Quelle: Die Landesbeauftragte für den Datenschutz Niedersachsen, Tätigkeitsbericht 2019, S. 51f.
Bindet der Betreiber einer Webseite den „Gefällt mir“-Button von Facebook ein, dann ist er gemeinsam mit Facebook für die Erhebung und Übermittlung von Daten der Nutzer seiner Webseite verantwortlich. Das stellte der Europäische Gerichtshof (EuGH) 2019 in einem Urteil fest.
Der EuGH-Entscheidung (AZ C-40/17) liegt ein Rechtsstreit vor dem Landgericht Düsseldorf zwischen der Fashion ID GmbH & Co. KG und der Verbraucherzentrale NRW e. V. zugrunde. Fashion ID, ein Online-Händler für Modeartikel, hatte in seine Webseite das Facebook-Plugin „Gefällt mir“ eingebunden. Die Verbraucherzentrale NRW klagte vor dem Landgericht (LG) Düsseldorf gegen Fashion ID auf Unterlassung der (automatischen) Übermittlung von personenbezogenen
Daten der Webseitennutzer an Facebook Irland ohne deren Einwilligung und unter Verstoß gegen die Informationspflichten der Datenschutz-Grundverordnung (DS-GVO). Das LG Düsseldorf gab den Anträgen der Verbraucherzentrale NRW teilweise statt. Fashion ID legte gegen diese Entscheidung beim Oberlandesgericht Düsseldorf Berufung ein. Dieses legte dem EuGH mehrere Fragen zur Vorabentscheidung vor. Kernfrage des Rechtsstreits war, ob der Betreiber einer Webseite datenschutzrechtlich Verantwortlicher ist, wenn er Programmcode einbindet, der den Browser des Benutzers veranlasst, Inhalte von einem Dritten anzufordern und hierzu personenbezogene Daten an den Dritten zu übermitteln.
EuGH betont Verantwortung von Seitenbetreibern
Der EuGH betont mit seinem Urteil, dass jede natürliche oder juristische Person, die aus Eigeninteresse auf die Verarbeitung personenbezogener Daten Einfluss nimmt und damit an der Entscheidung über die Zwecke und Mittel dieser Verarbeitung mitwirkt, für die Verarbeitung verantwortlich ist. Fashion ID habe es durch die Einbindung des „Gefällt mir“-Buttons von Facebook ermöglicht, dass beim Aufruf ihrer Webseite Nutzerdaten erhoben und an Facebook übermittelt werden. Dies geschieht unabhängig davon, ob
• der Nutzer den „Gefällt-mir“ Button auf der Webseite aktiv anklickt,
• der Nutzer ein Mitglied im sozialen Netzwerk von Facebook ist und
• der Nutzer Kenntnis von dem Vorgang nimmt.
Durch diese Entscheidung wird klargestellt, dass der Betreiber einer Webseite grundsätzlich für alle Verarbeitungen personenbezogener Daten der Nutzer seiner Webseite verantwortlich ist. Und zwar auch dann, wenn sie nicht von ihm selbst durchgeführt werden. Auf nahezu jeder Webseite sind Dienste Dritter integriert wie Social Plugins, interaktive Karten, Videos, Schriften oder Cookies. All diese Dienste erfordern, dass bei der Erstellung der Webseite Programmcode des Dritten integriert wird, der in der Regel dazu führt, dass bei einem Aufruf der Webseite die Nutzerdaten nicht nur an den Server der Webseite, sondern auch an die Drittdienstleister übermittelt werden. Der EuGH stellt sich klar auf den Standpunkt, dass ohne die Einbindung des Programmcodes die Verarbeitung der Nutzerdaten durch die Drittdienstleister nicht möglich wäre. Folgerichtig trägt der Betreiber der Webseite mindestens für die Erhebung und die Übermittlung der Daten die Verantwortung.
Rechtsauffassung der Aufsichtsbehörden bestätigt
Ich begrüße die Entscheidung des EuGH aus mehreren Gründen. Die Verarbeitung von Nutzerdaten im Internet ist aufgrund der Vielzahl der Akteure und der Einbindung von Drittdienstleistern auf nahezu jeder Webseite mittlerweile sehr komplex. Die Entscheidung des Gerichts zeigt auf, dass die Datenschutzvorschriften dennoch eine lückenlose und effiziente Zuweisung der datenschutzrechtlichen Verantwortung ermöglichen.
Betroffenen wäre die Wahrnehmung ihrer Rechte deutlich erschwert worden, wenn Betreiber von Webseiten nicht als Verantwortliche eingestuft worden wären. Nutzern von Webseiten ist häufig nicht einmal bekannt, dass und an wen ihre Daten beim Öffnen einer Webseite übermittelt werden, geschweige denn wie und zu welchen Zwecken sie anschließend verarbeitet werden. Die Aufsichtsbehörden werden in ihrer Rechtsauffassung zur Verwendung von Social Plugins bestätigt.
Schließlich besteht die Hoffnung, dass die Wertungen des Gerichts beim Erlass der E-Privacy-Verordnung Berücksichtigung finden werden. Social Plugins dienen nur vordergründig dem Zweck, Nutzern eine einfache Möglichkeit zu geben, interessante Inhalte im Internet in ihr soziales Netzwerk zu kommunizieren. Primär dienen sie dem Nutzertracking und der Erstellung von Persönlichkeitsprofilen, um ein individualisiertes Webmarketing zu ermöglichen. Der EuGH stellt fest, dass sowohl Betreiber der Webseite als auch Drittdienstleister mit den Social Plugins wirtschaftliche Interessen verfolgen. Entsprechend sollte jeder Betroffene frei darüber entscheiden können, ob er seine Daten dafür zur Verfügung stellen möchte oder nicht.
Quelle: Die Landesbeauftragte für den Datenschutz Niedersachsen, Tätigkeitsbericht 2019, S. 51f.