Jan Henrich

EuGH: Betreiber einer Webseite für Facebook-Plug-ins mitverantwortlich


In den Schlussanträgen vom 19.12.2018 (Rs. C-40/17) vertritt der Generalanwalt des EuGH Michal Bobek die Ansicht, dass der Betreiber einer Webseite, auf der ein Social-Media-Plug-in eingebunden wird, in der Phase der Erhebung und Ermittlung der Nutzerdaten durch das Plug-in für die Datenverarbeitung mitverantwortlich ist. Dementsprechend muss der Betreiber der Webseite den Nutzern hinsichtlich dieser Datenverarbeitung die notwendigen Informationen zur Verfügung stellen und ggf. die erforderliche Einwilligung einholen.

Im zu Grunde liegenden Fall hatte ein deutscher Online-Händler für Modeartikel auf seiner Webseite einen Facebook-„Gefällt mir“-Button per Plug-in eingebunden. Beim Besuch der Webseite durch einen Nutzer wurden Facebook automatisch Informationen über dessen IP-Adresse und ein Browser-String übermittelt, unabhängig davon, ob der Nutzer über ein Facebook-Konto verfügte. Zudem wurden verschiedene Arten von Cookies auf dem Gerät des Nutzers gespeichert.

 

Die Verbraucherzentrale NRW hatte gegen die Verwendung des Plug-ins eine Unterlassungsklage erhoben mit der Begründung, die Verwendung des Buttons verstoße gegen Datenschutzrecht. Das OLG Düsseldorf hatte daraufhin das Verfahren dem EuGH vorgelegt und um Auslegung der auf den Fall anwendbaren früheren Datenschutzrichtlinie (RL 95/46/EG) gebeten, die mittlerweile zwar durch Inkrafttreten der DS-GVO (VO 2016/679/EU) abgelöst wurde, in Bezug auf das Informations- und Einwilligungserfordernis aber materiell nicht im Wesentlichen geändert wurde.

 

In seinen Schlussanträgen führt Generalanwalt Bobek zunächst aus, dass die Richtlinie einer nationalen Regelung, die gemeinnützigen Verbänden eine Klagebefugnis zur Wahrung datenschutzrechtlicher Interessen von Verbrauchern einräumt, nicht entgegenstehe. Die Verbraucherzentrale hatte ihre Klage auf Ansprüche aus dem Gesetz gegen den unlauteren Wettbewerb (UWG) gestützt. Der Generalanwalt sieht unter Hinweis auf den kürzlich entschiedenen Fall der Wirtschaftsakademie Schleswig-Holstein (Rs. C-210/16) zudem eine gemeinsame datenschutzrechtliche Verantwortung von Seitenbetreibern und Social-Media-Anbietern. Diese soll sich für den Seitenbetreiber, der das Plug-in einbindet, jedoch nur auf die Verarbeitungsvorgänge beschränken, für die er tatsächlich einen Beitrag leistet.

 

Eine gemeinsame Verantwortung bestehe auch, obwohl die Zwecke der Datenerhebung von Seitenbetreibern und Plug-in-Anbietern unterschiedlich seien, da in beiden Fällen kommerzielle und werbliche Zwecke verfolgt würden. Facebook und die Bekl. hätten vorliegend in der Phase der Erhebung und Übermittlung der betreffenden personenbezogenen Daten gemeinsam die Mittel und Zwecke der Datenverarbeitung festgelegt.

Jan Henrich ist wissenschaftlicher Mitarbeiter am Institut für Europäisches Medienrecht (EMR), Saarbrücken/Brüssel.