Schlussanträge im Fall Fashion ID – EuGH-Generalanwalt sieht gemeinsame Verantwortlichkeit bei Plug-Ins

Michael Neuber

Heute, am 19.12.2018, hat der für den Fall zuständige EuGH-Generalanwalt Michal Bobek seine Schlussanträge in der Rechtssache C-40/17 (FashionID) vorgelegt. In dem Fall geht es um die wichtige Frage der datenschutzrechtlichen Verantwortlichkeit für die Verarbeitung personenbezogener Daten über ein in die Webseite eingebundenes Plug-In.

Ein Online-Händler (Fashion ID) hatte das von Facebook Ireland Limited bereitgestellte „Gefällt mir“-Plugin in ihre Webseite eingebunden. Die Verbraucherzentrale NRW forderte den Online-Händler auf es zu unterlassen, das Plug-In in die Seite zu integrieren, soweit die Nutzer nicht über die Modalitäten der darüber laufenden Datenverarbeitungen aufgeklärt und informiert würden und eine entsprechende Einwilligung vor Datenerhebung gegeben worden ist.

Dem Verfahren wurde folgender Sachverhalt zu Grunde gelegt. Sucht ein Besucher die Webseite des Online-Händlers auf, auf der der Facebook-„Gefällt mir“-Button platziert ist, sendet sein Browser automatisch Informationen betreffend seine IP‑Adresse und den Browser-String an Facebook Ireland. Die Übermittlung dieser Informationen erfolgt, ohne dass der Facebook-„Gefällt mir“-Button angeklickt zu werden braucht. Nach dem Inhalt des Vorabentscheidungsersuchens sollen offenbar verschiedene Arten von Cookies (session-, datr- und fr-Cookies) auf dem Gerät des Nutzers platziert worden sein, wenn die Webseite der Beklagten besucht wurde. Facebook Ireland hatte hierzu geltend gemacht, dass die IP‑Adresse in eine generische IP‑Adresse umgewandelt und nur noch als solche gespeichert würde. Eine Zuordnung der IP‑Adresse und des Browser-String zu Nutzerkonten fände nicht statt. Der Online-Händler konnte dazu nichts sagen, da die über die Hintergründe der Datenverarbeitungen nichts wisse, sie diese nicht kontrollieren könne.

Neben der Frage, ob ein Verbraucherschutzverband neben den Datenschutzaufsichtsbehörden auch Datenschutzverstöße verfolgen könne wurden dem EuGH mit Blick auf die Verantwortlichkeit des Webseitenbetreiber folgende Fragen gestellt.

  1. Ist in einem Fall wie dem vorliegenden, bei dem jemand einen Programmcode in seine Webseite einbindet, der den Browser des Benutzers veranlasst, Inhalte von einem Dritten anzufordern und hierzu personenbezogene Daten an den Dritten zu übermitteln, der Einbindende „für die Verarbeitung Verantwortlicher“ im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 (alte Datenschutzrichtlinie – vor DSGVO), wenn er selber diesen Datenverarbeitungsvorgang nicht beeinflussen kann?

  2. Falls die zweite Frage zu verneinen ist: Ist Art. 2 Buchst. d der Richtlinie 95/46 dahin auszulegen, dass er die Haftung und Verantwortlichkeit in dem Sinne abschließend regelt, dass er einer zivilrechtlichen Inanspruchnahme eines Dritten entgegensteht, der zwar nicht „für die Verarbeitung Verantwortlicher“ ist, aber die Ursache für den Verarbeitungsvorgang setzt, ohne diesen zu beeinflussen?

  3. Auf wessen „berechtigte Interessen“ ist in einer Konstellation wie der vorliegenden bei der nach Art. 7 Buchst. f der Richtlinie 95/46 vorzunehmenden Abwägung abzustellen? Auf das Interesse an der Einbindung von Drittinhalten oder auf das Interesse des Dritten?

  4. Wem gegenüber muss die nach Art. 7 Buchst. a und Art. 2 Buchst. h der Richtlinie 95/46 zu erklärende Einwilligung in einer Konstellation wie der vorliegenden erfolgen?

  5.  Trifft die Informationspflicht des Art. 10 der Richtlinie 95/46 in einer Situation wie der vorliegenden auch den Betreiber der Webseite, der den Inhalt eines Dritten eingebunden hat und so die Ursache für die Verarbeitung personenbezogener Daten durch den Dritten setzt?

Zwar betreffen diese Frage die Auslegung des “alten” Datenschutzrechts vor Anwendbarkeit der DSGVO, sie haben jedoch entsprechende Auswirkungen auf die Auslegung derer Regelungen.

Der Generalanwalt hat nun seine Sicht der Dinge dargelegt. Vor dem Hintergrund der im Juni ergangenen Entscheidung des EuGH zur datenschutzrechtlichen Verantwortlichkeit bei Facebook-Fanpages sind die Aussagen nicht überraschend. Hier wurde eine gemeinsame – nicht jedoch gleichwertige Verantwortlichkeit – von Facbook und Fanpage-Betreiber etabliert. Üblicherweise folgt der EuGH den Empfehlungen des Generalanwaltes.

