Der Europäische Gerichtshof („EuGH“) hat mit seinem Urteil vom 29. Juli 2019 – C 40/17 entschieden, dass der Betreiber einer Website, der einen „Gefällt mir“-Button von Facebook einbindet, für das Erheben und die Übermittlung personenbezogener Daten von Besuchern seiner Website an Facebook gemeinsam mit Facebook verantwortlich ist Dagegen ist der Betreiber nicht für eine spätere Verarbeitung dieser Daten allein durch Facebook verantwortlich.
Der zugrundeliegende Fall
Im Rahmen eines Vorabentscheidungsverfahren hatte der EuGH insbesondere zu der Frage zu entscheiden, inwieweit Facebook und der Betreiber einer Website, der einen „Gefällt mir“-Button auf seiner Seite einbindet, datenschutzrechtlich als gemeinsame Verantwortliche nach Art. 26 Datenschutz-Grundverordnung („DS-GVO“). zu sehen sind. Hintergrund war ein Rechtsstreit zwischen der Verbraucherzentrale Nordrhein-Westfalen und einem Online-Händler für Modeartikel vor dem Oberlandesgericht Düsseldorf. Die Verbraucherzentrale warf dem Händler vor, durch das Einbinden des Facebook „Gefällt mir“-Buttons auf seiner Website personenbezogene Daten der Besucher der Website ohne deren Einwilligung und unter Verstoß gegen die Informationspflichten nach den Vorschriften über den Schutz personenbezogener Daten an Facebook übermittelt zu haben.
Gemeinsame Verantwortlichkeit (nur) für Erhebung und Übermittlung von Daten
Der EuGH bejaht eine gemeinsame Verantwortlichkeit von Facebook und dem Betreiber der Website bei der Erhebung und Übermittlung von personenbezogenen Daten – allerdings nicht darüber hinaus.
„Für die Verarbeitung verantwortlich“ ist jeder, der allein oder gemeinsam mit anderen über die Zwecke und Mittel der Datenverarbeitung entscheidet.
Nach Auffassung des EuGH liegt bezüglich der Mittel im vorliegenden Fall eine gemeinsame Entscheidung vor. Der Betreiber der Website binde das von Facebook zur Verfügung gestellte Plugin in seine Website mit dem Wissen ein, dass dadurch personenbezogene Daten erhoben und an Facebook übermittelt werden. Dabei stehe der Umstand, dass der Betreiber zu den personenbezogenen Daten selbst keinen Zugang habe, seiner Einstufung als „für die Verarbeitung Verantwortlicher“ nicht entgegen. Gerade mit der Einbindung eines solchen Social Plugins beeinflusse der Betreiber der Website laut dem EuGH entscheidend das Erheben und die Übermittlung von personenbezogenen Daten zugunsten des Plugin-Anbieters, was ohne die Einbindung nicht erfolgen würde. Dies begründe eine gemeinsame Entscheidung über die Mittel.
Hinsichtlich des Zwecks der Datenverarbeitung erlangt der Betreiber der Website nach Auffassung des EuGHs durch die Einbindung einen wirtschaftlichen Vorteil durch Optimierung seiner Werbung. Er willige zumindest stillschweigend in das Erheben und Übermitteln von personenbezogenen Daten ein. Die Datenverarbeitung liege im wirtschaftlichen Interesse sowohl des Seitenbetreibers als auch von Facebook, die folglich gemeinsam entscheiden und deshalb auch gemeinsam verantwortlich seien.
Allerdings erstrecke sich die gemeinsame Verantwortlichkeit nur auf die Vorgänge der Datenverarbeitung, an denen die Verantwortlichen auch tatsächlich gemeinsam über die Zwecke und Mittel entscheiden, d.h. im vorliegenden Fall das Erheben und die Übermittlung von personenbezogenen Daten an Facebook.
Der EuGH betont, dass der Betreiber für vor- oder nachgelagerte Vorgänge in der Verarbeitungskette, für die er weder die Zwecke noch die Mittel festlegt, nicht als datenschutzrechtlich Verantwortlicher anzusehen ist.
Fazit
Nach der Entscheidung des EuGH ist der Betreiber der Website nach Erhebung und Übermittlung der personenbezogenen Daten an Facebook nicht mehr verantwortlich im Sinne der DS-GVO. Vielmehr beschränkt sich die gemeinsame Verantwortlichkeit auf die Vorgänge der Datenverarbeitung, auf die der Verantwortliche tatsächlich Einfluss hat und über deren Mittel und Zwecke er (mit)entscheidet.
Eine gemeinsame Verantwortlichkeit von Betreiber und Plugin-Anbieter besteht aber bei der Erhebung und Übermittlung der Daten. Insbesondere liegt eine gemeinsame Entscheidung bezüglich der Mittel der Datenverarbeitung auch dann vor, wenn ein Beteiligter die Verarbeitung wissentlich so beeinflusst, dass dadurch die Erhebung und Übermittlung von personenbezogenen Daten erst ermöglicht wird. Insoweit weicht das aktuelle Urteil von der vorhergehenden Fanpage-Entscheidung des EuGH ab.
Für den Betreiber einer Website hat die Entscheidung des EuGH zur Folge, dass er als Verantwortlicher seinen datenschutzrechtlichen Informationspflicht nachkommen muss und ggf. eine Einwilligung der Besucher seiner Website einholen muss, jedoch nur in Bezug auf Vorgänge der Datenverarbeitung, für die eine (gemeinsame) Verantwortlichkeit vorliegt – hier also die Erhebung und Übermittlung personenbezogener Daten.
Die Entscheidung erfordert eine Überprüfung auch anderer Tools und Plugins auf der Website und ggf. der Anpassung der Datenschutzerklärung. Sprechen Sie uns an, wir sind Ihnen gerne dabei behilflich.