Interesse verfolgen; zweitens müsse die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein, und drittens dürften die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen.
Insoweit schlägt der Generalanwalt dem Gerichtshof vor, zu entscheiden, dass auf die berechtigten Interessen beider im Einzelfall für die Verarbeitung Verantwortlichen (Fashion ID und Facebook Ireland) abzustellen sei, und diese Interessen gegen die Rechte der betroffenen Personen abzuwägen seien.
Des Weiteren schlägt der Generalanwalt dem Gerichtshof vor, zu entscheiden, dass die Einwilligung des Nutzers der Webseite, sofern erforderlich, gegenüber dem Betreiber der Webseite (Fashion ID) zu erklären sei, der Drittinhalte in seine Webseite eingebunden habe. Ebenso gelte die Pflicht, dem Nutzer der Webseite die Informationen zur Verfügung stellen, die er zumindest erhalten müsse, auch für den Betreiber der Webseite (Fashion ID).
Die Richter des Gerichtshofs treten nunmehr in die Beratung ein. Das Urteil wird zu einem späteren Zeitpunkt verkündet.
Pressemitteilung des EuGH Nr. 206 v. 19.12.2018 zu den Schlussanträge des Generalanwalts in der Rs. C-40/17 (Fashion ID GmbH & Co. KG / Verbraucherzentrale NRW e. V.)
[1] Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. 1995, L 281, S. 31).
[2] Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1).
