Generalanwalt: Like-Button als Datenverarbeitung durch Betreiber

Ausgangsfall

Der deutsche Online-Modehändler „Fashion ID“ hat auf seiner Webseite den Facebook-„Gefällt mir“-Button eingebunden. Besucht ein Nutzer die Webseite, werden Facebook daher Informationen über die IP-Adresse und der Browser String dieses Nutzers übermittelt. Diese Übermittlung erfolgt automatisch beim Laden der Webseite von Fashion ID unabhängig davon, ob der Nutzer den „Gefällt mir“-Button angeklickt hat oder über ein Facebook-Nutzerkonto verfügt.

Die Verbraucherzentrale NRW hat gegen Fashion ID eine Unterlassungsklage erhoben mit der Begründung, die Verwendung des Like-Buttons verstoße gegen Datenschutzrecht.

Das mit der Sache befasste Oberlandesgericht Düsseldorf ersucht den EuGH um die Auslegung einer Reihe von Bestimmungen der früheren Datenschutzrichtlinie von 1995, die weiterhin auf den Fall anwendbar ist, aber durch die neue Datenschutzrichtlinie von 2016 mit Wirkung vom 25. Mai 2018 ersetzt worden ist.

Schlussanträge

In seinen am 19. Dezember vorgelegten Schlussanträgen schlägt Generalanwalt Bobek dem Gerichtshof unter anderem vor, zu entscheiden, dass der Betreiber einer Webseite (wie Fashion ID), der in diese ein von einem Dritten bereitgestelltes Plugin (wie den Facebook-„Gefällt mir“-Button) integriert, das die Erhebung und Übermittlung der personenbezogenen Daten des Nutzers veranlasst, zusammen mit diesem Dritten (hier Facebook Ireland) als gemeinsamer Verantwortlicher anzusehen sei.

Diese (gemeinsame) Verantwortlichkeit des für die Verarbeitung Verantwortlichen sollte jedoch auf die Verarbeitungsvorgänge beschränkt sein, für die er tatsächlich einen Beitrag zur Entscheidung über die Mittel und Zwecke der Verarbeitung der personenbezogenen Daten leiste.

Nach dem Sachverhalt der vorliegenden Rechtssache scheine es so zu sein, dass Fashion ID und Facebook Ireland gemeinsam die Mittel und Zwecke der Datenverarbeitung in der Phase der Erhebung und Übermittlung der personenbezogenen Daten festlegen. Sowohl Facebook Ireland als auch Fashion ID hätten somit offenbar willentlich die Phase der Erhebung und Übermittlung von Daten innerhalb der Datenverarbeitung eingeleitet, und trotz fehlender Zweckidentität bestehe eine Einheit der Zwecke: Es würden kommerzielle und Werbezwecke verfolgt.

Deshalb handle Fashion ID in Bezug auf die Erhebungs- und Übermittlungsphase der Datenverarbeitung als ein für die Verarbeitung Verantwortlicher, und seine Haftung bestehe insoweit gemeinsam mit der von Facebook Ireland.

Was die Zulässigkeit der Verarbeitung personenbezogener Daten ohne Einwilligung des Nutzers betrifft, schlägt der Generalanwalt vor, zu entscheiden, dass die berechtigten Interessen beider im Einzelfall für die Verarbeitung Verantwortlichen (Fashion ID und Facebook Ireland) zu prüfen seien, und diese Interessen gegen die Rechte der betroffenen Personen abzuwägen seien.

Weiter urteilt der Generalanwalt: Der Webseiten-Nutzers solle seine Einwilligung zur Datenverarbeitung gegenüber dem Betreiber der Webseite (Fashion ID) erklären, der Drittinhalte in seine Webseite eingebunden habe. Ebenso gelte die Pflicht, dem Nutzer der Webseite die Informationen zur Verfügung stellen, die er zumindest erhalten müsse, auch für den Betreiber der Webseite (Fashion ID).

Die Richter des Gerichtshofs treten nunmehr in die Beratung ein. Das Urteil wird zu einem späteren Zeitpunkt verkündet.

(Quelle: EuGH)

Autoren

Redaktion

Die LexisNexis Österreich & Compliance Praxis Redaktion versorgt Sie regelmäßig mit aktuellen News und Informationen aus der Compliance Welt. Unser Ziel ist es Ihre tägliche Arbeit bestmöglich zu u...