Der EuGH hat sich im vorliegenden Urteil Rs. C‑40/17 vom 29. Juli 2019 i.S. Fashion ID erneut zur gemeinsamen Verantwortung geäussert. Es handelt sich bereits um das dritte Urteil zur gemeinsamen Verantwortung im vergangenen Jahr:
- Urteil Rs. C‑210/16 vom 5. Juni 2018 i.S. Facebook Fanpages/Wirtschaftsakademie Schleswig-Holstein GmbH (wir haben berichtet);
- Urteil C‑25/17 vom 10. Juli 2018 i.S. Zeugen Jehovas.
Im vorliegenden Entscheid auf Vorlage des Oberlandesgerichts (OLG) Düsseldorf ging es um die Einbindung des “Like”-Buttons von Facebook auf der Website von Fashion ID. Die Verbraucherzentrale NRW hatte gegen Fashion ID geklagt. Facebook war dem Verfahren vor dem OLG als Streithelferin (Nebenintervenientin) beigetreten.
In aller Kürze:
- Wer in seine Website ein Social Plugin einbindet, das dem Anbieter des Plugins Personendaten der Besucher übermittelt, ist für diese Erhebung und Übermittlung von Daten gemeinsam mit dem Anbieter verantwortlich. Beide müssen eine Vereinbarung i.S.v. Art. 26 DSGVO schliessen.
- Beide, der Betreiber der Website und der Anbieter des Plugins, brauchen eine Rechtsgrundlage für die gemeinsame Verarbeitung.
- Sofern eine Einwilligung erforderlich sein sollte, obliegt es dem Betreiber der Website, diese einzuholen.
- Der Betreiber der Website ist ebenfalls verpflichtet, über den Vorgang der Erhebung und Übermittlung i.S.v. Art. 12 ff. DSGVO zu informieren.
- Der EuGH bestärkt seine datenschutzfreundliche Haltung. Das Konzept der gemeinsamen Verantwortung erhält noch grössere Bedeutung. Es wird durch seinen starken Einzelfallbezug gleichzeitig schwieriger und aufwendiger in der Handhabung.
- Die Frage, ob die Datenübermittlung an einen gemeinsam Verantwortlichen privilegiert – d.h. ohne besondere Rechtsgrundlage zulässig ist -, wird nicht abschliessend geklärt. Das Risiko, dass eine eigene Rechtsgrundlage erforderlich ist, hat sich aber deutlich erhöht.
Sachverhalt
Der EuGH legte seinem Entscheid folgenden Sachverhalt zugrunde:
- Fashion ID hatte ihre Website das Social Plugin „Gefällt mir“ von Facebook eingebunden. Der Browser des Besuchers lädt beim Besuch der Website u.a. das Plugin und damit Inhalte vom Server von Facebook. Durch diesen Vorgang übermittelt der Browser des Besuchers bestimmte Angaben, u.a. die IP-Adresse des Endgeräts, den Besuch der betreffenden Website, technische Angaben und Angaben über die abgefragten Inhalte. Facebook selbst sagt dazu übrigens folgendes – der EuGH bezog sich allerdings nicht auf diese Quelle:
“Wenn eine Person Facebook besucht hat und dann deine Webseite mit einem sozialen Plug-in besucht, sendet der Browser diese Informationen an uns, um Facebook-Inhalte auf dieser Seite zu laden. Die Daten, die wir erhalten, beinhalten Informationen wie die Nutzer-ID der Person, die besuchte Webseite, das Datum und die Uhrzeit sowie andere, Browser-bezogene Informationen. Einige dieser Informationen zeichnen wir auf und verwenden sie unter Umständen dazu, unsere Produkte und Dienste zu verbessern und Nutzern interessantere und relevantere Werbeanzeigen zu zeigen.”
- Der Betreiber der Website kann den Umfang der an Facebook übermittelten Daten nicht beeinflussen.
- Im konkreten Fall zumindest erfolgte die Datenübermittlung auch dann, wenn der Besucher weder ein Facebook-Konto hat noch den Like-Button anklickt.
Begriff der gemeinsamen Verantwortung
Vor diesem Hintergrund stellte das OLG die Frage,
2. Ist in einem Fall wie dem vorliegenden, bei dem jemand einen Programmcode in seine Website einbindet, der den Browser des Benutzers veranlasst, Inhalte von einem Dritten anzufordern und hierzu personenbezogene Daten an den Dritten zu übermitteln, der Einbindende „für die Verarbeitung Verantwortlicher“ im Sinne von Art. 2 Buchst. d der Richtlinie 95/46, wenn er selber diesen Datenverarbeitungsvorgang nicht beeinflussen kann?
