Der EuGH hat sich im vor­lie­gen­den Urteil Rs. C‑40/17 vom 29. Juli 2019 i.S. Fashion ID erneut zur gemein­sa­men Ver­ant­wor­tung geäu­ssert. Es han­delt sich bereits um das drit­te Urteil zur gemein­sa­men Ver­ant­wor­tung im ver­gan­ge­nen Jahr:

Im vor­lie­gen­den Ent­scheid auf Vor­la­ge des Ober­lan­des­ge­richts (OLG) Düs­sel­dorf ging es um die Ein­bin­dung des “Like”-Buttons von Face­book auf der Web­site von Fashion ID. Die Ver­brau­cher­zen­tra­le NRW hat­te gegen Fashion ID geklagt. Face­book war dem Ver­fah­ren vor dem OLG als Streit­hel­fe­rin (Neben­in­ter­ve­ni­en­tin) beigetreten.

In aller Kür­ze:

  • Wer in sei­ne Web­site ein Soci­al Plug­in ein­bin­det, das dem Anbie­ter des Plug­ins Per­so­nen­da­ten der Besu­cher über­mit­telt, ist für die­se Erhe­bung und Über­mitt­lung von Daten gemein­sam mit dem Anbie­ter ver­ant­wort­lich. Bei­de müs­sen eine Ver­ein­ba­rung i.S.v. Art. 26 DSGVO schliessen.
  • Bei­de, der Betrei­ber der Web­site und der Anbie­ter des Plug­ins, brau­chen eine Rechts­grund­la­ge für die gemein­sa­me Verarbeitung.
  • Sofern eine Ein­wil­li­gung erfor­der­lich sein soll­te, obliegt es dem Betrei­ber der Web­site, die­se einzuholen.
  • Der Betrei­ber der Web­site ist eben­falls ver­pflich­tet, über den Vor­gang der Erhe­bung und Über­mitt­lung i.S.v. Art. 12 ff. DSGVO zu informieren.
  • Der EuGH bestärkt sei­ne daten­schutz­freund­li­che Hal­tung. Das Kon­zept der gemein­sa­men Ver­ant­wor­tung erhält noch grö­sse­re Bedeu­tung. Es wird durch sei­nen star­ken Ein­zel­fall­be­zug gleich­zei­tig schwie­ri­ger und auf­wen­di­ger in der Handhabung.
  • Die Fra­ge, ob die Daten­über­mitt­lung an einen gemein­sam Ver­ant­wort­li­chen pri­vi­le­giert – d.h. ohne beson­de­re Rechts­grund­la­ge zuläs­sig ist -, wird nicht abschlie­ssend geklärt. Das Risi­ko, dass eine eige­ne Rechts­grund­la­ge erfor­der­lich ist, hat sich aber deut­lich erhöht.

Sach­ver­halt

Der EuGH leg­te sei­nem Ent­scheid fol­gen­den Sach­ver­halt zugrunde:

  • Fashion ID hat­te ihre Web­site das Soci­al Plug­in „Gefällt mir“ von Face­book ein­ge­bun­den. Der Brow­ser des Besu­chers lädt beim Besuch der Web­site u.a. das Plug­in und damit Inhal­te vom Ser­ver von Face­book. Durch die­sen Vor­gang über­mit­telt der Brow­ser des Besu­chers bestimm­te Anga­ben, u.a. die IP-Adre­s­­­­­se des End­ge­räts, den Besuch der betref­fen­den Web­site, tech­ni­sche Anga­ben und Anga­ben über die abge­frag­ten Inhal­te. Face­book selbst sagt dazu übri­gens fol­gen­des – der EuGH bezog sich aller­dings nicht auf die­se Quelle:

    Wenn eine Per­son Face­book besucht hat und dann dei­ne Web­sei­te mit einem sozia­len Plug-in besucht, sen­det der Brow­ser die­se Infor­ma­tio­nen an uns, um Face­­­­­book-Inhal­te auf die­ser Sei­te zu laden. Die Daten, die wir erhal­ten, beinhal­ten Infor­ma­tio­nen wie die Nut­­­­­zer-ID der Per­son, die besuch­te Web­sei­te, das Datum und die Uhr­zeit sowie ande­re, Bro­­w­­­­­ser-bezo­­­­­ge­­­­­ne Infor­ma­tio­nen. Eini­ge die­ser Infor­ma­tio­nen zeich­nen wir auf und ver­wen­den sie unter Umstän­den dazu, unse­re Pro­duk­te und Dien­ste zu ver­bes­sern und Nut­zern inter­es­san­te­re und rele­van­te­re Wer­be­an­zei­gen zu zeigen.”

