EuGH-Urteil zum Facebook „Gefällt Mir“-Button

EuGH entscheidet zur gemeinsamen Verantwortlichkeit beim Facebook „Gefällt Mir“-Button

Was ist nun zu tun?

Der EuGH hat über die datenschutzrechtlichen Folgen der Einbettung des Facebook „Gefällt Mir“-Buttons entschieden (Urt. v. 29.07.2019, Az. C-40/17). Was Inhalt des Urteils ist und dies für Unternehmen bedeutet, erläutern wir für Sie in diesem Beitrag.

Ausgangssituation

Die Verbraucherzentrale NRW hatte gegen den Betreiber einer Webseite geklagt, da dieser in seinem Online Shop den „Gefällt Mir“-Button („Button“) von Facebook eingebunden hatte. Die Verbraucherschützer monierten insoweit, dass Daten (u. a. die IP-Adresse) von Besuchern schon beim Webseitenaufruf an Facebook übermittelt wurden, unabhängig davon, ob der Button genutzt wurde oder man Mitglied bei Facebook ist. Der Betreiber führte dazu an, er sei nicht verantwortlich, da er keinerlei Einfluss auf die Datenverarbeitung durch den Button habe.

Im Zuge des sich anschließenden Rechtsstreits wandte sich das OLG Düsseldorf mit drei maßgeblichen Fragen an den EuGH:

  • Ist die Verbraucherzentrale NRW überhaupt klagebefugt?
  • Begründet die Einbindung des Buttons auf einer Webseite eine Mitverantwortlichkeit des Betreibers?
  • Falls ja, bedarf die Nutzung des Buttons einer Einwilligung oder kann sie auch auf Grundlage eines berechtigten Interesses erfolgen?

Der EuGH stellte - unter konsequenter Fortführung seiner vorangegangenen Rechtsprechung („Zeugen Jehovas“ - Urt. v. 10.07.2018, Az. C-25/17; „Facebook Fanpage“ - Urt. v. 05.06.2018, Az. C-210/16) - auch hier eine gemeinsame Verantwortlichkeit von Facebook und dem Webseitenbetreiber fest. Die Entscheidung erging zwar noch nach „altem“ Recht, das vor der DSGVO galt, lässt sich aber wohl recht umfassend auch auf die aktuelle Rechtslage übertragen.

Frage 1: Ist die Verbraucherzentrale NRW überhaupt klagebefugt?

Ja, der EuGH entschied, dass das alte europäische Datenschutzrecht einem nationalen Verbandsklagerecht – wie es in Deutschland geregelt ist - nicht entgegensteht. Die Nachfolgeregelung des Art. 80 Abs. 2 DSGVO bestimmt nunmehr auch ausdrücklich ein Verbandsklagerecht auf europäischer Ebene.

Frage 2: Begründet die Einbindung des Buttons eine gemeinsame Verantwortlichkeit des Seitenbetreibers zusammen mit Facebook?

Ja, wenn ein Webseitenbetreiber den Button einbindet, entscheidet er - nach Ansicht des EuGH – gemäß Art. 26 Abs. 1 DSGVO mit über die Mittel und Zwecke der Datenverarbeitung. Die Mittel legt der Betreiber insofern fest, da er den Button aktiv in seine Seite einbindet und so die Datenerhebung und -übermittlung an Facebook überhaupt erst ermöglicht. Eine Zweckfestlegung erfolgt - wie auch bei den Fanpages – deshalb, da es die Einbindung des Buttons dem Seitenbetreiber ermöglicht, die Werbung für Produkte zu optimieren, die in der Folge bei Facebook sichtbarer gemacht werden. Denn wenn ein Besucher der Website den Button anklickt, kann zumindest potenziell auch der Umsatz der Produkte des Webseitenbetreibers gesteigert werden. Der Seitenbetreiber ist nach Ansicht des EuGH aber nur für jene Verarbeitungsphasen verantwortlich, die er auch selbst beeinflusst; vorliegend also die Erhebung und die Übermittlung der Daten an Facebook. Bemerkenswert ist insofern, dass das Gericht von „Phasen“ der Verarbeitung spricht, während die maßgebliche Richtlinie von „Vorgang oder Vorgangsreihe“ sprach. M. a. W. trennt der EuGH den einheitlichen Datenverarbeitungs“vorgang“ des Betriebs des Buttons auf, indem er einerseits den Webseitenbetreiber für die Einbindung sowie die darauf folgende Erhebung und Übermittlung der Daten an Facebook mitverantwortlich macht. Und andererseits sieht er Facebook für die sich daran anschließende Verarbeitung der übermittelten Daten in eigener Verantwortung.