Die Legaldefinition des “Verantwortlichen” unterscheidet sich nach der hier massgeblichen Richtlinie und Art. 4 Nr. 7 DSGVO nicht relevant. Insofern ist dieses Urteil – wie die eingangs genannten früheren Urteile – für die DSGVO direkt relevant, was auch etwa die Hamburgische Datenschutzbehörde festhielt.
Der EuGH bejaht die Frage:
[…] der Betreiber einer Website […], der in diese Website ein Social Plugin einbindet, das den Browser […] veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, [kann] als für die Verarbeitung Verantwortlicher […] angesehen werden […]. Diese Verantwortlichkeit ist jedoch auf den Vorgang oder die Vorgänge der Datenverarbeitung beschränkt, für den bzw. für die er tatsächlich über die Zwecke und Mittel entscheidet, d. h. das Erheben der in Rede stehenden Daten und deren Weitergabe durch Übermittlung.
Dabei geht der EuGH von seinen Urteilen betr. Facebook Fanpages und betr. Zeugen Jehovas aus:
- Das Ziel der Legaldefinition besteht u.a. darin, einen “wirksamen und umfassenden Schutz” der betroffenen Personen zu gewährleisten, was eine weite Auslegung verlangt.
- Wer “aus Eigeninteresse auf die Verarbeitung personenbezogener Daten Einfluss nimmt” und damit “an der Entscheidung über die Zwecke und Mittel dieser Verarbeitung mitwirkt”, ist ein Verantwortlicher (Zeugen Jehovas, Rn. 68).
- Die gemeinsame Verantwortlichkeit setzt nicht voraus, dass jederVerantwortliche Zugang zu den betreffenden Daten hat (Facebook Fanpages, Rn. 69).
- “Gemeinsame” Verantwortlichkeit meint nicht “gleichwertige” Verantwortlichkeit. Gleichzeitig kann eine “Verarbeitung” mehrere Vorgänge umfassen. Die Verantwortlichen können in eine Datenverarbeitung daher “in verschiedenen Phasen und in unterschiedlichem Ausmaß” einbezogen sein. Die Reichweite der Verantwortlichkeit ist daher nur im Einzelfall zu bestimmen (Zeugen Jehovas, Rn. 66):
“74 Daraus folgt […], dass eine […] Person […] nur für Vorgänge der Verarbeitung […], über deren Zwecke und Mittel sie – gemeinsam mit anderen – entscheidet, […] gemeinsam mit anderen verantwortlich sein kann. Dagegen kann[…] diese […] Person für vor- oder nachgelagerte Vorgänge in der Verarbeitungskette, für die sie weder die Zwecke noch die Mittel festlegt, nicht als im Sinne dieser Vorschrift verantwortlich angesehen werden.”
Daraus schliesst der EuGH, dass Fashion ID
- für das Erheben der Daten der Besucher und ihre Übermittlung an Facebook verantwortlich ist,
- aber nicht für nachgelagerte Verarbeitungsvorgänge durch Facebook.
Für das Erheben und Übermittlen ist Fashion ID sodann gemeinsam mit Facebook verantwortlich, denn beide entscheiden gemeinsam über die Mittel und Zwecke dieser Verarbeitungsvorgänge:
- Mittel: Fashion ID bindet den Button im Wissen ein, dass dieser zur Erhebung und Übermittlung dient. Zudem hat Fashion ID dadurch “entscheidend das Erheben und die Übermittlung von personenbezogenen Daten der Besucher dieser Seite” an Facebook “beeinflusst”.
- Zwecke: Facebook verwendet die erhobenen Daten zur Optimierung der Werbung von Fashion ID. Als Gegenleistung kann Facebook die erhobenen Daten “für ihre eigenen wirtschaftlichen Zwecke” verwenden. Dieses Austauschverhältnis der wirtschaftlichen Interessen bedeutet, dass beide Parteien “gemeinsam über die Zwecke der Vorgänge des Erhebens der im Ausgangsverfahren in Rede stehenden personenbezogenen Daten und der Weitergabe durch Übermittlung” entscheiden.
Im Ergebnis war diesbezüglich die gemeinsame Verantwortung zu bejahen. Dass Fashion ID auf die erhobenen Daten selbst nicht zugreifen kann, steht dem nach der Facebook Fanpages-Rechtsprechung nicht entgegen, was der EuGH hier nochmals bestätigt.
