Neues EuGH-Urteil zur gemeinsamen Verantwortlichkeit

Bundeskartellamt beschränkt das Zusammenführen von Nutzerdaten

Der Europäische Gerichtshof (EuGH) in Luxemburg hat heute ein neues Urteil (C-40/17) zur Gemeinsamen Verantwortlichkeit erlassen. Ausgangspunkt war das Einbinden des „Gefällt mir“- Buttons von Facebook auf einer Internetseite eines deutschen Online-Händler für Modeartikel. Dies hatte zur Folge, dass beim Aufrufen der Website die personenbezogenen Daten dieses Besuchers an Facebook Ireland übermittelt werden. Offenbar erfolgte diese Übermittlung im Verborgenen, ohne dass sich der Besucher dessen bewusst ist und unabhängig davon, ob er Mitglied des sozialen Netzwerks Facebook ist oder den „Gefällt mir“-Button angeklickt hat.

Urteil bezieht sich noch auf EG-Datenschutzrichtlinie aus 1995

Das mit dem Rechtsstreit im Ausgangsverfahren befasste Oberlandesgericht (OLG) Düsseldorf hat dem EuGH sechs Vorlagefragen vorgelegt. Damit verfolgte das Gericht die Auslegung einer Reihe von Bestimmungen der früheren EG-Datenschutzrichtlinie von 1995. Diese wurde durch die neue Datenschutz-Grundverordnung (DS-GVO) mit Wirkung vom 25. Mai 2018 ersetzt. Dennoch sind die Aussagen der EuGH-Rechtsprechung von Bedeutung, da sich die Gemeinsame Verantwortlichkeit auch in der DS-GVO in Art. 26 wiederfindet.

Verbandsklagebefugnis bestätigt

Die Entscheidung widmet sich nicht allein der Gemeinsamen Verantwortlichkeit. Nicht zu übersehen im EuGH-Urteil ist, dass es Verbänden zur Wahrung von Verbraucherinteressen („Verbraucherschutzverbände“) erlaubt ist, gegen den mutmaßlichen Verletzer von Datenschutzregeln Klage zu erheben. Der Gerichtshof weist darauf hin, dass die neue DS-GVO nunmehr ausdrücklich diese Möglichkeit vorsieht.

Gemeinsame Verantwortlichkeit mit Facebook – aber nicht grenzenlos

Mit der Einbindung des „Gefällt mir“-Buttons in eine Website scheint der Mode-Händler stillschweigend in das Erheben personenbezogener Daten seiner Websiten-Besucher und deren Weitergabe eingewilligt zu haben. Deswegen kann die entsprechende Firma, Fashion ID, für die Vorgänge des Erhebens der in Rede stehenden Daten und deren Weiterleitung durch Übermittlung an Facebook Ireland als gemeinsam mit Facebook verantwortlich angesehen werden. Schließlich kann davon ausgegangen werden kann, dass Fashion ID und Facebook Irland gemeinsam über die Zwecke und Mittel entscheiden. Die Gemeinsame Verantwortlichkeit hat aber Grenzen. Fashion ID kann für alle Datenverarbeitungsvorgänge, die Facebook Ireland nach der Übermittlung der Daten vornimmt, nicht als mitverantwortlich angesehen werden kann. Es erscheint nach Auffassung des EuGH nämlich auf den ersten Blick ausgeschlossen, dass Fashion ID über die Zwecke und Mittel dieser Vorgänge entscheidet.

Konsequenzen einer Gemeinsamen Verantwortlichkeit

Neben der von Art. 26 DS-GVO verlangten transparenten Vereinbarungen hat der EuGH nun noch weitere Folgen einer Gemeinsamen Verantwortlichkeit definiert. Der Gerichtshof betont, dass der Betreiber einer Website wie Fashion ID für bestimmte Vorgänge wie das Erheben der Daten und deren Übermittlung an Facebook Ireland als (Mit)Verantwortlicher seinen Besuchern bestimmte Informationen zu geben hat, wie beispielsweise seine Identität und die Zwecke der Verarbeitung. Diese Informationen sind – genauso wie bei den Informationspflichten nach Art. 13 DS-GVO – „zum Zeitpunkt des Erhebens“ bereitzustellen.

Letztes Update:29.07.19

  • Gemeinsame Verantwortlichkeit: Die neue Auftragsverarbeitung?

    Gemeinsame Verantwortlichkeit: Die neue Auftragsverarbeitung?

    Seminar

    1059.10 € Mehr erfahren
  • Websites datenschutzkonform gestalten

    Websites datenschutzkonform gestalten

    Seminar

    833.00 € Mehr erfahren
  • Ersetzendes Scannen

    BSI veröffentlicht Handlungshilfe für ersetzendes Scannen

    Das sogenannte Ersetzende Scannen beschreibt einen Prozess, in dessen Verlauf ein Dokument unter Beachtung strenger Vorschriften in eine digitale Form umgewandelt und die Papierform im Anschluss vernichtet werden darf. Der Prozess stellt dabei sicher, dass das Dokument danach in der digitalen Form die gleichen Eigenschaften wie das Original behält und eine entsprechende rechtliche Gültigkeit aufweist.

    Mehr erfahren
  • Berufsgeheimnisträger und unverschlüsselter E-Mail-Versand

    Die Frage, ob Anwältinnen und Anwälte unverschlüsselt per E-Mail mit Mandanten kommunizieren dürfen, ohne gegen die Pflicht zur Verschwiegenheit zu verstoßen, war in jüngster Vergangenheit öfter ein Streitpunkt.  Datenschutz-Aufsichtsbehörden betrachteten die Fragestellung noch genereller und stellten diese Frage für jegliche Berufsgeheimnisträger, so bspw. auch für Ärzte (Tätigkeitsbericht 2017/18 – Bayerisches Landesamt für Datenschutzaufsicht, S. 94, Ziffer

    Mehr erfahren
  • EU-Parlament kritisirt Privacy Shield

    Nach dem Ende des Privacy-Shields: GDD gibt Handlungsempfehlungen

    Der EuGH hat das EU-Privacy Shield mit seinem Urteil vom 16.07.2020 (Az: C‑311/18) für ungültig erklärt und an die Pflichten für Datenexporteure und Datenimporteure bei Anwendung der EU-Standardvertragsklauseln, insbesondere hinsichtlich einer rechtskonformen Datenübermittlung, erinnert. Datenexportierende verantwortliche Stellen mit Sitz in der Europäischen Union oder in Ländern des Europäischen Wirtschaftsraums stehen nun vor der Herausforderung, wie personenbezogene Daten

    Mehr erfahren