Wer einen "Gefällt mir"-Button auf seiner Website einbindet, liefert jede Menge Daten an Facebook. Nach Ansicht des EuGH-Generalanwalts sind Seitenbetreiber dabei für die Datenverarbeitung mitverantwortlich, heißt es in den Schlussanträgen.
Webseiten-Betreiber, die auf ihrer Seite ein Plugin wie den Facebook "Gefällt mir"-Button eingebunden haben, sind nach Ansicht des Generalanwalts am Europäischen Gerichtshof (EuGH) Michal Bobek für die Datenverarbeitung mitverantwortlich. Dies geht aus den Schlussanträgen zur Rechtssache C-40/17 hervor, die am Mittwoch veröffentlicht wurden. Seitenbetreiber müssten den Nutzern daher Informationen über die Datenverarbeitsungsvorgänge zur Verfügung stellen und - wo erforderlich - eine Einwilligung einholen, bevor die Daten erhoben und übermittelt werden.
Dem Verfahren liegt ein Rechtsstreit zwischen der Verbraucherzentrale NRW und dem Online-Bekleidungsshop Fashion ID zugrunde. Besuchten Internetnutzer die Website des Online-Shops, wurden mittels Plug-Ins Daten zum Surfverhalten dieser Besucher direkt an Facebook übermittelt, u.a. ihre IP-Adresse. Fashion ID erhielt dabei weder Zugriff auf die Daten noch konnte sie die Datenverarbeitung irgendwie beeinflussen. Die Datenübermittlung erfolgte zudem unabhängig davon, ob die Besucher den Like-Button anklickten. Die Verbraucherzentrale sah darin einen Verstoß gegen Datenschutzrecht und klagte auf Unterlassen.
Das Landgericht Düsseldorf gab der Klage der Verbraucherzentrale noch weitgehend statt, das Oberlandesgericht Düsseldorf legte die Frage der (Mit-)Verantwortlichkeit des Website-Betreibers später dem EuGH zur Vorabentscheidung vor.
Daten gegen Sichtbarkeit
Ähnlich wie im kürzlich vom EuGH entschiedenen Streit um die datenschutzrechtliche Verantwortung bei Facebook-Fanpages schlägt der Generalanwalt dem Gericht vor, zu entscheiden, dass Fashion ID zusammen mit Facebook als gemeinsamer Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) anzusehen sei. Eine solche Verantwortlichkeit zöge umfassende datenschutzrechtliche Verpflichtungen und Haftungsrisiken nach sich.
Nach Ansicht des Generalanwalts sollte die datenschutzrechtliche Verantwortlichkeit des Seitenbetreibers aber auf die Verarbeitungsvorgänge beschränkt sein, für die er einen tatsächlichen Beitrag zur Datenverarbeitung leiste. In der Kette der Datenverarbeitung könne Fashion ID nicht für Vorgänge verantwortlich gemacht werden, zu denen der Shop weder die Zwecke noch die Mittel der Verarbeitung habe festlegen können.
Für den Online-Shop bedeutet das allerdings keine Entwarnung. Auch wenn Fashion ID die Datenerhebnung nicht beeinflussen kann oder Zugriff auf die Daten erhält, habe die Seite willentlich die Erhebung und Übermittlung von Daten durch das Einbinden des Buttons eingeleitet und damit kommerzielle und Werbezwecke verfolgt, so Bobek. Schließlich habe sich Fashion ID durch das Einbinden erhofft, die Sichtbarkeit ihrer Produkte über Facebook zu erhöhen. Dies müsse das OLG Düsseldorf aber noch genauer prüfen.
In Bezug auf die Erhebungs- und Übermittlungsphase der Datenverarbeitung sei Fashion ID daher verantwortlich, eine Haftung bestehe gemeinsam Facebook. Eine eventuelle Einwilligung der Nutzer zur Datenverarbeitung müsse laut Generalanwalt zudem gegenüber der Seite erklärt werden, die den Like-Button eingebunden hat, hier als gegenüber Fashion ID. Dass womöglich eine Einwilligung gegenüber Facebook besteht, reicht damit nicht.
Die EuGH-Richter treten nun in die Beratung ein, ein Urteil wird zu einem späteren Zeitpunkt verkündet. Die Schlussanträge stellen einen Entscheidungsvorschlag dar, sind aber nicht bindend. Oft folgt der EuGH aber der Einschätzung.
acr/LTO-Redaktion
"Gefällt mir"-Knopf vor dem EuGH: . In: Legal Tribune Online, 19.12.2018 , https://www.lto.de/persistent/a_id/32833 (abgerufen am: 02.11.2024 )
Infos zum Zitiervorschlag