Für die Erhebung und Übermittlung der Daten bei Implementierung des Like-Buttons sind Internetseitenbetreiber und das soziale Netzwerk gemeinsam verantwortlich –
dies entschied der EuGH im Urteil v. 29.07.2019, Az. C-40/17.
Sachverhalt
Der Online-Shop des Modehauses Peek & Cloppenburg „FashionID“ hatte das Social Plugin „Gefällt mir“ des sozialen Netzwerks Facebook eingebunden. Beim Aufruf der Seite wurden personenbezogene Daten wie IP-Adresse, Webbrowser-Kennung des Besuchers sowie Datum und Zeit des Aufrufs automatisch erhoben und an Facebook weitergeleitet. Die Übermittlung erfolgte ohne dass sich der Besucher dessen bewusst war und unabhängig davon, ob er Mitglied des sozialen Netzwerks war oder den „Gefällt mir“-Button angeklickt hatte. Die Verbraucherzentrale Nordrhein-Westfalen hielt dies für rechtswidrig und forderte FashionID auf, den Like-Button so nicht mehr zu benutzen. In der zweiten Instanz legte das OLG Düsseldorf die Entscheidung dem EuGH vor.
Betreiber von Internetseiten mit der Einbindung eines Like-Buttons sind, ähnlich wie Betreiber von Fanpages, für die Erhebung und Übermittlung von personenbezogenen Daten gemeinsam mit dem sozialen Netzwerk verantwortlich.
Vorab ist zu sagen, dass die Entscheidung noch auf der alte Datenschutzrichtlinie (RL 95/46/EG) basiert, welche durch die DSGVO am 25.05.2018 abgelöst wurde. Sie lässt sich allerdings auch auf die aktuell geltende Rechtslage übertragen.
Der EuGH ist der Ansicht, dass ein Betreiber einer Website, der in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieser Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, als für die Verarbeitung Verantwortlicher im Sinne von Art. 2 d) der Datenschutzrichtlinie (RL 95/46 EG) angesehen werden kann. Diese Verantwortlichkeit sei allerdings auf den Vorgang oder die Vorgänge der Datenverarbeitung beschränkt, für den bzw. für die er tatsächlich über die Zwecke und Mittel entscheidet, d.h. das Erheben der in Rede stehenden Daten und deren Weitergabe durch Übermittlung. Es sei zudem erforderlich, dass der Betreiber und der Anbieter mit diesen Verarbeitungsvorgängen jeweils ein berechtigtes Interesse i.S.d. Art. 7 f) der Datenschutzrichtlinie wahrnehmen, damit diese Vorgänge für jeden Einzelnen von ihnen gerechtfertigt sei. Darüber hinaus sei die, nach Art. 2 h) und Art. 7 a) der Datenschutzrichtlinie zu erklärende Einwilligung, von dem Betreiber nur in Bezug auf den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten einzuholen, für den bzw. für die dieser Betreiber tatsächlich über die Zwecke und Mittel entscheidet. Im Zuge der Entscheidung stellte der EuGH zudem klar, dass nationale Regelungen, die es Verbänden zur Wahrung von Verbraucherinteressen erlaubt, gegen den mutmaßlichen Verletzer von Vorschriften zum Schutz personenbezogener Daten Klage zu erheben, den Art. 22 bis 24 der Datenschutzrichtlinie nicht entgegenstehen.
Autorin: Isabelle Haaf