Der EuGH senkt den Daumen für den Facebook-Like Button

Die Ausgangssituation

Soziale Netzwerke sind beliebter denn je. Waren sie über Jahre eher auf private Kommunikation beschränkt, haben sie sich in der Zwischenzeit zu professionellen Marketinginstrumenten entwickelt. Der Vernetzungsgrad mit der globalen Online-Wirtschaft ist enorm. Der Verbraucher zahlt für die Nutzung immer neuer Gadgets mit Informationen, die er über sich und sein Umfeld preisgibt. So können detaillierte Profile über sein Kauf- und Nutzerverhalten erstellt, aktualisiert und vorgehalten werden. Vielen Nutzern ist dies bewusst. Sie werden auf Websites über die Sammlung, Auswertung und Migration ihrer Daten informiert und stimmen per Mausklick zu, weil die Verlockungen der Konsumwelt deutlich attraktiver erscheinen als die Preisgabe von Datenfragmenten. Die Auswertungsmaschinerie hinter der ‚schönen, neuen Welt‘ findet kaum Beachtung.

Und dann gibt es noch die eher überraschenden Phänomene, wie die lauschende elektronische Haushaltshilfe ‚Alexa‘ oder den Saugroboter, der den Grundriss meiner Wohnung abspeichert und diesen womöglich demnächst an Einrichtungshäuser übermittelt. Zu dieser Kategorie der unheimlichen Art gehört auch der ‚Like-Button‘ von Facebook, der wie Twitter, Instagram und Co. gerne in alle möglichen Websites eingebunden ist. Scheinbar inaktiv prangt er an unauffälliger Stelle. Wird er nicht angeklickt, findet keine Datenabsaugung statt, könnte man meinen. Weit gefehlt.

Hier beginnt unsere Geschichte.

Die juristische Dimension

Am 29.7.19 entschied der EuGH in der Rechtssache C-40/17 ein Vorabentscheidungsersuchen des OLG Düsseldorf. Hintergrund des dortigen Rechtsstreits war eine Unterlassungsklage der Verbraucherzentrale NRW gegen die Fashion ID GmbH & Co. KG. Der Mode-Online-Händler hatte auf seiner Website u.a. den ‚Gefällt mir-Button‘ von Facebook platziert. Die Einbindung derartiger Drittinhalte führt dazu, dass der Browser des Besuchers der Fashion ID- Website auf den Verweis zu Facebook stößt und dem Server des Drittanbieters automatisch die IP-Adresse des Besucherrechners sowie die technischen Informationen des Browsers mitteilt. Daneben übermittelt der Browser auch Informationen zu dem angeklickten Inhalt. Was der Drittanbieter (hier Facebook) mit den Informationen anfängt, ob und wie er sie speichert und auswertet, kann der Webseitenbetreiber (Fashion ID) weder wissen noch beeinflussen.

In Klartext: Besucher von Fashion ID, deren Website den Facebook-Like-Button‘ eingebunden hat, übermitteln personenbezogene Daten an Facebook Ireland, ohne sich dessen bewusst zu sein und ohne selbst Mitglied von Facebook zu sein oder den Like-Button angeklickt zu haben.

Die klagende Verbraucherschutzzentrale war der Meinung, die Besucher der Fashion ID Website müssten aus Datenschutzgründen über den Abfluss von Nutzerdaten an Dritte vorab informiert werden und ihre Einwilligung dazu geben.

Die Klägerin obsiegte in erster Instanz. Facebook Ireland ist dem Rechtsstreit in der Berufungsinstanz als Streithelferin auf Seiten der Berufungsklägerin Fashion ID beigetreten.

Das OLG Düsseldorf setzte das Verfahren aus und legte dem EuGH zur Vorabentscheidung u.a. die folgenden Fragen vor:

• Ist Fashion ID durch die Einbindung eines Social Plug-In auf seiner Website, das einen Datentransfer an Dritte in Gang setzt ein ‚für die Datenverarbeitung Verantwortlicher‘?
• Müssen bei der geschilderten Situation sowohl der Webseitenbetreiber als auch der Drittanbieter ein datenschutzrechtliches ‚berechtigtes Interesse‘ nachweisen, damit die Vorgänge für beide gerechtfertigt sind?
• Wer muss den Verbraucher über die Erhebung und Migration von Daten in der geschilderten Konstellation informieren und dessen Einwilligung in die Vorgänge einholen?

An dieser Stelle ist anzumerken, dass die Entscheidung des EuGHs die Rechtslage der Datenschutzrichtlinie 95/46 zu berücksichtigen hatte, die zum 25.5.2018 aufgehoben und von der DSGVO abgelöst wurde. Die Rechtsprobleme bleiben allerdings im Wesentlichen die gleichen. Nachfolgend werden die Rechtsfragen unter DSGVO-Regularien erörtert.

