EuGH entscheidet zur Verantwortung bei Social Plugins (Fashion ID)

Der Europäische Gerichtshof (EuGH) hat wichtige Entscheidungsgrundsätze aufgezeigt, wie die datenschutzrechtliche Verantwortung gelagert ist, wenn ein Website-Betreiber Social Plugins eines anderen Anbieters einsetzt.

(29.07.2019) Diese Grundsätze sind voraussichtlich auch auf andere Fälle von möglicherweise gemeinsam Verantwortlichen übertragbar. Im konkreten Fall muss nun das Oberlandesgericht Düsseldorf entscheiden.

Im Urteil des EuGH (Fashion ID gegen Verbraucherzentrale NRW, C-40/17) geht es um Social Plugins, konkret um den „Gefällt mir“-Button von Facebook.

Der EuGH hat in seinem Urteil über Fragen entschieden, die das Oberlandesgericht Düsseldorf vorgelegt hat. Das Ausgangsverfahren geht auf eine Unterlassungsklage der Verbraucherzentrale NRW gegen den Website-Betreiber Fashion ID zurück. Es ging darum, dass der Website-Betreiber personenbezogene Daten der Website-Besucher ohne deren Einwilligung und ohne Information an Facebook Ireland übermittelt hatte. Im Verfahren war die Landesbeauftragte für Datenschutz NRW beteiligt nach dem Unterlassungsklagegesetz. Auch Facebook war im Verfahren beteiligt. Das Urteil des EuGH betrifft die Europäische Datenschutzrichtlinie, die inzwischen durch die Datenschutz-Grundverordnung ersetzt ist.

Der EuGH hat – zusammengefasst und vorbehaltlich von Feststellungen im Einzelfall – Folgendes entschieden:

- Ein national geregeltes Klagerecht der Verbraucherschutzverbände widersprach nicht dem europäischen Recht.

- Ein Website-Betreiber, der ein Social Plugin einbindet, ist (gemeinsam) Verantwortlicher. Die Verantwortlichkeit ist dabei beschränkt auf die Verarbeitung, bei der er über Zwecke und Mittel entscheidet; hier Erheben und Übermitteln.

- Bei einer Interessensabwägung kommt es auf die Interessen sowohl des Website-Betreibers als auch des Plugin-Anbieters an.

- Bei einer Einwilligung muss der Website-Betreiber die Einwilligung nur zu den Vorgängen einholen, für die er tatsächlich über Zwecke und Mittel entscheidet. Das Gleiche gilt für die Informationspflicht.

Das Gericht stellt klar, dass Website-Betreiber nicht „einfach so“ Plugins Dritter einbinden dürfen, sondern damit selbst eine datenschutzrechtliche Verantwortlichkeit haben können.

Das Urteil verdeutlicht, dass es für die Feststellung von „gemeinsam Verantwortlichen“ konkret auf den Vorgang ankommt, bei dem tatsächlich über Zwecke und Mittel entschieden wird. Das wirkt sich auch auf den Umfang von Einwilligungen und Informationspflichten aus. Diese Konkretisierung wird wohl auch Auswirkungen auf andere Fälle von gemeinsam Verantwortlichen haben.

Was das Urteil im Einzelnen für die aktuelle Rechtslage und die Praxis bedeutet, werden die deutschen und europäischen Datenschutzaufsichtsbehörden in nächster Zeit noch prüfen und konkretisieren.

zurück zur Übersicht