Im Einklang mit seiner Entscheidung zu Facebook Insights (DORDA hat hier berichtet) ist der EuGH seiner weite Auslegung der gemeinsamen Verantwortlichkeit treu geblieben: Auch in der Sache Like-Button (C-40/17 vom 29.7.2019) nimmt das europäische Höchstgereicht eine gemeinsame Verantwortlichkeit von Facebook und dem Betreiber der jeweiligen Seite an. Das Urteil beschäftigt sich besonders intensiv mit den Kriterien für die unterschiedlichen datenschutzrechtlichen Rollen. Das DORDA Datenschutzteam fasst das für Sie zusammen:
Ausgangslage
Der Online-Händler "Fashion ID" hat auf seiner Webseite den Facebook-Like-Button eingebunden. Dieses Social Media Plugin ermöglicht den Website-Besuchern ein schnelles und einfaches Liken der Facebook Seite des Seitenbetreibers. Das Plugin setzt bereits beim bloßen Aufrufen der Webseite ein Cookie beim Besucher und übermittelt Daten – unter anderem seine IP-Adresse – ohne Zutun des Besuchers an Facebook. Dabei ist unerheblich, ob der Betroffene den Button angeklickt hat oder überhaupt Mitglied des sozialen Netzwerks ist. Facebook verwendet die Daten, um das Verhalten der User zu analysieren. Der Betreiber der Webseite kann damit wiederum die Reichweite seiner Facebook Fanpage erhöhen und dort die Werbung für seine Produkte optimieren.
Eine deutsche Verbraucherschutzorganisation (Verbraucherzentrale NRW e.V.) hat gegen Fashion ID wegen einem behaupteten Verstoß gegen das (damals) geltende Datenschutzgesetz rechtliche Schritte eingeleitet. Das Oberlandesgericht Düsseldorf hat dem EuGH sodann im Rahmen eines Vorlageverfahrens mehrere Fragen, insbesondere zur Einordnung der datenschutzrechtlichen Rollen, gestellt. Die Sache wurde nun zwar noch auf Basis der durch die DSGVO außer Kraft gesetzten Datenschutzrichtlinie entschieden. Die Ausführungen und die Conclusio lassen sich aber zwanglos auf die neue Rechtslage übertragen:
Entscheidung des EuGH
In seinem Urteil kommt der EuGH zu dem Ergebnis, dass sowohl der Betreiber der Seite als auch Facebook – zumindest für einen Teil der Verarbeitungskette – gemeinsame Verantwortliche sind. Dieses Ergebnis fußt auf einer intensiven Aufarbeitung der Frage, inwiefern und welche Entscheidung über die Mittel und Zwecke der Verarbeitung zur datenschutzrechtlichen Verantwortlichkeit führt:
Nach Ansicht des EuGH ist im konkreten Fall die bewusste Einbindung des Buttons rechtlich relevant. Erst diese erlaubt Facebook den Zugriff auf die Daten der Besucher. Ohne die Bereitstellung der Verbindung ist die entsprechende Verarbeitung gar nicht möglich. Der EuGH schließt daraus, dass sowohl Facebook (das ist wohl unstrittig) als auch der Betreiber der Seite aktiven Einfluss und Entscheidungsbefugnis über die Mittel der Verarbeitung haben. Nach Ansicht des EuGH reicht also alleine die Ermöglichung der Verarbeitung für den Dritten für die Annahme einer gemeinsamen Verantwortlichkeit aus.
Auf den ersten Blick überrascht diese Einordnung angesichts der unterschiedlichen Zwecke der Verarbeitung und insbesondere dem fehlenden Einfluss des Seitenbetreibers auf die konkrete Verarbeitung durch Facebook einigermaßen. Nach Ansicht des EuGH dient der Button aber generell der Optimierung der Werbung und Verbesserung der Sichtbarkeit beider Parteien. So profitiert sowohl der Websitebetreiber von der Verknüpfung mit seiner Facebook Fanpage als auch Facebook durch die Sammlung wertvoller Marketinginformationen. Damit liegt die Verarbeitung der Daten im gemeinsamen wirtschaftlichen Interesse. Auch wenn jede Partei jeweils einen eigenen Zweck verfolgt, sind diese jedoch zumindest vergleichbar, ergänzen sich wechselseitig und profitieren voneinander. In dem Punkt folgt der EuGH den Schlussanträgen des Generalanwalts und hält fest, dass die Einheit der Zwecke für die gemeinsame Festlegung ausreicht. Eine Zweckidentität ist somit nicht erforderlich.
Allerdings schränkt der Gerichtshof ein, dass die gemeinsame Verantwortlichkeit nicht für die gesamte Verarbeitung besteht, sondern nur für die Tätigkeiten, an denen beide Parteien auch tatsächlich beteiligt sind. Da der Webseitenbetreiber nur über die Erhebung und Weiterleitung der Daten bestimmen kann, ist er auch nur dafür mitverantwortlich. Das ist nur konsequent, da der Webseitenbetreiber keinen Einfluss auf die weitere, interne Verarbeitung durch Facebook haben kann.
Abschließend nimmt der EuGH schließlich dazu Stellung, wer für die Einholung von Einwilligungen der Betroffenen und Einhaltung der Informationspflichten zuständig ist. Nach der E führt erst die Aktivierung des Buttons durch die Einwilligung zur Verarbeitung durch Facebook. Damit ist der Betreiber der Seite alleine dafür verantwortlich, die Einwilligung des Besuchers für die Aktivierung des Social Media Plugins einzuholen und ihm gegenüber die Informationspflichten hinsichtlich der damit erfolgenden Datenverarbeitung zu erfüllen.
Lessons learned
Aus der Entscheidung ergeben sich für die Praxis folgende Konsequenzen:
- Zwischen dem Webseitenbetreiber und Facebook muss eine Vereinbarung über die gemeinsame Verantwortlichkeit abgeschlossen werden. Es ist zu erwarten, dass Facebook die im Nachgang der Insight Entscheidung zur Verfügung gestellte Mustervereinbarung entsprechend erweitert oder ein separates Dokument zur Verfügung stellen wird. Als Konsequenz sind nicht nur das Verarbeitungsverzeichnis, sondern insbesondere auch die Datenschutzhinweise anzupassen (siehe für Details unseren Newsletter zu Facebook Insights) .
- Die Entscheidung ist auch auf andere Social Media Buttons – wie Instagram, Twitter, LinkedIn usw – übertragbar. Auch in diesen Fällen muss mit den Anbietern eine Vereinbarung über gemeinsame Verantwortlichkeit geschlossen und in den Datenschutzhinweisen abgebildet werden.
- Der Betreiber der Seite muss die Einwilligung der Besucher für die Aktivierung des Plugins auf Basis der erteilten Informationen einholen.