Eine Vorlagefrage muss unter der jetzigen Geltung der DSGVO nicht mehr erörtert zu werden. Sie beschäftigt sich mit der Klagebefugnis der Verbraucherzentrale NRW. Die DSGVO bejaht die Klagebefugnis von Verbraucherschutzverbänden ausdrücklich (siehe auch Rdnr. 62 der EuGH-Entscheidung).

Die Begründung

Schon mehrfach hat sich der EuGH in jüngster Zeit mit Fragen der Datenschutzverantwortung befassen müssen (Urteil vom 5. Juni 2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16 und Urteil vom 10. Juli 2018, Jehovan todistajat, C-25/17) und hat dabei in teleologischer Auslegung des Terminus eines ‚für die Datenverarbeitung Verantwortlichen‘ (jetzt Begriffsbestimmung in Art. 4 Nr. 7 DSGVO) eine weite Definition der Verantwortlichkeit gewählt, um einen umfassenden und wirksamen Schutz der Grundfreiheiten und Grundrechte natürlicher Personen bei der Verarbeitung personenbezogener Daten (siehe Art. 4 Nr. 1 DSGVO) zu gewährleisten. Gemeinsam für die Datenverarbeitung Verantwortliche, die jeweils im Eigeninteresse auf die Verarbeitung personenbezogener Daten Einfluss nehmen und damit an der Entscheidung über die Zwecke und mittel dieser Verarbeitung mitwirken, teilen sich die Datenschutzverantwortlichkeit (siehe auch Art. 26 III DSGVO).

Dabei hat die gemeinsame datenschutzrechtliche Verantwortlichkeit nicht zwangsläufig zur Folge, dass eine gleichwertige Verantwortlichkeit in der automatisierten Verarbeitungskette besteht. In der Praxis wird es eher dazu kommen, dass die Akteure in der phasenweisen Vorgangsreihe des Erhebens, Speicherns, Anpassens, Veränderns, Auslesens, Migrierens, Analysierens, Mischens, Kompilierens, Löschens und jeder anderen vergleichbaren Nutzung von Daten unterschiedliche Verantwortlichkeiten tragen, die unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalles zu beurteilen sind.

Die Zweite Kammer des EuGHs folgt der Argumentation des Generalanwalts in seinem Schlussantrag vom 19. Dezember 2018, der folgert, dass jeder Verarbeiter personenbezogener Daten nur für Vorgänge verantwortlich sein kann, über deren Mittel und Zwecke er entscheidet. Für vor- oder nachgelagerte Vorgänge in der Verarbeitungskette, bei denen er weder Zwecke noch Mittel festlegt, könne er nicht verantwortlich sein.

Übersetzt auf den konkreten Fall hat Fashion ID den ‚Like-Button von Facebook in ihre Website mit den geschilderten Folgen eingebunden. Fashion ID kann sich nicht darauf berufen, dass die Funktionen des Buttons ausschließlich der Kontrolle von Facebook unterstünden mit der Folge, dass die erhobenen und weitergeleiteten Daten zwar Facebook, nicht aber Fashion ID zum Verarbeiter personenbezogener Daten machen. Fashion ID kam es aus werblichen und ökonomischen Interessen gerade darauf an, den Button zu platzieren, um ihre Produkte in dem sozialen Netzwerk sichtbar zu machen und über den Datentransfer zu verbreiten. Diese zielgerichtete und stillschweigende Verfolgung wirtschaftlicher Interessen macht Fashion ID zum ‚Verarbeiter personenbezogener Daten‘, auch wenn sie selbst keinen Zugang zu den abfließenden Daten hat. Die Feststellung des Grades und der Aufteilung der Verantwortlichkeiten für den Datenschutz zwischen Fashion ID und Facebook Ireland durch die Erhebung und den Abfluss von Daten, ausgelöst durch das bloße Aufrufen der Website von Fashion ID, obliegt dem OLG Düsseldorf.

Festzuhalten bleibt, dass Fashion ID keine Verantwortlichkeit dafür trifft, wie Facebook Ireland mit den übermittelten Daten verfährt.

