Facebook-Plugins: Mithaftung des Seitenbetreibers für den Datenschutz bei Like-Buttons
Ihr Ansprechpartner
Online-Händler, die einen „Gefällt mir“-Button auf ihren Webseiten einbinden, liefern jede Menge Daten an Facebook.
Nach Ansicht des EuGH-Generalanwalts sind Webseitenbetreiber dabei für die Datenverarbeitung mitverantwortlich (EuGH, Pressemitteilung v. 19.12.2018 zum Schlussantrag C-40/17 v. 19.12.2018).
Seitenbetreiber müssten den Nutzern daher Informationen über die Datenverarbeitsungsvorgänge zur Verfügung stellen und – wo erforderlich – eine Einwilligung einholen, bevor die Daten erhoben und übermittelt werden.
Datenübermittlung schon beim Seitenbesuch
Die Verbraucherzentrale NRW mahnte 2015 sechs große Unternehmen (darunter Peek & Cloppenburg), die den Facebook Like-Button eingebunden hatten, wegen unlauterer geschäftlicher Handlungen ab. Schon beim Aufrufen einer entsprechenden Seite werden die IP-Adresse und Angaben über den benutzten Browser an Facebook übermittelt – unabhängig davon, ob die Besucher den Like-Button anklickten.
In der Abmahnung monierte die Verbraucherzentrale NRW, dass bei Seitenaufruf eine Übermittlung personenbezogener Daten stattfindet, ohne dass der Nutzer hierüber informiert und der Webseitenbetreiber eine Einwilligung von diesem fordert.
LG Düsseldorf: Datenschutz ist Marktverhaltensregel
Fashion ID & Co. KG (Onlineshop: Peek & Cloppenburg) verweigerte die Abgabe einer Unterlassungserklärung, woraufhin die Verbraucherzentrale NRW Unterlassungsklage erhob. Das LG Düsseldorf gab der Klage der Verbraucherzentrale weitgehend statt. Die Richter sahen es als unlauter i.S.d. § 3a UWG i.V.m. §§ 12, 13 TMG an, dass die Fashion ID das Plug-In in ihre Website einband, ohne dass sie eine Einwilligung der Website-Besucher in die Datenverarbeitung einholte und ohne dass sie die Besucher über die Datenverarbeitung informierte (LG Düsseldorf, Urteil v. 9.3.2016, Az. 12 O 151/15).
Entsprechend bejahte das Gericht die datenschutzrechtliche Verantwortlichkeit des Online-Shops, schließlich habe dieser die Datenerhebung und spätere Verwendung durch Facebook erst durch Einbindung des Facebook-Plugins ermöglicht. Den Einwand der Fashion ID, sie selber erhebe weder Daten noch verarbeite sie diese, sah das Gericht als irrelevant an.
OLG Düsseldorf setzt Verfahren aus
Der Online-Shop legte gegen die Entscheidung Berufung beim OLG Düsseldorf ein. Facebook Ireland Limited ist in der Berufungsinstanz der Beklagten als Streithelferin beigetreten. Das OLG Düsseldorf setzte in seinem Beschluss vom 19.01.2017 (OLG Düsseldorf, Beschluss v. 19.01.2017, Az. I-20 U 40/16) den Verfahrensgang aus und legte datenschutzrechtlich relevante Fragen dem Europäischen Gerichtshof (EuGH) im sogenannten Vorabentscheidungsverfahren vor.
Dabei sollen die europäischen Richter u. a. entscheiden, ob EU-Recht einer Legitimation der Verbraucherverbände zur Verfolgung der Datenschutzverstöße entgegensteht, ob der das Social Plugin einbindende Händler überhaupt als datenschutzrechtlich verantwortlich im Sinne von Art. 2 d) Richtlinie 95/46/EG für die weitere Datenverarbeitung angesehen werden oder sonst dafür in Haftung genommen werden kann, wem gegenüber ein Besucher eine Einwilligung erteilen muss und ob die Informationspflicht des Art. 10 Richtlinie 95/46/EG auch den Betreiber der Webseite trifft, der Inhalte eines Dritten eingebunden hat und so die Ursache für die Verarbeitung personenbezogener Daten durch den Dritten setzt.
Ansicht des EuGH-Generalanwalts
Nach Ansicht des Generalanwalts Bobek ist der Betreiber einer Webseite (hier: Fashion ID), auf der ein Plugin eines Dritten wie der Facebook-„Gefällt mir“-Button eingebunden wird, zusammen mit diesem Dritten (hier: Facebook Ireland) als gemeinsamer Verantwortlicher anzusehen.
Auch wenn Fashion ID die Datenerhebnung nicht beeinflussen kann oder Zugriff auf die Daten erhält, habe die Seite willentlich die Erhebung und Übermittlung von Daten durch das Einbinden des Buttons eingeleitet und damit kommerzielle und Werbezwecke verfolgt, so Bobek.
Die Folgen einer möglichen Mitverantwortlichkeit
Wird eine gemeinsame Verantwortlichkeit auch durch den EuGH bejaht, zöge dies Rechtsfolgen nach sich, die nunmehr in der DSGVO geregelt sind. Gemäß Art. 26 DSGVO sind gemeinsam Verantwortliche dazu verpflichtet, eine Vereinbarung darüber zu treffen, wer von ihnen welche datenschutzrechtlichen Pflichten erfüllt (sog. Joint-Controllership-Agreement).
Welche Pflichten treffen die Website-Betreiber?
Seitenbetreiber müssten dann die Betroffenen über Art, Zweck und Umfang der Datenverarbeitung informieren und Maßnahmen ergreifen, um alle Betroffenenrechte garantieren zu können. Wie genau eine solche Vereinbarung aussehen könnte, bleibt abzuwarten.
Praxistipp
Das Urteil des EuGH dürfte in jedem Fall weitgehende Folgen für Webseitenbetreiber haben, die Social-Plugins nutzen. Bis zur Entscheidung sollte man mit der Verwendung der Plugins vorsichtig sein.
Es bleibt ferner abzuwarten, wie sich der EuGH zur wettbewerbsrechtlichen Fragestellung äußert – insbesondere, ob das Datenschutzrecht über den s.g. „Rechtsbruchtatbestand“ des § 3a UWG mit den Instrumenten der Abmahnung von Mitbewerbern durchgesetzt werden kann.
In Bezug auf die DSGVO wird diese Frage bisher kontrovers diskutiert. Details dazu lesen Sie im folgenden LHR-Magazin-Artikel
Ähnliche Artikel
Mehrfach ausgezeichnet.