  • Der Betrei­ber der Web­site kann den Umfang der an Face­book über­mit­tel­ten Daten nicht beeinflussen.
  • Im kon­kre­ten Fall zumin­dest erfolg­te die Daten­über­mitt­lung auch dann, wenn der Besu­cher weder ein Face­­­­­book-Kon­to hat noch den Like-But­­­­­ton anklickt.

Begriff der gemein­sa­men Verantwortung

Vor die­sem Hin­ter­grund stell­te das OLG die Frage,

2. Ist in einem Fall wie dem vor­lie­gen­den, bei dem jemand einen Pro­gramm­code in sei­ne Web­site ein­bin­det, der den Brow­ser des Benut­zers ver­an­lasst, Inhal­te von einem Drit­ten anzu­for­dern und hier­zu per­so­nen­be­zo­ge­ne Daten an den Drit­ten zu über­mit­teln, der Ein­bin­den­de „für die Ver­ar­bei­tung Ver­ant­wort­li­cher“ im Sin­ne von Art. 2 Buchst. d der Richt­li­nie 95/46, wenn er sel­ber die­sen Daten­ver­ar­bei­tungs­vor­gang nicht beein­flus­sen kann?

Die Legal­de­fi­ni­ti­on des “Ver­ant­wort­li­chen” unter­schei­det sich nach der hier mass­geb­li­chen Richt­li­nie und Art. 4 Nr. 7 DSGVO nicht rele­vant. Inso­fern ist die­ses Urteil – wie die ein­gangs genann­ten frü­he­ren Urtei­le – für die DSGVO direkt rele­vant, was auch etwa die Ham­bur­gi­sche Daten­schutz­be­hör­de fest­hielt.

Der EuGH bejaht die Frage:

[…] der Betrei­ber einer Web­site […], der in die­se Web­site ein Soci­al Plug­in ein­bin­det, das den Brow­ser […] ver­an­lasst, Inhal­te des Anbie­ters die­ses Plug­ins anzu­for­dern und hier­zu per­so­nen­be­zo­ge­ne Daten des Besu­chers an die­sen Anbie­ter zu über­mit­teln, [kann] als für die Ver­ar­bei­tung Ver­ant­wort­li­cher […] ange­se­hen wer­den […]. Die­se Ver­ant­wort­lich­keit ist jedoch auf den Vor­gang oder die Vor­gän­ge der Daten­ver­ar­bei­tung beschränkt, für den bzw. für die er tat­säch­lich über die Zwecke und Mit­tel ent­schei­det, d. h. das Erhe­ben der in Rede ste­hen­den Daten und deren Wei­ter­ga­be durch Übermittlung.

Dabei geht der EuGH von sei­nen Urtei­len betr. Face­book Fan­pages und betr. Zeu­gen Jeho­vas aus:

