Wer den Gefällt-mir-Knopf auf seiner Website per Plug-in integriert, liefert Facebook Nutzerdaten. Ob und wie das für Seitenbetreiber zur Falle werden könnte, zeigt Senta Leyke anhand des aktuellen Falls vor dem EuGH.
Facebook bleibt ein Thema vor dem Europäischen Gerichtshof (EuGH): Gleich zweimal innerhalb von wenigen Monaten müssen sich die Luxemburger Richter mit datenschutzrechtlichen Fragen zu Anwendungen des sozialen Netzwerks befassen. Im Juni dieses Jahres erst fiel das Urteil zum Betrieb von Facebook-Fanpages, derzeit liegt dem EuGH ein Vorabentscheidungsverfahren des Oberlandesgerichts (OLG) Düsseldorf zum ikonischen Facebook-Like-Button vor, über das am heutigen Mittwoch mündlich verhandelt wird.
Beide Verfahren verbindet die gleiche Rechtsfrage: Wie bestimmt sich die datenschutzrechtliche Verantwortlichkeit, wenn an einer Datenverarbeitung mehrere Akteure beteiligt sind? Die Antwort ist deshalb relevant, weil die Verantwortlichkeit umfassende datenschutzrechtliche Verpflichtungen und Haftungsrisiken nach sich zieht.
Weswegen das OLG den EuGH angerufen hat
Dem Verfahren in der Sache Like-Button liegt ein Rechtsstreit zwischen der Verbraucherzentrale NRW und der Fashion ID GmbH & Co. KG zugrunde, einem Online-Shop für Bekleidung. Das Unternehmen hatte den Facebook-Like-Button auf ihrer Website eingebunden. Besuchten Internetnutzer die Website des Online-Shops, wurden mittels Plug-Ins Daten zum Surfverhalten dieser Besucher direkt an Facebook übermittelt, u.a. ihre IP-Adresse. Fashion ID erhielt dabei weder Zugriff auf die Daten noch konnte sie die Datenverarbeitung irgendwie beeinflussen. Die Datenübermittlung erfolgte zudem unabhängig davon, ob die Besucher den Like-Button anklickten.
Die Verbraucherzentrale hielt die Einbindung des Like-Buttons für wettbewerbswidrig und klagte vor dem LG Düsseldorf auf Unterlassen. Das Gericht gab der Klage weitgehend statt. Die Richter sahen es als unlauter i.S.d. § 3a Gesetz gegen den unlauteren Wettbewerb (UWG) i.V.m. §§ 12, 13 Telemediengesetz (TMG) an, dass die Fashion ID das Plug-In in ihre Website einband, ohne dass sie eine Einwilligung der Website-Besucher in die Datenverarbeitung einholte und ohne dass sie die Besucher über die Datenverarbeitung informierte (LG Düsseldorf, Urt. v. 9.3.2016 – 12 O 151/15). Das Gericht stellte sich dabei auf den – nicht unumstrittenen - Standpunkt, dass es sich bei den datenschutzrechtlichen Vorschriften des TMG um Marktverhaltensregeln nach dem UWG handelte.
Entsprechend bejahte das Gericht die datenschutzrechtliche Verantwortlichkeit des Online-Shops nach § 3 Abs. 7 BDSG (a.F.), schließlich habe dieser die Datenerhebung und spätere Verwendung durch Facebook erst durch Einbindung des Social-Plug-Ins ermöglicht. Den Einwand der Fashion ID, sie selber erhebe weder Daten noch verarbeite sie diese, sah das Gericht als irrelevant an.
Der Online-Shop legte gegen die Entscheidung Berufung beim OLG Düsseldorf ein. Das Gericht legte die Frage der (Mit-)Verantwortlichkeit des Website-Betreibers daraufhin dem EuGH zur Vorabentscheidung vor (OLG Düsseldorf, Beschl. v. 19.01.2017 – I-20 U 40/16).
Am Anfang war die Facebook-Fanpage
Man muss keine hellseherischen Fähigkeiten haben, um vorauszusagen, zu welchem Ergebnis der EuGH während der mündlichen Verhandlung tendieren wird. Vielmehr reicht ein Blick auf das im Juni ergangene EuGH-Urteil in Sachen Facebook Fanpages (Wirtschaftsakademie Schleswig-Holstein, Urt. v. 5.6.2018, Az. C-210/16). Schon in dieser Sache musste der Gerichtshof entscheiden, ob der Betreiber einer Facebook-Fanpage für die Datenverarbeitung im Zusammenhang mit der Fanpage verantwortlich ist. Denn beim Aufruf einer Fanpage platziert das soziale Netzwerk beim Besucher Cookies, unabhängig davon, ob es sich um einen registrierten Facebook-User handelt oder nicht. Wie im Fall des Like-Buttons hatten die Fanpage-Betreiber selbst keinen Zugriff auf personenbezogene Daten. Sie erhielten von Facebook nur statistische Informationen über die Seitenbesucher.
Die Luxemburger Richter bejahten auch hier eine (Mit-)Verantwortlichkeit des Fanpage-Betreibers nach Art. 2 d) RL 95/45/EG (nun Art. 4 Ziff. 7 Datenschutzgrundverordnung [DSGVO]) und begründete dies anhand verschiedener Kriterien. Zunächst eröffne der Fanpage-Betreiber Durch die Einrichtung seiner Seite Facebook überhaupt erst die Möglichkeit, auf dem Computer des Besuchers Cookies zu platzieren. Dass der Fanpage-Betreiber durch die Nutzung von Parametern mitbestimmen könne, welche Daten über seine Zielgruppe verarbeitet werden sollten, sei außerdem relevant.
