Einleitung

Im Urteil C-40/17 „Fashion-ID“ vom 29.7.2019 hat der EuGH entschieden, dass Webseitenbetreiber, die Facebooks „Gefällt-mir“- Button auf ihrer Seite einbinden, für die Einhaltung datenschutzrechtlicher Vorgaben ebenso verantwortlich sind, wie Facebook selber. Deshalb ist der Webseitenbetreiber verpflichtet, den Webseitenbesucher über die Erhebung seiner Daten zu informieren und seine Einwilligung einzuholen. 

Unterschied zur Facebook-Fanpage

Bereits im Urteil zu den Facebook-Fanpages vom 05.06.2018 (Az. C-210/16) begründet der EuGH eine gemeinsame Verantwortlichkeit damit, dass Fanpage-Betreiber durch Erstellen der Fanpage einen Beitrag leisten, der es Facebook erst ermöglicht, mithilfe von Cookies umfassende Einblicke in die Nutzung seiner Dienste zu erhalten, um sein System der Werbung zu verbessern.

Im vorliegenden Urteil C-40/17 liegt der Beitrag des Webseitenbetreibers darin, durch Einbinden des „Gefällt-mir“-Buttons, Facebook Einblicke in die Nutzungsstatistik zu geben.

Während im Urteil zu Facebook-Fanpages eine gemeinsame Verantwortlichkeit ausschließlich auf das Erstellen und Betreiben einer Facebook-Fanpage bezogen war, weitet der EuGH die gemeinsame Verantwortlichkeit auf die Verwendung von Social Plug-ins aus. 

Im Urteil zu den Facebook-Fanpages hat der EuGH zwar den unterschiedlichen Grad der Verantwortlichkeit gewürdigt (C-210/16 Rn. 43), aber erst im vorliegenden Urteil dahingehend präzisiert (C-40/17 Rn. 85), dass „diese Verantwortlichkeit (…) jedoch auf den Vorgang oder die Vorgänge der Datenverarbeitung beschränkt (ist), für den bzw. für die er tatsächlich über die Zwecke und Mittel entscheidet, d. h. das Erheben der in Rede stehenden Daten und deren Weitergabe durch Übermittlung.“ Für die Vorgänge darüber hinaus ist Facebook verantwortlich.

Vorliegen eines gemeinsamen Zwecks

Bereits in den Schlussanträgen vom 19. Dezember 2018 hat der Generalanwalt angemerkt, dass, obwohl keine identische kommerzielle Nutzung der Daten stattfindet, der Webseitenbetreiber und Facebook allgemein offenbar kommerzielle Zwecke verfolgen, die sich wechselseitig ergänzen. Damit besteht trotz fehlender Zweckidentität eine Einheit der Zwecke: Es werden nämlich kommerzielle und werbliche Zwecke verfolgt. 

Der Webseitenbetreiber möchte durch die Einbindung des Buttons seine Werbung für ihre Produkte so optimieren, indem diese im sozialen Netzwerk Facebook sichtbarer gemacht werden, wenn ein Besucher ihrer Website den Button anklickt (C-40/17 Rn. 80).

Der EuGH würdigt zwar auch die eigenständigen Verarbeitungsvorgänge, wonach Facebook nur Besucherdaten sammelt und der Webseitenbetreiber seine Inhalte verbreiten will, differenziert jedoch nicht weiter und fasst beide unter „wirtschaftlichen Interessen“ zusammen:

 „Dabei werden diese Verarbeitungsvorgänge im wirtschaftlichen Interesse sowohl von Fashion ID als auch von Facebook Ireland durchgeführt, für die die Tatsache, über diese Daten für ihre eigenen wirtschaftlichen Zwecke verfügen zu können, die Gegenleistung für den Fashion ID gebotenen Vorteil darstellt.“

Facebook könnte jederzeit, unabhängig vom Webseitenbetreiber, die Funktionsweise des Like-Buttons ändern. Dieser muss das gar nicht erst mitbekommen. Durch die vom EuGH vorgenommen Aufteilung der Verantwortlichkeit, muss der Webseitenbetreiber jedoch nicht über die von Seiten Facebooks vorgenommenen Änderungen informieren, sondern nur über seine eigenen Verarbeitungsvorgänge. Für die weitere Verarbeitung durch Facebook bedarf es einer gesonderten Einwilligung des Nutzers.