  • Das Ziel der Legal­de­fi­ni­ti­on besteht u.a. dar­in, einen “wirk­sa­men und umfas­sen­den Schutz” der betrof­fe­nen Per­so­nen zu gewähr­lei­sten, was eine wei­te Aus­le­gung verlangt.
  • Wer “aus Eigen­in­ter­es­se auf die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten Ein­fluss nimmt” und damit “an der Ent­schei­dung über die Zwecke und Mit­tel die­ser Ver­ar­bei­tung mit­wirkt”, ist ein Ver­ant­wort­li­cher (Zeu­gen Jeho­vas, Rn. 68).
  • Die gemein­sa­me Ver­ant­wort­lich­keit setzt nicht vor­aus, dass jeder­Ver­ant­wort­li­che Zugang zu den betref­fen­den Daten hat (Face­book Fan­pages, Rn. 69).
  • Gemein­sa­me” Ver­ant­wort­lich­keit meint nicht “gleich­wer­ti­ge” Ver­ant­wort­lich­keit. Gleich­zei­tig kann eine “Ver­ar­bei­tung” meh­re­re Vor­gän­ge umfas­sen. Die Ver­ant­wort­li­chen kön­nen in eine Daten­ver­ar­bei­tung daher “in ver­schie­de­nen Pha­sen und in unter­schied­li­chem Aus­maß” ein­be­zo­gen sein. Die Reich­wei­te der Ver­ant­wort­lich­keit ist daher nur im Ein­zel­fall zu bestim­men (Zeu­gen Jeho­vas, Rn. 66):

    74 Dar­aus folgt […], dass eine […] Per­son […] nur für Vor­gän­ge der Ver­ar­bei­tung […], über deren Zwecke und Mit­tel sie – gemein­sam mit ande­ren – ent­schei­det, […] gemein­sam mit ande­ren ver­ant­wort­lich sein kann. Dage­gen kann[…] die­se […] Per­son für vor- oder nach­ge­la­ger­te Vor­gän­ge in der Ver­ar­bei­tungs­ket­te, für die sie weder die Zwecke noch die Mit­tel fest­legt, nicht als im Sin­ne die­ser Vor­schrift ver­ant­wort­lich ange­se­hen werden.”

Dar­aus schliesst der EuGH, dass Fashion ID

  • für das Erhe­ben der Daten der Besu­cher und ihre Über­mitt­lung an Face­book ver­ant­wort­lich ist,
  • aber nicht für nach­ge­la­ger­te Ver­ar­bei­tungs­vor­gän­ge durch Facebook.

Für das Erhe­ben und Über­mitt­len ist Fashion ID sodann gemein­sam mit Face­book ver­ant­wort­lich, denn bei­de ent­schei­den gemein­sam über die Mit­tel und Zwecke die­ser Verarbeitungsvorgänge:

  • Mit­tel: Fashion ID bin­det den But­ton im Wis­sen ein, dass die­ser zur Erhe­bung und Über­mitt­lung dient. Zudem hat Fashion ID dadurch “ent­schei­dend das Erhe­ben und die Über­mitt­lung von per­so­nen­be­zo­ge­nen Daten der Besu­cher die­ser Sei­te” an Face­book “beein­flusst”.
  • Zwecke: Face­book ver­wen­det die erho­be­nen Daten zur Opti­mie­rung der Wer­bung von Fashion ID. Als Gegen­lei­stung kann Face­book die erho­be­nen Daten “für ihre eige­nen wirt­schaft­li­chen Zwecke” ver­wen­den. Die­ses Aus­tausch­ver­hält­nis der wirt­schaft­li­chen Inter­es­sen bedeu­tet, dass bei­de Par­tei­en “gemein­sam über die Zwecke der Vor­gän­ge des Erhe­bens der im Aus­gangs­ver­fah­ren in Rede ste­hen­den per­so­nen­be­zo­ge­nen Daten und der Wei­ter­ga­be durch Über­mitt­lung” entscheiden.

Im Ergeb­nis war dies­be­züg­lich die gemein­sa­me Ver­ant­wor­tung zu beja­hen. Dass Fashion ID auf die erho­be­nen Daten selbst nicht zugrei­fen kann, steht dem nach der Face­book Fan­­­pa­­­­ges-Rech­t­spre­chung nicht ent­ge­gen, was der EuGH hier noch­mals bestätigt.

Zwi­schen­er­geb­nis

Das Urteil hat zunächst fol­gen­de Auswirkungen:

  • Wer einen Face­­­­­book-Like-But­­­­­ton ein­bin­det, ist mit Face­book gemein­sam ver­ant­wort­lich. Das­sel­be gilt für alle ande­ren Soci­al Plug­ins, bei denen der Anbie­ter des Plug­ins bei ihrem Ein­bin­den bzw. Aus­lö­sen Per­so­nen­da­ten erhält.
  • Der Betrei­ber der Web­site und der Anbie­ter des Plug­ins müs­sen daher eine Ver­ein­ba­rung i.S.v. Art. 26 DSGVO schliessen.
  • Die mass­geb­li­chen Daten­schutz­er­klä­run­gen müs­sen ent­spre­chend ergänzt wer­den, insb. um die Tat­sa­che der gemein­sa­men Ver­ant­wort­lich­keit und um das Wesent­li­che der Vereinbarung.