Die Verantwortlichkeit werde unter anderem auch dadurch begründet, dass auch Daten von Besuchern verarbeitet wurden, die selbst gar nicht Facebook-Nutzer sind. Dass dem Fanpage-Betreiber die Daten selbst nur anonym vorlagen, änderte an der Einschätzung des EuGH nichts. Bei gemeinsamer Verantwortlichkeit müssten nämlich nicht alle Betreiber Zugriff auf die Daten haben und schon gar nicht müssten alle Beteiligte in gleichem Maß an der Verarbeitung beteiligt sein.
Gemeinsame Verantwortlichkeit wohl auch beim Like-Button
Die Argumente der Luxemburger Richter vom Juni lassen sich größtenteils auf die Situation beim Einbinden des Like-Buttons übertragen. Zunächst hat der EuGH ausdrücklich klargestellt, dass es unerheblich sei, dass der (Mit-)Verantwortliche gar keinen Zugriff auf die personenbezogenen Daten hat. Dass die Daten mittels Plug-Ins vom Website-Besucher direkt an Facebook übermittelt werden, spielt daher für die Verantwortlichkeit des Website-Betreibers keine Rolle.
Wie im Fall der Fanpages ermöglicht zudem auch der Website-Betreiber durch eingebundene Plug-Ins auf seiner Website erst die Datenübermittlung an Facebook. Er ist der eigentliche Auslöser der Übermittlung. Ebenfalls werden auf diese Weise auch Daten von Personen erhoben, die selber gar nicht registrierte Facebook-User sind.
Im Vergleich zum Fanpage-Urteil fehlt beim Like-Button nun das Kriterium, dass der Website-Betreiber durch Parameter mitentscheiden, welche Daten verarbeitet werden. Dafür sprechen andere Umstände zusätzlich für eine Verantwortlichkeit: So handelt es sich – anders als im Fall der Fanpages – um die eigene Website des Betreibers. Während Fanpage-Betreiber die Datenverarbeitung schon gar nicht verhindern können, entscheidet der Website-Betreiber dagegen eigenständig und frei darüber, ob er Social-Plugins wie den Like-Button auf seinen Seiten einsetzt. Damit sprechen eine Vielzahl von Gründen für das Vorliegen der gemeinsamen Verantwortlichkeit auch beim Like-Button.
Das sah auch Generalanwalt am EuGH Yves Bot in seinen Schlussanträgen zu den Facebook-Fanpages schon so. Seiner Ansicht nach gibt es hinsichtlich der Verantwortlichkeit für die Datenverarbeitung keinen Unterschied zwischen den Fanpages und dem Like-Button. Daher gehe er auch im Falle des Social-Plugins von einer gemeinsamen Verantwortlichkeit aus. Zwar stammen die Ausführungen des Generalanwalts aus einem anderen Verfahren, sie dürften jedoch auch für die Schlussanträge und das Urteil in Sachen Like-Button Signalwirkung haben.
Wird der Like-Button zur Falle für Website-Betreiber?
Geht der EuGH in seinem in wenigen Monaten erwarteten Urteil tatsächlich von einer gemeinsamen Verantwortlichkeit von Facebook und dem Website-Betreiber aus, sieht die DSGVO bestimmte Rechtsfolgen vor. Nach ihrem Art. 26 müssen beide Verantwortliche eine Vereinbarung abschließen, in der in transparenter Form festgelegt ist, wer von ihnen welche Verpflichtung aus der DSGVO künftig erfüllt.
Darüber hinaus stellen sich für den Website-Betreiber eine Vielzahl weiterer Konsequenzen. Beispielsweise muss der Website-Betreiber als (Mit-)Verantwortlicher die Informationsverpflichten nach Art. 13, 14 DSGVO ebenfalls erfüllen. Problematisch hierbei ist, dass es für Website-Betreiber quasi unmöglich sein dürfte, über die Datenverarbeitung mittels Plug-Ins ausreichend zu informieren, da er keine Kenntnis von Zweck und Umfang der Datenverarbeitung durch Facebook hat.
Dieses Problem wurde bereits im Anschluss an die Fanpage-Entscheidung diskutiert. Die Konferenz der unabhängigen Datenschutzbehörden (DSK) sieht die Seiten-Betreiber insofern in einer Holschuld: Diese müssten sich selbst versichern, dass Facebook ihnen die entsprechenden Informationen zur Verfügung stellt, die sie für die Erfüllung ihrer Informationspflicht benötigen. Inwiefern Facebook den Seiten-Betreibern hier entgegen kommen wird, bleibt abzuwarten.
Ein wenig Klarheit könnte in diesem Zusammenhang aber die Vorabentscheidung in der Sache Like-Button selbst bringen. Das OLG Düsseldorf legte dem EuGH nämlich eine Reihe von Anschlussfragen vor, sollte dieser eine gemeinsame Verantwortlichkeit bejahen. Eine der Fragen befasst sich mit der Erfüllung der Informationspflichten durch die Verantwortlichen. Bleibt zu hoffen, dass der EuGH an dieser Stelle ausreichend deutlich wird – Streit um die datenschutzrechtliche Verantwortung gibt es ja bereits genug.
Senta Leyke ist Rechtsanwältin bei CMS in Deutschland und im Bereich Intellectual Property tätig. Ihre Schwerpunkte liegen im Gewerblichen Rechtsschutz und im Datenschutzrecht.
EuGH zur datenschutzrechtlichen Verantwortlichkeit: . In: Legal Tribune Online, 06.09.2018 , https://www.lto.de/persistent/a_id/30777 (abgerufen am: 12.10.2024 )
Infos zum Zitiervorschlag