Kritik

In der Literatur wurde diese geringe Schwelle zur Mitverantwortlichkeit bereits im Rahmen der Begründung des EuGH zu Facebook-Fanpages kritisiert, da eine bloße Mitursächlichkeit an einem Datenstrom nicht für eine gemeinsame Verantwortlichkeit genügen soll. Erforderlich soll ein zumindest rein tatsächlicher Einfluss auf die Erhebung und Verarbeitung personenbezogener Daten sein. Die Figur der gemeinsamen Verantwortlichkeit im Sinne des Art. 26 DS-GVO (Joint Controllership) beruht eben auf einem bewussten und gewollten Miteinander und nicht auf einer losen oder gar zufälligen Zusammenarbeit. Insbesondere hat der Webseitenbetreiber keinen Zugriff auf die Facebook-Server. Ebenso ist nicht nachvollziehbar wieso der Empfänger der Daten (hier Facebook) zusammen mit dem Webseitenbetreiber verantwortlich sein soll, wenn er keinen Einfluss auf die Übermittlung durch den Webseitenbetreiber hat.

Offene Fragen

Zwar schafft der EuGH mit dem Urteil Klarheit in Bezug auf den unterschiedlichen Verantwortungsgrad im Rahmen der Verarbeitung personenbezogener Daten – er schafft jedoch auch Unklarheit.

Sonstige Plug-ins 

Fraglich ist, ob eine Verantwortlichkeit auch besteht, wenn der Seitenbetreiber andere Plug-ins, wie z.B. Twitter, Instagram oder Pinterest verwendet, die zwar dem Plug-in-Betreiber zu kommerziellen Zwecken dienen, dem Seitenbetreiber aber nur als Beispiel zur Veranschaulichung im Rahmen eines Beitrags für einen Blog dienen, und damit nicht zu kommerziellen Zwecken. Auch die Situation von Plug-ins zu technischen Zwecken, zum Beispiel iframes im Rahmen Webseitendarstellung, oder Googles Plug-ins wie Analytics oder reCAPTCHA ist nicht klar. Stellt man dabei auf das Auslesen von Nutzungsdaten, einschließlich der IP-Adresse ab, wäre dafür auch schon eine Einwilligung des Nutzers erforderlich.

Die Argumentation des EuGH, dass der Webseitenbetreiber zusammen mit dem Plug-in-Betreiber zu kommerziellen Zwecken agiert, greift hier nicht. Deswegen kann man genauso gut argumentieren, dass Plug-ins, mit denen der Webseitenbetreiber keine eigenen kommerziellen Zwecke verfolgt, von der gemeinsamen Verantwortlichkeit ausgenommen sind. Damit bleibt es nur bei der Notwendigkeit einer Auftragsdatenvereinbarung gem. Art. 28 DS-GVO. Diesen gibt es nicht für reCAPTCHA. Google selber gibt keine transparenten Informationen über die von reCAPTCHA gesendeten Informationen preis.

Cookies

Der EuGH hat weiterhin offengelassen, ob eine Einwilligung des Webseitenbesuchers in die Nutzung des Facebook Like-Buttons erforderlich ist oder diese durch ein berechtigtes Interesse gedeckt ist. 

Diese Frage wird das OLG Düsseldorf beantworten müssen. Dabei beruft sich der EuGH (C-40/17 Rn. 87) auf die Richtlinie 2002/58 (Cookie-Richtlinie / ePrivacy-RIchtlinie), die jedoch in Deutschland nie richtig umgesetzt worden ist. Außerdem beruht der vor dem OLG Düsseldorf anhängige Prozess auf der alten Datenschutzrichtlinie 95/46 und nicht auf der DS-GVO. 

Der EuGH stellt zumindest klar, dass, sollte ein berechtigtes Interesse ausreichen, sowohl der Webseitenbetreiber als auch der Plugin-Anbieter, jeweils berechtigte Interessen wahrnehmen müssen (C-40/17 Rn. 97).

Fazit

Welche Auswirkungen das Urteil in der Praxis haben wird und ob nun alle Webseitenbetreiber, die Social Plug-ins verwenden, eine Vereinbarung gem. Art. 26 Abs. 1 Satz 2 DS-GVO (Joint Controller Agreement) zusätzlich zu einer Auftragsdatenvereinbarung nach Art. 28 DS-GVO abschließen müssen, bleibt abzuwarten. 

Ob eine Einwilligung für Cookies notwendig ist, ist weiterhin unklar. Endgültige Rechtssicherheit wird wohl erst die ePrivacy-Verordnung bringen. Bis dahin empfiehlt es sich, eine 2-Klick Lösung zum Beispiel „Shariff-Lösung“ bei der Implementierung von Social-Plug-ins zu benutzen.