Aus der Ent­schei­dung des EuGH ergibt sich fer­ner Folgendes:

  • Bei der gemein­sa­men Ver­ant­wor­tung geht es um die gemein­sa­me Bestim­mung der Zwecke und Mit­tel einer Ver­ar­bei­tung oder von Tei­len davon, d.h. von ein­zel­nen Ver­ar­bei­tungs­vor­gän­gen. Kei­ne Rol­le spie­len (lei­der; sie wären span­nend) die Fra­gen, wie ein ein­zel­ner Vor­gang von einer Ver­ar­bei­tung abzu­gren­zen ist, was ein “Zweck” über­haupt ist und ob ein Vor­gang – im Sin­ne eines Teils einer Ver­ar­bei­tung – einen eige­nen Zweck haben kann.
  • Zum Ver­ständ­nis, was “Beein­flus­sung der Mit­tel der Ver­ar­bei­tung” kon­kret heisst, trägt das Urteil wenig bei. Vor­lie­gend war das Mit­tel der Ver­ar­bei­tung (des Erhe­bens und Über­mit­telns) das Ein­bin­den des Plug­ins, und hier genügt dem EuGH die Fest­stel­lung, dass Fashion ID das Plug­in ein­ge­bun­den hat in Kennt­nis der Tat­sa­che, dass dadurch Daten an Face­book über­mit­telt wer­den. Was ein “Mit­tel der Ver­ar­bei­tung” und eine rele­van­te “Beein­flus­sung” des Mit­tels in ande­ren Kon­stel­la­tio­nen ist, geht dar­aus nicht her­vor. Immer­hin aber wird klar, dass Wis­sen über die Ver­ar­bei­tung erfor­der­lich ist, also Kennt­nis des betref­fen­den Vor­gangs. Wovon der EuGH still­schwei­gend aus­geht, ist sodann die Mit­wir­kung von Face­book an die­sem Mit­tel. Die Mit­wir­kung liegt wohl dar­in, dass Face­book das Plug­in zur Ver­fü­gung stellt und bei sei­nem Ein­satz die Daten­ver­bin­dung mit sei­nen Ser­ver zulässt und dabei Per­so­nen­da­ten beschafft.
  • Inter­es­sant sind die Aus­füh­rung zum gemein­sa­men Zweck. Fashion ID will, dass ihre Wer­bung auf Face­book ziel­grup­pen­spe­zi­fisch aus­ge­spielt wird, was auch im Inter­es­se von Face­book liegt, und gleich­zei­tig will Face­book die Daten für wei­te­re (hier nicht aus­ge­führ­te) Zwecke ver­wen­den. Der EuGH geht daher von der wirt­schaft­li­chen Ver­bin­dung der Zwecke aus und behan­delt bei­de Zwecke in der Fol­ge als einen ein­zi­gen, aber gemein­sa­men Zweck.

Aus dem Urteil erge­ben sich fol­gen­de, all­ge­mei­ne­re Punkte:

  • Der EuGH setzt sei­ne stark daten­schutz­freund­li­che Recht­spre­chung – wenig über­ra­schend – fort. Nicht nur in die­sem Punkt erin­nert das Urteil an den Ent­scheid i.S. Goog­le Spain (dort war die Fra­ge­stel­lung eine ande­re, aber die Aus­sa­gen des EuGH (“[…] kann es nicht ange­hen, dass die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten […] den in der Richt­li­nie 95/46 vor­ge­se­he­nen Ver­pflich­tun­gen und Garan­ti­en ent­zo­gen wird, was die prak­ti­sche Wirk­sam­keit der Richt­li­nie und den wirk­sa­men und umfas­sen­den Schutz der Grund­rech­te und Grund­frei­hei­ten natür­li­cher Per­so­nen, die mit ihr gewähr­lei­stet wer­den sol­len, ein­schrän­ken wür­de […]”) blei­ben gül­tig). Auch die letzt­lich wirt­schaft­li­che Betrach­tungs­wei­se war schon bei Goog­le Spain mit­ent­schei­dend. Dem EuGH geht es offen­bar dar­um, dem Daten­schutz zum Durch­bruch zu ver­hel­fen, und zwar in den kon­kre­ten wirt­schaft­li­chen Ver­hält­nis­sen, ohne dass dog­ma­ti­sche Fra­gen dabei eine gro­sse Rol­le spie­len. Dar­aus ergibt sich umge­kehrt, dass Auf­sichts­be­hör­den in ihrer Tätig­keit auf den effek­ti­ven Schutz zu ach­ten haben und Ver­stö­sse gegen For­ma­li­tä­ten nicht stark gewich­ten soll­ten, soweit die­se die Risi­ken für die Betrof­fe­nen nicht erhöhen.
  • Die gemein­sa­me Ver­ant­wor­tung ist kein aka­de­mi­sches Kon­zept, son­dern ein Kern­ele­ment bei der Bestim­mung der Ver­ant­wor­tung, das bei allen Com­­­­­pli­an­ce-Mas­s­­­­­nah­­­­­men (z.B. Ver­ar­bei­tungs­ver­zeich­nis; Ver­trags­ge­stal­tung mit Dienst­lei­stern und Part­nern im Kon­zern und mit Aussen­ste­hen­den; Kom­mu­ni­ka­ti­on mit Betrof­fe­nen; Betrof­fe­nen­rech­te; Pla­nung von Sicher­heits­mass­nah­men; Haf­tungs­re­ge­lun­gen etc.) zu berück­sich­ti­gen ist.
  • Die Bestim­mung der gemein­sa­men Ver­ant­wor­tung ist stark ein­zel­fall­be­zo­gen, und zwar nicht nur die Fra­ge, wann eine sol­che vor­liegt, son­dern vor allem auch die Fra­ge, wie weit sie reicht. Im kon­zern­in­ter­nen Ver­hält­nis führt dies dazu, dass die Arbeit mit Ver­trags­mu­stern erschwert wird und dass Tem­pla­tes ggf. mit ent­pre­chen­den Anwei­sun­gen und Hil­fe­stel­lun­gen zu ergän­zen sind. Die Gra­nu­la­ri­tät der Betrach­tung – gemein­sa­me Ver­ant­wor­tung bezo­gen auf ein­zel­ne, kon­kret bestimm­te Ele­men­te – kann zudem dazu füh­ren, dass zwei oder meh­re­re Par­tei­en bei einem ein­zel­nen Pro­jekt meh­re­re Hüte tragen.
  • Die Bedeu­tung der gemein­sa­men Ver­ant­wor­tung ver­bun­den mit der Ein­zel­fall­be­trach­tung und mit den unter­schied­li­chen Rechts­fol­gen je nach Qua­li­fi­ka­ti­on der Par­tei­rol­len hat das Poten­ti­al, ins­be­son­de­re den kon­zern­in­ter­nen Umgang mit Per­so­nen­da­ten erheb­lich auf­wen­di­ger zu machen.

Rechts­grund­la­gen: kei­ne Privilegierung (?)

Inter­es­sant und eben­falls über den kon­kre­ten Fall hin­aus­wei­send sind die Aus­füh­run­gen zu den Rechts­grund­la­gen. Das OLG Düs­sel­dorf hat­te gefragt, ob bei einer etwai­gen Prü­fung der Rechts­grund­la­ge der berech­tig­ten Inter­es­sen auf das berech­tig­te Inter­es­se die­ses Betrei­bers oder das berech­tig­te Inter­es­se des genann­ten Anbie­ters abzu­stel­len ist (ob auf­grund der Coo­kie-Rich­t­­­­­li­­­­­nie eine Ein­wil­li­gung erfor­der­lich ist, liess der EuGH dabei offen; das wird das OLG Düs­sel­dorf zu prü­fen haben). Hier sag­te der EuGH folgendes:

Da […] der Betrei­ber einer Web­site, der in die­se Web­site ein Soci­al Plug­in ein­bin­det, das den Brow­ser des Besu­chers die­ser Web­site ver­an­lasst, Inhal­te des Anbie­ters die­ses Plug­ins anzu­for­dern und hier­zu per­so­nen­be­zo­ge­ne Daten des Besu­chers an die­sen Anbie­ter zu über­mit­teln, gemein­sam mit die­sem Anbie­ter als […] Ver­ant­wort­li­cher ange­se­hen wer­den kann, ist es erfor­der­lich, dass jeder die­ser Ver­ant­wort­li­chen mit die­sen Ver­ar­bei­tungs­vor­gän­gen ein berech­tig­tes Inter­es­se […] wahr­nimmt, damit die­se Vor­gän­ge für jeden Ein­zel­nen von ihnen gerecht­fer­tigt sind.

Laut EuGH müs­sen die Vor­gän­ge in der gemein­sa­men Ver­ant­wor­tung bei­der Par­tei­en – das Erhe­ben und Über­mit­teln – also für jeden Ein­zel­nen gerecht­fer­tigt sein. Nimmt man die­se Aus­sa­ge zum Nenn­wert, ist dabei eine umstrit­te­ne Fra­ge ent­schie­den: Die Daten­über­mitt­lung des einen an den ande­ren gemein­sa­men Ver­ant­wort­li­chen ist (anders als jene eines Ver­ant­wort­li­chen an sei­nen Auf­trags­ver­ar­bei­ter) nicht pri­vi­le­giert, son­dern braucht eine Rechts­grund­la­ge genau­so wie die Über­mitt­lung an einen eigen­stän­di­gen Ver­ant­wort­li­chen.

Ob der EuGH das wirk­lich sagen woll­te, ist aller­dings offen. Die Erwä­gun­gen las­sen nicht erken­nen, dass sich der EuGH der mög­li­chen Bedeu­tung die­ser Aus­sa­gen bewusst war. Ande­rer­seits kann man die Aus­sa­gen des EuGH kaum so lesen, als hät­te er eine Pri­vi­le­gie­rung in Betracht gezo­gen. Er spricht ja nicht davon, dass Face­book für die fol­gen­den Ver­ar­bei­tun­gen in eige­ner Ver­ant­wor­tung eine eige­ne Rechts­grund­la­ge brau­che (was natür­lich zutrifft); viel­mehr brau­che bereits die Über­mitt­lung als sol­che eine Rechts­grund­la­ge. Im Ergeb­nis ist die Pri­vi­le­gie­rung nicht vom Tisch; sich auf sie zu ver­las­sen, ist aber ris­kan­ter geworden.

Was der EuGH nicht sag­te (ent­ge­gen eini­ger Stel­lung­nah­men zum Urteil): dass hier eine Ein­wil­li­gung erfor­der­lich gewe­sen wäre. Der EuGH sagt nur, dass es dem Betrei­ber der Web­site gege­be­nen­falls obliegt, die Ein­wil­li­gung ein­zu­ho­len, denn die­se müss­te ja zeit­lich vor dem Erhe­ben und der Über­mitt­lung der Daten ein­ge­holt wer­den. Es wird Sache des OLG Düs­sel­dorf blei­ben, ein Ein­wil­li­gungs­er­for­der­nis zu prüfen.

Wei­te­re Punkte

Der EuGH hat fol­gen­de wei­te­re Punk­te festgehalten:

  • Die Infor­ma­ti­ons­pflicht i.S.v. Art. 13 f. DSGVO muss sofort erfüllt wer­den, also bei der Erhe­bung, nicht spä­ter (so las­sen sich jeden­falls Rz. 102 f. lesen).
  • Eine natio­na­le Rege­lung, die Ver­brau­cher­schutz­ver­bän­den ein Kla­ge­recht gegen Daten­schutz­ver­let­zer gewährt, ver­stösst nicht gegen die Richtlinie.

AI-generierte Takeaways können falsch sein.