Frage 3: Bedarf die Nutzung des Buttons einer datenschutzrechtlichen Einwilligung oder kann sie auch auf Grundlage eines berechtigten Interesses erfolgen?

Die Antwort hierauf wird derzeit lebhaft diskutiert. Nach Auffassung des EuGH bedarf die Erhebung von Daten durch den eingebundenen Button eventuell einer Einwilligung, da die derzeit noch geltende ePrivacy-Richtlinie 2002/58 vorschreibt, dass die Speicherung oder der Zugriff auf Informationen, die bereits im Endgerät eines Nutzers gespeichert sind, nur gestattet ist, wenn dieser eine klare und informierte Einwilligung abgegeben hat. Wenn bei einem Seitenbesuch durch den Button ein Cookie bei dem Besucher gesetzt wird, könnte ein Zugriff auf Informationen vorliegen. Man ging in Deutschland bisher davon aus, dass diese Richtlinienvorgabe mit § 15 Abs. 3 TMG umgesetzt wurde, der nur eine Widerspruchslösung im Zuge einer sogenannten Opt-Out-Möglichkeit vorsah. Allerdings ist höchst umstritten, ob § 15 Abs. 3 TMG eine richtlinienkonforme Umsetzung in nationales Recht darstellt. Europarechtliche Richtlinien entfalten im Gegensatz zu Verordnungen keine unmittelbare Rechtswirkung gegenüber dem Bürger, sondern bedürfen der individuellen Umsetzung in nationales Recht. Nach Auffassung der Datenschutzkonferenz (Gremium der deutschen Datenschutz-Aufsichtsbehörden) ist in Deutschland weder die ePrivacy-Richtlinie 2002/58 noch § 15 Abs. 3 TMG anwendbar. Lediglich die Bestimmungen der DSGVO wären demnach zu berücksichtigen.

Da der EuGH zwischen den Verarbeitungsvorgängen der Erhebung und der Übermittlung trennt, bedarf es einer Einwilligung der betroffenen Person eventuell aber nur für die Phase der Datenerhebung. Allerdings wird auch eine Datenerhebung auf Grundlage eines berechtigten Interesses nicht gänzlich ausgeschlossen. Die abschließende Entscheidung über die Erforderlichkeit einer Einwilligung im vorliegenden Fall soll letztlich das vorlegende OLG Düsseldorf treffen, wenn es nun auf Grundlage des EuGH-Urteils entscheidet.

Die Datenübermittlung ließe sich dagegen nach den Ausführungen des EuGH schon eher auf Grundlage einer Interessenabwägung nach der damals geltenden EU-Datenschutzrichtlinie rechtfertigen. Grundlage wäre unter der DSGVO dann Art. 6 Abs. 1 lit. f) DSGVO. Die Richter betonten insofern allerdings, dass die Datenübermittlung auch wirklich für die Erreichung eines berechtigten Interesses erforderlich sein muss, ohne dass dabei entgegenstehende schutzwürdige Interessen der betroffenen Person überwiegen.

Praktische Folgen

  • Seitenbetreiber müssen mit Facebook - wie auch beim Betrieb einer Fanpage - eine Vereinbarung über die gemeinsame Verantwortlichkeit im Sinne des Art. 26 DSGVO abschließen, in der die Verteilung der Pflichten gegenüber betroffenen Personen transparent geregelt wird. Man kann damit rechnen, dass Facebook ein entsprechendes Dokument bereitstellt.
  • Die sicherste Vorgehensweise ist aktuell, dass Seitenbetreiber sicherstellen sollten, dass eine Datenverarbeitung (bzw. konkret: Erhebung von Daten) durch den „Gefällt Mir“-Button erst nach einer aktiven Einwilligung des Seitenbesuchers stattfindet. Hierbei sind die Kriterien für eine rechtskonforme Einwilligung nach Art. 7 DSGVO zu beachten.
  • Alternativ könnte man auch versuchen, den Button auf Grundlage eines berechtigten Interesses einzubinden. Allerdings birgt das nicht unerhebliche Risiken, da derzeit nicht klar ist, ob die Aufsichtsbehörden dieses Vorgehen akzeptieren (tendenziell wohl eher nicht). Zumindest hat aber das OLG Düsseldorf hierzu final noch nicht entschieden.
  • Die Datenschutzerklärung des Webseitenbetreibers muss entsprechend angepasst und aktualisiert werden.
  • Die Informationspflichten nach Art. 13 DSGVO treffen den Seitenbetreiber, der die Daten initial erhebt.

[August 2019]