Diese Webseite verwendet Cookies. Cookies werden zur Benutzerführung und Webanalyse verwendet und helfen dabei, diese Website besser zu machen.

Neues EuGH-Urteil zur gemeinsamen Verantwortlichkeit

Bundeskartellamt beschränkt das Zusammenführen von Nutzerdaten

Der Europäische Gerichtshof (EuGH) in Luxemburg hat heute ein neues Urteil (C-40/17) zur Gemeinsamen Verantwortlichkeit erlassen. Ausgangspunkt war das Einbinden des „Gefällt mir“- Buttons von Facebook auf einer Internetseite eines deutschen Online-Händler für Modeartikel. Dies hatte zur Folge, dass beim Aufrufen der Website die personenbezogenen Daten dieses Besuchers an Facebook Ireland übermittelt werden. Offenbar erfolgte diese Übermittlung im Verborgenen, ohne dass sich der Besucher dessen bewusst ist und unabhängig davon, ob er Mitglied des sozialen Netzwerks Facebook ist oder den „Gefällt mir“-Button angeklickt hat.

Urteil bezieht sich noch auf EG-Datenschutzrichtlinie aus 1995

Das mit dem Rechtsstreit im Ausgangsverfahren befasste Oberlandesgericht (OLG) Düsseldorf hat dem EuGH sechs Vorlagefragen vorgelegt. Damit verfolgte das Gericht die Auslegung einer Reihe von Bestimmungen der früheren EG-Datenschutzrichtlinie von 1995. Diese wurde durch die neue Datenschutz-Grundverordnung (DS-GVO) mit Wirkung vom 25. Mai 2018 ersetzt. Dennoch sind die Aussagen der EuGH-Rechtsprechung von Bedeutung, da sich die Gemeinsame Verantwortlichkeit auch in der DS-GVO in Art. 26 wiederfindet.

Verbandsklagebefugnis bestätigt

Die Entscheidung widmet sich nicht allein der Gemeinsamen Verantwortlichkeit. Nicht zu übersehen im EuGH-Urteil ist, dass es Verbänden zur Wahrung von Verbraucherinteressen („Verbraucherschutzverbände“) erlaubt ist, gegen den mutmaßlichen Verletzer von Datenschutzregeln Klage zu erheben. Der Gerichtshof weist darauf hin, dass die neue DS-GVO nunmehr ausdrücklich diese Möglichkeit vorsieht.

Gemeinsame Verantwortlichkeit mit Facebook – aber nicht grenzenlos

Mit der Einbindung des „Gefällt mir“-Buttons in eine Website scheint der Mode-Händler stillschweigend in das Erheben personenbezogener Daten seiner Websiten-Besucher und deren Weitergabe eingewilligt zu haben. Deswegen kann die entsprechende Firma, Fashion ID, für die Vorgänge des Erhebens der in Rede stehenden Daten und deren Weiterleitung durch Übermittlung an Facebook Ireland als gemeinsam mit Facebook verantwortlich angesehen werden. Schließlich kann davon ausgegangen werden kann, dass Fashion ID und Facebook Irland gemeinsam über die Zwecke und Mittel entscheiden. Die Gemeinsame Verantwortlichkeit hat aber Grenzen. Fashion ID kann für alle Datenverarbeitungsvorgänge, die Facebook Ireland nach der Übermittlung der Daten vornimmt, nicht als mitverantwortlich angesehen werden kann. Es erscheint nach Auffassung des EuGH nämlich auf den ersten Blick ausgeschlossen, dass Fashion ID über die Zwecke und Mittel dieser Vorgänge entscheidet.

Konsequenzen einer Gemeinsamen Verantwortlichkeit

Neben der von Art. 26 DS-GVO verlangten transparenten Vereinbarungen hat der EuGH nun noch weitere Folgen einer Gemeinsamen Verantwortlichkeit definiert. Der Gerichtshof betont, dass der Betreiber einer Website wie Fashion ID für bestimmte Vorgänge wie das Erheben der Daten und deren Übermittlung an Facebook Ireland als (Mit)Verantwortlicher seinen Besuchern bestimmte Informationen zu geben hat, wie beispielsweise seine Identität und die Zwecke der Verarbeitung. Diese Informationen sind – genauso wie bei den Informationspflichten nach Art. 13 DS-GVO – „zum Zeitpunkt des Erhebens“ bereitzustellen.

Letztes Update:29.07.19

  • Gemeinsame Verantwortlichkeit: Die neue Auftragsverarbeitung?

    Gemeinsame Verantwortlichkeit: Die neue Auftragsverarbeitung?

    Seminar

    2019-09-05, 08:00 | Köln

    1059.10 € Mehr erfahren
  • Websites datenschutzkonform gestalten

    Websites datenschutzkonform gestalten

    Seminar

    833.00 € Mehr erfahren
  • Office 365

    Risiken bei der Nutzung von Office 365

    Die Landesbeauftragte für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen (LfDI) nimmt zahlreiche Nachfragen zur cloud-basierten Bürosoftware Office 365 von Microsoft zum Anlass, den Einsatz der Software im Hinblick auf die Sicherheit und Rechtmäßigkeit der Verarbeitung personenbezogener Daten genauer zu betrachten. Der Senat der Freien Hansestadt Bremen hat bereits angekündigt, Microsoft Office 365 aufgrund der

    Mehr erfahren
  • Wegweiser

    BfDI startet Transparenz-Offensive

    Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hat sich entschlossen, Inhalte seiner Arbeit in zunehmendem Maße der Öffentlichkeit bereitzustellen. In einem ersten Schritt stellt die Behörde Reden und Gastbeiträge des BfDI sowie aufgrund von IFG-Anfragen herausgegebene Informationen auf der eigenen Website ein. Für Datenschutzbeauftragte und Datenschutzverantwortliche dürften insbesondere die veröffentlichten Kontrollberichte interessant sein, die bereits in einem IFG-Verfahren

    Mehr erfahren
  • Weihnachtsgruß per E-mail

    Zulässigkeit von Weihnachtsgrüßen per E-Mail

    Frage GDD-Erfa-Kreis Coburg: Einmal im Jahr verschickt unsere Schwesterfirma an Weihnachten Weihnachtsgrüße per E-Mail. Hierbei handelt es sich um Interessenten aus Kaltakquisen, Stammkunden und gekauften Adressen. Ist dies ohne vorherige Einwilligung rechtlich zulässig? Antwort des BayLDA: Bei bestehenden Kontakt-/Kundenbeziehungen („Bestandskunden“) ist E-Mail- oder SMS-Werbung, Newsletter-Zusendung, usw. (weiterhin) zulässig, wenn die elektronischen Kontaktdaten im Zusammenhang mit

    Mehr erfahren