Zwischenergebnis
Das Urteil hat zunächst folgende Auswirkungen:
- Wer einen Facebook-Like-Button einbindet, ist mit Facebook gemeinsam verantwortlich. Dasselbe gilt für alle anderen Social Plugins, bei denen der Anbieter des Plugins bei ihrem Einbinden bzw. Auslösen Personendaten erhält.
- Der Betreiber der Website und der Anbieter des Plugins müssen daher eine Vereinbarung i.S.v. Art. 26 DSGVO schliessen.
- Die massgeblichen Datenschutzerklärungen müssen entsprechend ergänzt werden, insb. um die Tatsache der gemeinsamen Verantwortlichkeit und um das Wesentliche der Vereinbarung.
Aus der Entscheidung des EuGH ergibt sich ferner Folgendes:
- Bei der gemeinsamen Verantwortung geht es um die gemeinsame Bestimmung der Zwecke und Mittel einer Verarbeitung oder von Teilen davon, d.h. von einzelnen Verarbeitungsvorgängen. Keine Rolle spielen (leider; sie wären spannend) die Fragen, wie ein einzelner Vorgang von einer Verarbeitung abzugrenzen ist, was ein “Zweck” überhaupt ist und ob ein Vorgang – im Sinne eines Teils einer Verarbeitung – einen eigenen Zweck haben kann.
- Zum Verständnis, was “Beeinflussung der Mittel der Verarbeitung” konkret heisst, trägt das Urteil wenig bei. Vorliegend war das Mittel der Verarbeitung (des Erhebens und Übermittelns) das Einbinden des Plugins, und hier genügt dem EuGH die Feststellung, dass Fashion ID das Plugin eingebunden hat in Kenntnis der Tatsache, dass dadurch Daten an Facebook übermittelt werden. Was ein “Mittel der Verarbeitung” und eine relevante “Beeinflussung” des Mittels in anderen Konstellationen ist, geht daraus nicht hervor. Immerhin aber wird klar, dass Wissen über die Verarbeitung erforderlich ist, also Kenntnis des betreffenden Vorgangs. Wovon der EuGH stillschweigend ausgeht, ist sodann die Mitwirkung von Facebook an diesem Mittel. Die Mitwirkung liegt wohl darin, dass Facebook das Plugin zur Verfügung stellt und bei seinem Einsatz die Datenverbindung mit seinen Server zulässt und dabei Personendaten beschafft.
- Interessant sind die Ausführung zum gemeinsamen Zweck. Fashion ID will, dass ihre Werbung auf Facebook zielgruppenspezifisch ausgespielt wird, was auch im Interesse von Facebook liegt, und gleichzeitig will Facebook die Daten für weitere (hier nicht ausgeführte) Zwecke verwenden. Der EuGH geht daher von der wirtschaftlichen Verbindung der Zwecke aus und behandelt beide Zwecke in der Folge als einen einzigen, aber gemeinsamen Zweck.
Aus dem Urteil ergeben sich folgende, allgemeinere Punkte:
- Der EuGH setzt seine stark datenschutzfreundliche Rechtsprechung – wenig überraschend – fort. Nicht nur in diesem Punkt erinnert das Urteil an den Entscheid i.S. Google Spain (dort war die Fragestellung eine andere, aber die Aussagen des EuGH (“[…] kann es nicht angehen, dass die Verarbeitung personenbezogener Daten […] den in der Richtlinie 95/46 vorgesehenen Verpflichtungen und Garantien entzogen wird, was die praktische Wirksamkeit der Richtlinie und den wirksamen und umfassenden Schutz der Grundrechte und Grundfreiheiten natürlicher Personen, die mit ihr gewährleistet werden sollen, einschränken würde […]”) bleiben gültig). Auch die letztlich wirtschaftliche Betrachtungsweise war schon bei Google Spain mitentscheidend. Dem EuGH geht es offenbar darum, dem Datenschutz zum Durchbruch zu verhelfen, und zwar in den konkreten wirtschaftlichen Verhältnissen, ohne dass dogmatische Fragen dabei eine grosse Rolle spielen. Daraus ergibt sich umgekehrt, dass Aufsichtsbehörden in ihrer Tätigkeit auf den effektiven Schutz zu achten haben und Verstösse gegen Formalitäten nicht stark gewichten sollten, soweit diese die Risiken für die Betroffenen nicht erhöhen.
- Die gemeinsame Verantwortung ist kein akademisches Konzept, sondern ein Kernelement bei der Bestimmung der Verantwortung, das bei allen Compliance-Massnahmen (z.B. Verarbeitungsverzeichnis; Vertragsgestaltung mit Dienstleistern und Partnern im Konzern und mit Aussenstehenden; Kommunikation mit Betroffenen; Betroffenenrechte; Planung von Sicherheitsmassnahmen; Haftungsregelungen etc.) zu berücksichtigen ist.
