Websitebetreiber tragen Mitverantwortung für Datenerhebung bei „Gefällt-mir“-Button

Der Europäische Gerichtshof (EuGH) hat entschieden, dass der Websitebetreiber, auf dessen Homepage ein „Gefällt-mir“-Button von Facebook implementiert ist, für das Erheben und die Übermittlung von personenbezogenen Daten der Websitebesucher gemeinsam mit Facebook verantwortlich sein kann.

Für die spätere Verarbeitung der Daten allein durch Facebook sei der Websitebetreiber nicht verantwortlich.

Sachverhalt:

Fashion ID, ein deutscher Online-Händler für Modeartikel, band in dessen Website den „Gefällt-mir“-Button von Facebook ein. Diese Einbindung hat wohl zur Folge, dass bei Aufrufen der Website die personenbezogenen Daten des Website-Besuchers an Facebook Ireland übermittelt werden. Diese Übermittlung erfolgt offenbar ohne, dass der Besucher hiervon Kenntnis hat und unabhängig davon, ob der Besucher Mitglied des sozialen Netzwerkes „Facebook“ ist oder den „Gefällt mir“-Button angeklickt hat.

Die Verbraucherzentrale NRW, ein gemeinnütziger Verband zur Wahrung von Verbraucherinteressen, wirft Fashion ID vor, personenbezogene Daten der Websitebesucher ohne deren Einwilligung und unter Verstoß gegen die Informationspflicht an Facebook Ireland übermittelt zu haben.

Das OLG Düsseldorf ersucht um die Auslegung einer Reihe von Bestimmungen der früheren Datenschutzrichtlinie von 1995 (RL 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr [ABI. 1995, L 281,31]), die weiterhin auf den Fall anwendbar ist, aber durch die neue Datenschutz-Grundverordnung (DSGVO) von 2016 (VO (EU) 2016/679) zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie (95/46/EG (ABI. 2016, L 119, 1)) mit Wirkung vom 25.05.2018 ersetzt worden ist.

Der EUGH hat zunächst klargestellt, dass die alte Datenschutzrichtlinie nicht dem entgegensteht, dass es Verbänden zur Wahrung von Verbraucherinteressen erlaubt ist, gegen den mutmaßlichen „Verletzer“ der Vorschriften zum Schutz personenbezogener Daten Klage zu erheben. Ferner hat der EuGH darauf hingewiesen, dass die DSGVO nunmehr ausdrücklich diese Möglichkeit vorsieht.

Außerdem wurde seitens des EuGH festgestellt, dass Fashion ID für die Datenverarbeitungsvorgänge, die Facebook Ireland nach der Übermittlung der Daten  vorgenommen hat, anscheinend nicht zur Verantwortung gezogen werden kann. Nach Auffassung des EuGH erscheint nämlich auf den ersten Blick ausgeschlossen, dass Fashion ID über die Zwecke und Mittel dieser Verarbeitungsvorgänge entscheidet.

Der EuGH urteilte nun, dass Fashion ID für die Erhebung der Daten und die Weiterleitung an das Facebook Ireland „als gemeinsam mit Facebook verantwortlich angesehen werden kann“, denn Fashion ID und Facebook entschieden auch gemeinsam über die Zwecke und Mittel des Datentransfers. Letztlich gehe es darum, Werbung zu optimieren und damit einen wirtschaftlichen Vorteil zu erreichen.

Der Website-Betreiber müsse als Mitverantwortlicher für den Datentransfer auch darüber informieren, so der EuGH.

Das OLG Düsseldorf muss nun abschließend über den Fall im Einklang mit der Entscheidung des EuGH entscheiden.

EuGH, Urteil vom 29.07.219, Az.: C-40/17)


Hüttl Rechtsanwälte