NEWS
EUGH (C-40/17) ZU „GEFÄLLT MIR“-BUTTON
30. JULI 2019
Auf die Vorlage des OLG Düsseldorf aus Januar 2017 hat der EuGH (C-40/17) jetzt mit Urteil vom 29.07.2019 spannende Streitfragen entschieden.
Es geht u.a. um die Frage der datenschutzrechtlichen Haftung eines Betreibers, der den „Gefällt mir“-Button von Facebook auf seine Webseiten einbindet, wenn die Daten seines Webseiten-Besuchers dadurch an Facebook weitergeleitet und anschließend durch Facebook genutzt werden. Diese Frage scheint in dieser Konstellation nun weitgehend geklärt zu sein. Der EuGH vertritt dazu eine differenzierte Ansicht: Zwar könne der Webseiten-Betreiber für die Datenverarbeitung zur Verantwortung gezogen werden. „Diese Verantwortlichkeit ist jedoch auf den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten beschränkt, für den bzw. für die er tatsächlich über die Zwecke und Mittel entscheidet, d. h. das Erheben der in Rede stehenden Daten und deren Weitergabe durch Übermittlung.“, meint der EuGH. Was Facebook mit den weitergegebenen Daten anschließend macht, liegt damit allein in der Verantwortung dieses sozialen Netzwerks.
Zwar erging diese Entscheidung auf der Grundlage der mittlerweile durch Art. 94 Abs. 1 DSGVO aufgehobenen Datenschutzrichtlinie (95/46/EG). Aber wir haben keinen Zweifel daran, dass die daraus folgenden Handlungsempfehlungen für die Webseiten-Betreiber auch nach der Datenschutzgrundverordnung lauten:
- Informieren Sie Ihre Besucher über diese Vorgänge der Datenverarbeitung und
- holen Sie deren Einwilligung für die Vorgänge des Erhebens und der Übermittlung der Daten ein oder stellen Sie sicher, dass sowohl Sie als auch das betreffende soziale Netzwerk insoweit berechtigte Interessen wahrnehmen.
Letzteres ist freilich der mögliche Fallstrick. Denn das berechtigte Interesse bestimmt sich seit Ende Mai 2018 nach Art. 6 Abs. 1 Satz 1 lit. f DSGVO. Demgemäß muss die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich sein und es dürfen nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Hier kommt es also auf das Interesse, die Erforderlichkeit und eine Abwägung an. Diese Voraussetzungen mag der Webseiten-Betreiber für sich beurteilen können. Wie will er aber diese Voraussetzungen für das soziale Netzwerk beurteilen, fragen wir uns?
Wer jetzt wegen des Worts „oder“ meint, es würde ausreichen, wenn nur einer der beiden die Voraussetzungen erfüllt, dürfte sich irren. Zum ersten ist der EuGH-Entscheidung (unter Rz. 87 ff./96) klar zu entnehmen, dass sowohl der Betreiber als auch das soziale Netzwerk diese Voraussetzungen erfüllen müssen. Und das sollte nach der DSGVO genauso gelten, weil deren Wortlaut und Zweck sich in diesem Punkt kaum von der Datenschutzrichtline unterscheidet. Zum Zweiten muss die Datenverarbeitung im Übrigen rechtmäßig sein (Paal/Pauly, DSGVO BDSG, 2. A., Art. 6 DSGVO, Rz. 29), so dass es eben auch deswegen auf beide ankommt.
Umso gespannter sind wir, was das OLG Düsseldorf aus der EuGH-Entscheidung macht. Vielleicht gibt es wieder etwas zu berichten.