- Die Bestimmung der gemeinsamen Verantwortung ist stark einzelfallbezogen, und zwar nicht nur die Frage, wann eine solche vorliegt, sondern vor allem auch die Frage, wie weit sie reicht. Im konzerninternen Verhältnis führt dies dazu, dass die Arbeit mit Vertragsmustern erschwert wird und dass Templates ggf. mit entprechenden Anweisungen und Hilfestellungen zu ergänzen sind. Die Granularität der Betrachtung – gemeinsame Verantwortung bezogen auf einzelne, konkret bestimmte Elemente – kann zudem dazu führen, dass zwei oder mehrere Parteien bei einem einzelnen Projekt mehrere Hüte tragen.
- Die Bedeutung der gemeinsamen Verantwortung verbunden mit der Einzelfallbetrachtung und mit den unterschiedlichen Rechtsfolgen je nach Qualifikation der Parteirollen hat das Potential, insbesondere den konzerninternen Umgang mit Personendaten erheblich aufwendiger zu machen.
Rechtsgrundlagen: keine Privilegierung (?)
Interessant und ebenfalls über den konkreten Fall hinausweisend sind die Ausführungen zu den Rechtsgrundlagen. Das OLG Düsseldorf hatte gefragt, ob bei einer etwaigen Prüfung der Rechtsgrundlage der berechtigten Interessen auf das berechtigte Interesse dieses Betreibers oder das berechtigte Interesse des genannten Anbieters abzustellen ist (ob aufgrund der Cookie-Richtlinie eine Einwilligung erforderlich ist, liess der EuGH dabei offen; das wird das OLG Düsseldorf zu prüfen haben). Hier sagte der EuGH folgendes:
Da […] der Betreiber einer Website, der in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, gemeinsam mit diesem Anbieter als […] Verantwortlicher angesehen werden kann, ist es erforderlich, dass jeder dieser Verantwortlichen mit diesen Verarbeitungsvorgängen ein berechtigtes Interesse […] wahrnimmt, damit diese Vorgänge für jeden Einzelnen von ihnen gerechtfertigt sind.
Laut EuGH müssen die Vorgänge in der gemeinsamen Verantwortung beider Parteien – das Erheben und Übermitteln – also für jeden Einzelnen gerechtfertigt sein. Nimmt man diese Aussage zum Nennwert, ist dabei eine umstrittene Frage entschieden: Die Datenübermittlung des einen an den anderen gemeinsamen Verantwortlichen ist (anders als jene eines Verantwortlichen an seinen Auftragsverarbeiter) nicht privilegiert, sondern braucht eine Rechtsgrundlage genauso wie die Übermittlung an einen eigenständigen Verantwortlichen.
Ob der EuGH das wirklich sagen wollte, ist allerdings offen. Die Erwägungen lassen nicht erkennen, dass sich der EuGH der möglichen Bedeutung dieser Aussagen bewusst war. Andererseits kann man die Aussagen des EuGH kaum so lesen, als hätte er eine Privilegierung in Betracht gezogen. Er spricht ja nicht davon, dass Facebook für die folgenden Verarbeitungen in eigener Verantwortung eine eigene Rechtsgrundlage brauche (was natürlich zutrifft); vielmehr brauche bereits die Übermittlung als solche eine Rechtsgrundlage. Im Ergebnis ist die Privilegierung nicht vom Tisch; sich auf sie zu verlassen, ist aber riskanter geworden.
Was der EuGH nicht sagte (entgegen einiger Stellungnahmen zum Urteil): dass hier eine Einwilligung erforderlich gewesen wäre. Der EuGH sagt nur, dass es dem Betreiber der Website gegebenenfalls obliegt, die Einwilligung einzuholen, denn diese müsste ja zeitlich vor dem Erheben und der Übermittlung der Daten eingeholt werden. Es wird Sache des OLG Düsseldorf bleiben, ein Einwilligungserfordernis zu prüfen.
Weitere Punkte
Der EuGH hat folgende weitere Punkte festgehalten:
- Die Informationspflicht i.S.v. Art. 13 f. DSGVO muss sofort erfüllt werden, also bei der Erhebung, nicht später (so lassen sich jedenfalls Rz. 102 f. lesen).
- Eine nationale Regelung, die Verbraucherschutzverbänden ein Klagerecht gegen Datenschutzverletzer gewährt, verstösst nicht gegen die Richtlinie.