Der EuGH hat entschieden, dass Website-Betreiber, die Social Plugins (hier Facebook Like-Button) einbinden, zusammen mit dem Diensteanbieter verantwortlich für die Verarbeitung sind. Demnach haften sie auch für Verstöße gegen das Datenschutzrecht.
WEBSITE-BETREIBER IST (GEMEINSAM) VERANTWORTLICHER
Ein Verbraucherschutzverein hatte einen deutschen Online-Shop abgemahnt, weil dieser ohne Einwilligung oder Information der Nutzer personenbezogene Daten an Facebook weitergegeben haben soll. Konkret hatte der Website-Betreiber seinen Nutzern die Möglichkeit geboten, den Facebook „Gefällt mir“-Button zu klicken. Dabei werden jedoch personenbezogene Daten an Facebook Ireland weitergegeben – unabhängig ob man einen Facebook-Account hat oder den „Gefällt mir“-Button anklickt.
Das OLG Düsseldorf hatte dem EuGH mehrere Fragen zur Entscheidung vorgelegt. Neben der Verantwortlichkeit bei der Einbindung von Drittinhalten (hier Social Plugins) ging es darum, ob ein gemeinnütziger Verein berechtigt ist, Website-Betreiber wegen Verstößen gegen datenschutzrechtliche Vorgaben abzumahnen und auf Unterlassung in Anspruch zu nehmen.
Das Urteil bezieht sich noch auf die europäische Datenschutzrichtlinie, die mittlerweile durch die Datenschutzgrundverordnung (DS-GVO) ersetzt wurde.
Was sind Drittinhalte oder Social Plugins?
Drittinhalte sind Inhalte, die zwar auf der Website des Betreibers vom Browser dargestellt werden, auf die der Betreiber jedoch lediglich verweist. So können dann Bilder, Videos, Newsfeeds oder eben auch, wie hier geschehen, der „Gefällt mir“-Button von Facebook eingebunden werden. Die Entscheidung des EuGH umfasst also nicht lediglich Social Plugins, sondern sämtliche Inhalte von Drittanbietern, die personenbezogene Daten der Nutzer verarbeiten.
Das perfide – gerade bei Social Plugins – ist der Umstand, dass man nicht mit dem Plugin interagieren muss (bspw. klicken des „Gefällt mir“-Buttons) oder gar einen Account bei dem entsprechenden sozialen Netzwerk haben muss, damit diese die Daten der Nutzer verarbeiten.
Aber auch Drittinhalte, die nicht unbedingt ein Social Plugin darstellen, sind in jedem Einzelfall daraufhin zu untersuchen, ob personenbezogene Daten verarbeitet werden.
Wer ist Verantwortlicher bei Drittinhalten?
Der EuGH entschied, dass in solchen Fällen eine gemeinsame Verantwortlichkeit des Website-Betreibers und des Drittanbieters gegeben ist. Somit sind auch beide grundsätzlich für die widerrechtliche Verarbeitung haftbar zu machen.
Die Verantwortlichkeit des Website-Betreibers und somit auch dessen Haftung ist allerdings auf die Verarbeitung beschränkt, bei der er über Zwecke und Mittel entscheidet. Das bedeutet, dass der Website-Betreiber, der bspw. ein Social Plugin auf seiner Website einbindet für die Erhebung und die Übermittlung der personenbezogenen Daten (mit-) verantwortlich ist. Seine Haftung erstreckt sich demnach nicht auf die weiteren Verarbeitungsvorgänge durch den Drittanbieter.
Informationspflichten und Einwilligung bei Social Plugins (Drittinhalten)
Dies bedeutet jedoch im Umkehrschluss auch, dass der Website-Betreiber nur insoweit über die Verarbeitungsvorgänge aufzuklären hat, wie er auch über Zwecke und Mittel entscheidet. Bei der Einbindung von Drittinhalten, also über Erhebung und Übermittlung der Daten.
Ebenso muss sich die Einwilligung der Nutzer auch nur auf die konkreten Verarbeitungsvorgänge erstrecken. Schließlich hat der Website-Betreiber in den meisten Fällen kein Wissen darüber, wie die Daten beim Drittanbieter verarbeitet werden.
Klagerecht von Verbraucherverbänden nicht europarechtswidrig
Das national ausgestaltete Klagerecht gemeinnütziger Vereine und Verbände widerspricht laut dem EuGH nicht dem europäischen Recht. Zwar seien Rechtsbehelfe gemäß der Richtlinie nur für betroffene Personen vorgesehen, aber wenn nationales Recht – zwecks der besseren Durchsetzung des europäischen Rechts – solche Klagemöglichkeiten vorsieht, sei dies kein Widerspruch. Die Richtlinie liegt laut EuGH lediglich abschließend fest, wann ein Datenschutzverstoß anzunehmen sei. Die dort aufgeführten Rechtsbehelfe hingegen seien nicht abschließend.
Dass die Datenschutzrichtlinie nunmehr von der DS-GVO abgelöst wurde dürfte nicht zu einem anderen Ergebnis führen.
Dieser Artikel erhebt keinen Anspruch auf Vollständigkeit und ersetzt keinesfalls eine anwaltliche Beratung.