Neues EuGH-Urteil zur gemeinsamen Verantwortlichkeit

Bundeskartellamt beschränkt das Zusammenführen von Nutzerdaten

Der Europäische Gerichtshof (EuGH) in Luxemburg hat heute ein neues Urteil (C-40/17) zur Gemeinsamen Verantwortlichkeit erlassen. Ausgangspunkt war das Einbinden des „Gefällt mir“- Buttons von Facebook auf einer Internetseite eines deutschen Online-Händler für Modeartikel. Dies hatte zur Folge, dass beim Aufrufen der Website die personenbezogenen Daten dieses Besuchers an Facebook Ireland übermittelt werden. Offenbar erfolgte diese Übermittlung im Verborgenen, ohne dass sich der Besucher dessen bewusst ist und unabhängig davon, ob er Mitglied des sozialen Netzwerks Facebook ist oder den „Gefällt mir“-Button angeklickt hat.

Urteil bezieht sich noch auf EG-Datenschutzrichtlinie aus 1995

Das mit dem Rechtsstreit im Ausgangsverfahren befasste Oberlandesgericht (OLG) Düsseldorf hat dem EuGH sechs Vorlagefragen vorgelegt. Damit verfolgte das Gericht die Auslegung einer Reihe von Bestimmungen der früheren EG-Datenschutzrichtlinie von 1995. Diese wurde durch die neue Datenschutz-Grundverordnung (DS-GVO) mit Wirkung vom 25. Mai 2018 ersetzt. Dennoch sind die Aussagen der EuGH-Rechtsprechung von Bedeutung, da sich die Gemeinsame Verantwortlichkeit auch in der DS-GVO in Art. 26 wiederfindet.

Verbandsklagebefugnis bestätigt

Die Entscheidung widmet sich nicht allein der Gemeinsamen Verantwortlichkeit. Nicht zu übersehen im EuGH-Urteil ist, dass es Verbänden zur Wahrung von Verbraucherinteressen („Verbraucherschutzverbände“) erlaubt ist, gegen den mutmaßlichen Verletzer von Datenschutzregeln Klage zu erheben. Der Gerichtshof weist darauf hin, dass die neue DS-GVO nunmehr ausdrücklich diese Möglichkeit vorsieht.

Gemeinsame Verantwortlichkeit mit Facebook – aber nicht grenzenlos

Mit der Einbindung des „Gefällt mir“-Buttons in eine Website scheint der Mode-Händler stillschweigend in das Erheben personenbezogener Daten seiner Websiten-Besucher und deren Weitergabe eingewilligt zu haben. Deswegen kann die entsprechende Firma, Fashion ID, für die Vorgänge des Erhebens der in Rede stehenden Daten und deren Weiterleitung durch Übermittlung an Facebook Ireland als gemeinsam mit Facebook verantwortlich angesehen werden. Schließlich kann davon ausgegangen werden kann, dass Fashion ID und Facebook Irland gemeinsam über die Zwecke und Mittel entscheiden. Die Gemeinsame Verantwortlichkeit hat aber Grenzen. Fashion ID kann für alle Datenverarbeitungsvorgänge, die Facebook Ireland nach der Übermittlung der Daten vornimmt, nicht als mitverantwortlich angesehen werden kann. Es erscheint nach Auffassung des EuGH nämlich auf den ersten Blick ausgeschlossen, dass Fashion ID über die Zwecke und Mittel dieser Vorgänge entscheidet.

Konsequenzen einer Gemeinsamen Verantwortlichkeit

Neben der von Art. 26 DS-GVO verlangten transparenten Vereinbarungen hat der EuGH nun noch weitere Folgen einer Gemeinsamen Verantwortlichkeit definiert. Der Gerichtshof betont, dass der Betreiber einer Website wie Fashion ID für bestimmte Vorgänge wie das Erheben der Daten und deren Übermittlung an Facebook Ireland als (Mit)Verantwortlicher seinen Besuchern bestimmte Informationen zu geben hat, wie beispielsweise seine Identität und die Zwecke der Verarbeitung. Diese Informationen sind – genauso wie bei den Informationspflichten nach Art. 13 DS-GVO – „zum Zeitpunkt des Erhebens“ bereitzustellen.

Letztes Update:29.07.19

  • Gemeinsame Verantwortlichkeit: Die neue Auftragsverarbeitung?

    Gemeinsame Verantwortlichkeit: Die neue Auftragsverarbeitung?

    Seminar

    1059.10 € Mehr erfahren
  • Websites datenschutzkonform gestalten

    Websites datenschutzkonform gestalten

    Seminar

    833.00 € Mehr erfahren
  • Stand der Technik

    Handreichung zum Stand der Technik

    Sowohl das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (IT-Sicherheitsgesetz bzw. ITSiG) als auch die europäische Datenschutz-Grundverordnung (DS-GVO) erwähnen den Begriff des Stands der Technik als eine Forderung, an der sich die IT-Sicherheit orientieren soll. Im Bereich des technischen Datenschutzes fordert die DS-GVO in Art. 32 DS-GVO zum Schutze der Rechte und Freiheiten natürlicher Personen

    Mehr erfahren
  • Wegweiser

    LDI NRW aktualisiert FAQ zum DSB

    Mit dem Inkrafttreten der Datenschutz-Grundverordnung (DS-GVO) existiert erstmals eine europaweit verbindliche verpflichtende Regelung zur Bestellung betrieblicher und behördlicher Datenschutzbeauftragter. Während die EG-Datenschutzrichtlinie (95/46/EG) die Verpflichtung zur Bestellung von Datenschutzbeauftragten lediglich als Alternative vorsah, um die Meldepflicht gegenüber der Datenschutzaufsichtsbehörde entfallen zu lassen, wird sich mit Geltung der DS-GVO ab dem 25. Mai 2018 eine Bestellpflicht

    Mehr erfahren
  • Kündigung wegen Missbrauch von Kundendaten

    Missbrauch von Kundendaten: Fristlose Kündigung

    In seinem Urteil vom 15.01.2020 hat das Arbeitsgericht Siegen entschieden, dass der Missbrauch von Kundendaten durch einen IT-Mitarbeiter die fristlose Kündigung des Arbeitsverhältnisses rechtfertigen kann. Nach Ansicht des Arbeitsgerichts ist ein IT-Mitarbeiter verpflichtet, sensible Kundendaten zu schützen und darf diese nicht zu anderen Zwecken missbrauchen. Ein Verstoß gegen diese Pflichten rechtfertige in der Regel eine

    Mehr erfahren