Neues EuGH-Urteil zur gemeinsamen Verantwortlichkeit

Der Europäische Gerichtshof (EuGH) in Luxemburg hat heute ein neues Urteil (C-40/17) zur Gemeinsamen Verantwortlichkeit erlassen. Ausgangspunkt war das Einbinden des „Gefällt mir“- Buttons von Facebook auf einer Internetseite eines deutschen Online-Händler für Modeartikel. Dies hatte zur Folge, dass beim Aufrufen der Website die personenbezogenen Daten dieses Besuchers an Facebook Ireland übermittelt werden. Offenbar erfolgte diese Übermittlung im Verborgenen, ohne dass sich der Besucher dessen bewusst ist und unabhängig davon, ob er Mitglied des sozialen Netzwerks Facebook ist oder den „Gefällt mir“-Button angeklickt hat.

Urteil bezieht sich noch auf EG-Datenschutzrichtlinie aus 1995

Das mit dem Rechtsstreit im Ausgangsverfahren befasste Oberlandesgericht (OLG) Düsseldorf hat dem EuGH sechs Vorlagefragen vorgelegt. Damit verfolgte das Gericht die Auslegung einer Reihe von Bestimmungen der früheren EG-Datenschutzrichtlinie von 1995. Diese wurde durch die neue Datenschutz-Grundverordnung (DS-GVO) mit Wirkung vom 25. Mai 2018 ersetzt. Dennoch sind die Aussagen der EuGH-Rechtsprechung von Bedeutung, da sich die Gemeinsame Verantwortlichkeit auch in der DS-GVO in Art. 26 wiederfindet.

Verbandsklagebefugnis bestätigt

Die Entscheidung widmet sich nicht allein der Gemeinsamen Verantwortlichkeit. Nicht zu übersehen im EuGH-Urteil ist, dass es Verbänden zur Wahrung von Verbraucherinteressen („Verbraucherschutzverbände“) erlaubt ist, gegen den mutmaßlichen Verletzer von Datenschutzregeln Klage zu erheben. Der Gerichtshof weist darauf hin, dass die neue DS-GVO nunmehr ausdrücklich diese Möglichkeit vorsieht.

Gemeinsame Verantwortlichkeit mit Facebook – aber nicht grenzenlos

Mit der Einbindung des „Gefällt mir“-Buttons in eine Website scheint der Mode-Händler stillschweigend in das Erheben personenbezogener Daten seiner Websiten-Besucher und deren Weitergabe eingewilligt zu haben. Deswegen kann die entsprechende Firma, Fashion ID, für die Vorgänge des Erhebens der in Rede stehenden Daten und deren Weiterleitung durch Übermittlung an Facebook Ireland als gemeinsam mit Facebook verantwortlich angesehen werden. Schließlich kann davon ausgegangen werden kann, dass Fashion ID und Facebook Irland gemeinsam über die Zwecke und Mittel entscheiden. Die Gemeinsame Verantwortlichkeit hat aber Grenzen. Fashion ID kann für alle Datenverarbeitungsvorgänge, die Facebook Ireland nach der Übermittlung der Daten vornimmt, nicht als mitverantwortlich angesehen werden kann. Es erscheint nach Auffassung des EuGH nämlich auf den ersten Blick ausgeschlossen, dass Fashion ID über die Zwecke und Mittel dieser Vorgänge entscheidet.

Konsequenzen einer Gemeinsamen Verantwortlichkeit

Neben der von Art. 26 DS-GVO verlangten transparenten Vereinbarungen hat der EuGH nun noch weitere Folgen einer Gemeinsamen Verantwortlichkeit definiert. Der Gerichtshof betont, dass der Betreiber einer Website wie Fashion ID für bestimmte Vorgänge wie das Erheben der Daten und deren Übermittlung an Facebook Ireland als (Mit)Verantwortlicher seinen Besuchern bestimmte Informationen zu geben hat, wie beispielsweise seine Identität und die Zwecke der Verarbeitung. Diese Informationen sind – genauso wie bei den Informationspflichten nach Art. 13 DS-GVO – „zum Zeitpunkt des Erhebens“ bereitzustellen.