1. Home
  2. Neues EuGH-Urteil zur gemeinsamen...
DataAgenda

Neues EuGH-Urteil zur gemeinsamen Verantwortlichkeit

Bundeskartellamt beschränkt das Zusammenführen von Nutzerdaten

Der Europäische Gerichtshof (EuGH) in Luxemburg hat heute ein neues Urteil (C-40/17) zur Gemeinsamen Verantwortlichkeit erlassen. Ausgangspunkt war das Einbinden des „Gefällt mir“- Buttons von Facebook auf einer Internetseite eines deutschen Online-Händler für Modeartikel. Dies hatte zur Folge, dass beim Aufrufen der Website die personenbezogenen Daten dieses Besuchers an Facebook Ireland übermittelt werden. Offenbar erfolgte diese Übermittlung im Verborgenen, ohne dass sich der Besucher dessen bewusst ist und unabhängig davon, ob er Mitglied des sozialen Netzwerks Facebook ist oder den „Gefällt mir“-Button angeklickt hat.

Urteil bezieht sich noch auf EG-Datenschutzrichtlinie aus 1995

Das mit dem Rechtsstreit im Ausgangsverfahren befasste Oberlandesgericht (OLG) Düsseldorf hat dem EuGH sechs Vorlagefragen vorgelegt. Damit verfolgte das Gericht die Auslegung einer Reihe von Bestimmungen der früheren EG-Datenschutzrichtlinie von 1995. Diese wurde durch die neue Datenschutz-Grundverordnung (DS-GVO) mit Wirkung vom 25. Mai 2018 ersetzt. Dennoch sind die Aussagen der EuGH-Rechtsprechung von Bedeutung, da sich die Gemeinsame Verantwortlichkeit auch in der DS-GVO in Art. 26 wiederfindet.

Verbandsklagebefugnis bestätigt

Die Entscheidung widmet sich nicht allein der Gemeinsamen Verantwortlichkeit. Nicht zu übersehen im EuGH-Urteil ist, dass es Verbänden zur Wahrung von Verbraucherinteressen („Verbraucherschutzverbände“) erlaubt ist, gegen den mutmaßlichen Verletzer von Datenschutzregeln Klage zu erheben. Der Gerichtshof weist darauf hin, dass die neue DS-GVO nunmehr ausdrücklich diese Möglichkeit vorsieht.

Gemeinsame Verantwortlichkeit mit Facebook – aber nicht grenzenlos

Mit der Einbindung des „Gefällt mir“-Buttons in eine Website scheint der Mode-Händler stillschweigend in das Erheben personenbezogener Daten seiner Websiten-Besucher und deren Weitergabe eingewilligt zu haben. Deswegen kann die entsprechende Firma, Fashion ID, für die Vorgänge des Erhebens der in Rede stehenden Daten und deren Weiterleitung durch Übermittlung an Facebook Ireland als gemeinsam mit Facebook verantwortlich angesehen werden. Schließlich kann davon ausgegangen werden kann, dass Fashion ID und Facebook Irland gemeinsam über die Zwecke und Mittel entscheiden. Die Gemeinsame Verantwortlichkeit hat aber Grenzen. Fashion ID kann für alle Datenverarbeitungsvorgänge, die Facebook Ireland nach der Übermittlung der Daten vornimmt, nicht als mitverantwortlich angesehen werden kann. Es erscheint nach Auffassung des EuGH nämlich auf den ersten Blick ausgeschlossen, dass Fashion ID über die Zwecke und Mittel dieser Vorgänge entscheidet.

Konsequenzen einer Gemeinsamen Verantwortlichkeit

Neben der von Art. 26 DS-GVO verlangten transparenten Vereinbarungen hat der EuGH nun noch weitere Folgen einer Gemeinsamen Verantwortlichkeit definiert. Der Gerichtshof betont, dass der Betreiber einer Website wie Fashion ID für bestimmte Vorgänge wie das Erheben der Daten und deren Übermittlung an Facebook Ireland als (Mit)Verantwortlicher seinen Besuchern bestimmte Informationen zu geben hat, wie beispielsweise seine Identität und die Zwecke der Verarbeitung. Diese Informationen sind – genauso wie bei den Informationspflichten nach Art. 13 DS-GVO – „zum Zeitpunkt des Erhebens“ bereitzustellen.

Letztes Update:29.07.19

Verwandte Produkte

  • Gemeinsame Verantwortlichkeit: Die neue Auftragsverarbeitung?

    Gemeinsame Verantwortlichkeit: Die neue Auftragsverarbeitung?

    Seminar

    1.059,10 € Mehr erfahren
  • Websites datenschutzkonform gestalten

    Websites datenschutzkonform gestalten

    Seminar

    833,00 € Mehr erfahren

Das könnte Sie auch interessieren

  • Haftung für KI

    KI haftet nicht? – Zurechnung von KI-Falschaussagen

    Ob Chatbot, KI-Übersicht oder halluzinierter Suchalgorithmus – drei Gerichtsentscheidungen in Deutschland ziehen eine klare Linie: Wer KI-Systeme im geschäftlichen Umfeld einsetzt, trägt die volle rechtliche Verantwortung für deren Ausgaben. Mit Urteil vom 12. Mai 2026 hat der 4. Zivilsenat des OLG Hamm entschieden, dass ein Unternehmen für irreführende Qualifikationsangaben seines KI-Chatbots wettbewerbsrechtlich haftet. Im konkreten

    Mehr erfahren
  • Tätigkeitsbericht des DSB

    Tätigkeitsbericht als Steuerungsinstrument für Datenschutzbeauftragte

    Die französische Datenschutzbehörde CNIL jüngst eine Empfehlung samt Mustervorlage für den Tätigkeitsbericht des Datenschutzbeauftragten veröffentlicht. Die Empfehlungen decken sich weitgehend mit der deutschen Praxis – mit einer bemerkenswerten Ausnahme. Obwohl weder DS-GVO noch BDSG einen Tätigkeitsbericht für betriebliche Datenschutzbeauftragte vorschreiben, empfiehlt die CNIL diesen als zentrale Best Practice. Das entspricht der gelebten Praxis auch im

    Mehr erfahren
  • Data Breach Management

    Praxisnahe Handreichung zum Datenpannenmanagement

    Passend zur jüngsten Verwarnung der BVG durch die BlnBDI hat das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) eine strukturierte Handreichung zum Vorgehen bei Datenpannen veröffentlicht – ein nützliches Referenzdokument für Datenschutzverantwortliche, das die wesentlichen Pflichten kompakt und praxisorientiert aufbereitet. Meldepflicht und Risikobewertung als Ausgangspunkt Die Meldepflicht nach Art. 33 DS-GVO liegt stets beim Verantwortlichen –

    Mehr erfahren

  • DataAgenda

    ist das Lösungsportal zum Datenschutzrecht und fokussiert sich auf die inhaltlichen Entwicklungen in diesem Feld. Das DataAgenda-Experten-Team bietet News, Tools und Tipps rund um den Datenschutz.

  • DATAKONTEXT 

    ist einer der führenden Fachinformationsdienstleister in den Bereichen Datenschutz und IT-Sicherheit und bietet Kompetenz aus einer Hand: Fachbücher, Fachzeitschriften und Seminare, Zertifizierung und Beratung.  

WordPress Cookie Hinweis von Real Cookie Banner