Schlussanträge im Verfahren zum Einsatz des Facebook-„Gefällt mir“-Plugins: Generalanwalt sieht datenschutzrechtliche Mitverantwortlichkeit des Webseiten-Betreibers

In dem Verfahren des Vorabentscheidungsersuchens des OLG Düsseldorf zwischen der Fashion ID GmbH & Co. KG und der Verbraucherzentrale NRW vor dem Europäischen Gerichtshof hat der Generalanwalt am 19.12.2018 die Schlussanträge gestellt (Rs. C-40/17).

Der Rechtssache liegt eine Streitigkeit zur datenschutzrechtlichen Zulässigkeit beim Einsatz des Facebook-„Gefällt mir“-Buttons zugrunde.
Ein deutscher Online-Händler hat in seine Webseite ein Plugin, den Facebook-„Gefällt mir“-Button, eingebunden. Über diesen werden Informationen über die IP-Adresse und der Browser-String der Besucher der Webseite an Facebook übermittelt. Dies erfolgt automatisch beim Aufrufen der Webseite, unabhängig davon, ob der Nutzer den „Gefällt mir“-Button angeklickt hat oder überhaupt über ein Facebook-Nutzerkonto verfügt.
Eine Unterlassungsklage gegen Fashion ID vor dem LG Düsseldorf war erfolgreich (Urteil v. 09.03.2016, Az. 12 O 151/15). Im Rahmen der Berufung der Beklagten hat das OLG Düsseldorf das Verfahren ausgesetzt und dem EuGH Fragen zur Auslegung der früheren Datenschutzrichtlinie (95/46/EG) vorgelegt (Beschluss v. 19.01.2017, Az. I-20 U 40/16).

Der Generalanwalt hat nun seine Schlussanträge zu den Vorlagefragen des OLG Düsseldorf gestellt.

Er schlägt dem Gerichtshof zur Beantwortung der Fragen wie folgt vor:

– Auch wenn ein ausdrückliches Verbandsklagerecht in der Datenschutzrichtlinie nicht genannt wird, steht es den Mitgliedstaaten frei, eine nationale Regelung zur Klagebefugnis gemeinnütziger Verbände zu treffen, damit diese gegen mutmaßliche Verletzer von Datenschutzrecht vorgehen können. Dies steht den Zielen der Datenschutzrichtlinie nicht entgegen (Rn. 24 ff. der Schlussanträge).
– Wenn ein Webseiten-Betreiber ein von einem Dritten, hier Facebook, bereitgestelltes Plugin in seine Webseite eingebunden hat, welches personenbezogene Daten des Webseiten-Nutzers erhebt und diese an Facebook übermittelt, sind der Webseiten-Betreiber und Facebook gemeinsam „für die Verarbeitung Verantwortliche“ i. S. d. Datenschutzrichtlinie (ab Rn. 50 und hier insbesondere Rn. 106 der Schlussanträge).
– Die gemeinsame datenschutzrechtliche Verantwortlichkeit von Webseiten-Betreiber und Facebook beschränkt sich nur auf die Phase der Datenverarbeitung, an der der Webseiten-Betreiber auch tatsächlich beteiligt ist (Rn. 107 der Schlussanträge). Durch das Einbinden des Plugins in seine Webseite ist der Webseiten-Betreiber an der Phase der Erhebung und Übermittlung der personenbezogenen Daten an Facebook tatsächlich beteiligt (Rn. 102 der Schlussanträge).
– Zur Beantwortung der Frage, nach welcher Rechtsgrundlage diese Datenverarbeitung rechtmäßig erfolgen kann, ist entscheidend, ob eine Platzierung von Cookies stattgefunden hat. Dies zu prüfen ist Sache des vorlegenden nationalen Gerichts.
– Für den Fall, dass hier keine Platzierung von Cookies stattfindet und keine Einwilligung des Webseiten-Nutzers vorliegt, kann die Datenverarbeitung zulässig sein, wenn ein berechtigtes Interesse an der Datenverarbeitung vorliegt, die Datenverarbeitung zur Verwirklichung dieses berechtigten Interesses erforderlich ist und die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen. Im Rahmen dieser Interessenabwägung ist auf die Interessen sowohl des Webseiten-Betreibers als auch Facebook abzustellen, da beide in Bezug auf den jeweiligen Datenverarbeitungsvorgang als gemeinsam für die Verarbeitung Verantwortliche tätig werden (Rn.125 der Schlussanträge). Marketing oder Werbung als solche kann ein berechtigtes Interesse darstellen (Rn. 123 der Schlussanträge).
– Soweit eine Einwilligung erforderlich ist, ist diese gegenüber dem Webseiten-Betreiber zu erklären, da dieser das Plugin eingebunden hat und so der Datenverarbeitungsvorgang mit dem tatsächlichen Besuch von seiner Webseite in Gang gesetzt wird (Rn. 132 der Schlussanträge).
– Informationen muss der Webseiten-Betreiber zu den Dingen zur Verfügung stellen, zu denen er in der Lage ist. Dies sind die Identität der datenschutzrechtlich Verantwortlichen (hier: Webseiten-Betreiber und Facebook), der Zweck der jeweiligen Verarbeitungsphase im Rahmen der gemeinsamen Verantwortlichkeit (hier u.a. Sichtbarkeit der Produkte des Webseiten-Betreibers und werbliche Zwecke beider Verantwortlicher in dieser Phase) und die Datenübermittlung an Facebook (Rn. 134 der Schlussanträge).

Obwohl die Rechtssache unter altem Datenschutzrecht zu bewerten ist, merkt der Generalanwalt zu der seit 25.05.2018 Anwendung findenden neuen Vorschrift des Art. 26 Datenschutz-Grundverordnung, die die gemeinsame Verantwortlichkeit regelt, an, dass er es für überraschend halte, wenn die Auslegung von Schlüsselbegriffen, wie dem des “für die Verarbeitung Verantwortlichen”, erheblich von der bestehenden Rechtsprechung abweiche. Andernfalls, so der Generalanwalt weiter, würde das neue System der gemeinsamen Haftung von gemeinsam für die Verarbeitung Verantwortlichen aufgrund des Art. 26 Abs. 3 DS-GVO “zu einer erheblichen Herausforderung” (Rn. 87 und 88 der Schlussanträge).

Da die Schlussanträge des Generalanwalts für den Gerichtshof nicht bindend sind, bleibt nun die Entscheidung des EuGH abzuwarten.

Weiterführende Informationen

Pressemitteilung des EuGH v. 19.12.2018
Schlussanträge des Generalanwalts v. 19.12.2018

Entscheidung der Vorinstanzen im Angebot der Wettbewerbszentrale (Login erforderlich)

LG Düsseldorf, Urteil v. 09.03.2016, Az. 12 O 151/15, Wettbewerbsrecht Aktuell 4/2016

OLG Düsseldorf, Beschluss v. 19.01.2017, Az. I-20 U 40/16, Wettbewerbsrecht Aktuell 4/2017

cki/lk