  1. Zur Frage der Abmahnbarkeit datenschutzrechtlicher Verstöße durch Verbraucherverbände auf Grundlage nationaler Regelungen sieht der Generalanwalt keinen Widerspruch zur alten Rechtslage unter der Datenschutzrichtlinie. Deutschland hatte im Februar 2016 ein entsprechendes Verbandsklagerecht eingeführt. Unter der DSGVO ist diese Möglichkeit  – auf Betreiben Deutschlands in Ansehung dieser Regelung – in Art. 80 Abs. 2 am Ende des DSGVO-Gesetzgebundsverfahrens eingefügt worden.

  2. Der Webseitenbetreiber ist gemeinsam mit Facebook ein „für die Verarbeitung Verantwortlicher“ , wobei die Haftung jedoch auf eine bestimmte Phase der Verarbeitung von Daten begrenzt ist. In seiner Antwort erkennt der Generalanwalt, dass eine Entscheidung in dieser Sache – mehr noch als in den begrenzten Fällen der Fanpages – erhebliche Auswirkungen auf Drittverarbeitungen auf Webseiten haben kann und gibt vorab erläuternde Vorbemerkungen zu Fragen des Personenbezugs und der datenschutzrechtlichen Verantwortlichkeit. Die fehlende Möglichkeit der Beeinflussung des Datenverarbeitungsvorgangs , beziehe sich nicht auf das Auslösen des Vorgangs der Übermittlung dieser Daten, da der Webseitenbetreiber insoweit einen Einfluss deswegen hat, weil er das betreffende Plugin eingebunden hat. Die fehlende Möglichkeit bezieht sich eher auf die etwaige nachfolgende Verarbeitung der Daten durch Facebook. Die Haftung müsse immer auf die Phase der Datenverarbeitung beschränkt sein, an der der Webseitenbetreiber tatsächlich beteiligt ist, und darf nicht auf etwaige nachfolgende Phasen der Datenverarbeitung erstreckt werden, wenn eine derartige Verarbeitung außerhalb der Einflusssphäre des Webseitenbetreibers liegt. Die Gefahr einer zu weit gefassten Definition gemeinsamer Verantwortlichkeit besteht nach seiner Ansicht darin, dass sie eine ganze Reihe von Personen gemeinsam für die Verarbeitung von personenbezogenen Daten verantwortlich sein lässt. Hier geht es um die Frage des “Ermöglichens” einer Datenverarbeitung – also das klassische Störer-Argument, welches auch von den Gerichten zuvor abgelehnt wurde. Denn die “Ermöglichungs-Kette” könne theoretisch bis hin zum Stromanbieter reichen. Eine Störrer-Haftung sieht der Generalanwalt dann auch nur gegeben, soweit der Webseitenbetreiber vom EuGH nicht als gemeinsamer Verantwortlicher angesehen würde.

  3. Da beide in Bezug auf den jeweiligenDatenverarbeitungsvorgang als gemeinsam für die Verarbeitung Verantwortliche tätig werden ist nach Ansicht des Genralanwaltes bei der vorzunehmenden Abwägung auf die berechtigten Interessen nicht nur des Online-Händlers, sondern auch auf die von Facebook abzustellen (daneben sind die Rechte der betroffenen Personen zu berücksichtigen).

  4. Mit Blick auf die Einholung der Einwilligung und der zu erfüllenden Informationspflichten sollen die Haftung und die Verpflichtungen des Webseitenbetreibers gegenüber allen betroffenen Personen die gleichen sein, unabhängig davon, ob diese über ein Facebook-Nutzerkonto verfügen oder nicht. Die für die betreffende Phase der Datenverarbeitung zu erteilende Einwilligung der betroffenen Person soll gegenüber dem Webseitenbetreiber erklärt werden. Die Einwilligung muss eingeholt und die Informationen bereitgestellt werden, bevor die Erhebung und die Übermittlung der Daten erfolgt. Allerdings muss der Umfang dieser Verpflichtungen der gemeinsamen Verantwortlichkeit des betreffenden Webseiten-Betreibers für die Erhebung und Übermittlung der personenbezogenen Daten entsprechen.

Mit der Positionierung zur gemeinsamen Verantwortlichkeit schreibt der Gneralanwalt zunächst das Fanpage-Urteil des EuGH fort. Damit positioniert er sich aber auch klar hin zu – im Einzelfall mehr oder weniger umfangreichen – Pflichten des Webseitenbetreibers mit Blick auf die Einholung von Einwilligungen für eingebundene Dienste und entsprechende Informationsbereitstellung, was in heutigen, dynamischen Digitalumfeldern wohl so nicht ohne weitergehende Betrachtungen bleiben kann. Eine Entscheidung des EuGH dürfe hier wohl noch im ersten Quartal 2019 zu erwarten sein.

 

Kommentar schreiben