Die Aufteilung der Verantwortlichkeit zwischen dem Webseitenbetreiber Fashion ID und dem einbezogenen Drittanbieter Facebook Ireland spielt auch eine Rolle bei der Feststellung der Rechtmäßigkeit der Verarbeitung, sofern die Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen (Art. 6 und Erwägungsgrund 47 DSGVO). Welche jeweiligen berechtigten Verarbeitungsinteressen geltend gemacht werden können, obliegt der Feststellung des OLG Düsseldorf. Zu berücksichtigen sind die kumulativen Voraussetzungen: 1. Berechtigtes Interesse, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden; 2. Erforderlichkeit der Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses und 3. Kein Überwiegen der Grundrechte und Grundfreiheiten der betroffenen Person (so entwickelt im Urteil vom 4. Mai 2017, Rigas satiksme, C-13/16).

Unerlässlich ist es jedoch für die Verantwortlichen, die Betroffenen sowohl über Art und Ausmaß der Datenverarbeitung in ihrem Verantwortungsbereich zu informieren als auch ihre Einwilligung dazu einzuholen (Art. 6 und 7 sowie Erwägungsgründe 40, 42 und 60 DSGVO). Wiederum ist die Verantwortlichkeit für die Informationspflichten und die Einholung der Einwilligung auf die Vorgänge der Datenverarbeitung beschränkt, für die der Verantwortliche tatsächlich über die Zwecke und Mittel entscheidet. Im Falle der Einbindung des Like-Buttons betrifft dies für Fashion ID die Information, dass und welche Daten über die Schnittstelle an Facebook bei Aufrufen der Fashion ID Website abfließen. Über alle weiteren Vorgänge im Verantwortungsbereich von Facebook Ireland hat Facebook zu informieren.

Gleiches gilt entsprechend für die Einholung der Einwilligungen. Eine wirksame und rechtzeitige Aufklärung ist nur dann möglich, wenn bereits vor dem Auslösen der Datenverarbeitungsvorgänge ausreichend informiert und Einwilligungen eingeholt werden. Nur so kann ein effektiver Datenschutz für die Betroffenen gewährleistet werden.

Fazit

Manch ein Kommentator spricht von einem salomonischen Urteil des EuGHs und meint damit die wohlabgewogenen Pflichten mehrerer Datenverarbeiter je nach zu verantwortender Risikosphäre. Dem kann man sich anschließen, doch der Teufel liegt im Detail.

Wie soll praktisch verfahren werden, um den eigenen Informationspflichten nachzukommen und die erforderliche Einwilligung einzuholen? Fashion ID hat bereits reagiert. Neuerdings findet sich auf der Website ein ‚Gefällt mir!‘-Banner, das mit ‚Social Media aktivieren‘ überschrieben ist. Darunter der Text: ‚Aktivieren Sie Social Media, wenn Sie Inhalte in sozialen Netzwerken teilen möchten. Mit der Aktivierung von Social Media stimmen Sie zu, dass Daten an die Betreiber der sozialen Netzwerke übertragen werden.‘ Abschließend wird für weitere Informationen auf die Datenschutzbestimmungen hingewiesen.

Facebook dient hier als Platzhalter für sämtliche sozialen Netzwerke, die mit einem Klick aktiviert werden können und unterschiedliche Datenabflüsse auslösen.

Unabhängig davon, ob diese Lösung ausreicht, muss man sich fragen, wie die Datenschutzmaßnahmen von Facebook und anderen aussehen mögen, wenn bei Aufruf von Webseiten anonyme IP-Adressen anlanden und auf dieser Grundlage individuelle Einwilligungen eingeholt werden sollen. Man darf gespannt sein, zumal gerade Facebook als selbst ernannter ‚brutalst möglicher Aufklärer in Sachen Datenschutz‘ angeblich einen Läuterungsprozess nach vielen Datenschutzskandalen vollzogen hat.

Der Verbraucher jedenfalls könnte von dem leidigen Katz und Maus-Spiel um die Datenhoheit bald die Nase voll haben und sich mit Grausen abwenden.

Der Generalanwalt hat in seinem Schlussantrag diese mögliche Entwicklung auf außergewöhnlich blumige Weise bereits zu Papier gebracht. Er schreibt unter der Überschrift: ‚Betrachtung des großen Ganzen‘ in den Randziffern 89 ff. vom ‚angemessenen Verhältnis zwischen Macht, Einfluss und Verantwortlichkeit‘, mithin über anständiges Geschäftsgebaren:

‚Vor langer Zeit (bestimmte Science-Fiction-Fans würden hier wohl ergänzen: ‚in einer weit, weit entfernten Galaxie‘) war es einmal cool, in einem sozialen Netzwerk aktiv zu sein. Dann wurde es allmählich cool, kein Nutzer eines sozialen Netzwerks zu sein. Heutzutage wird es als eine Untat angesehen, in einem solchen Netzwerk aktiv zu sein…‘

Dem ist nichts hinzuzufügen.