Von Karsten Groeger.
Erst am 05.06.2018 hat der Europäische Gerichtshof (EuGH) entschieden, dass der Betreiber einer s.g. Facebbook-Fanpage unter bestimmten Umständen gemeinsam mit dem Facebook-Konzern für die Datenerhebung und -verarbeitung, die über diese Fanpage erfolgt, verantwortlich ist (Az. C-210/16). Jetzt müssen sich die obersten EU-Richter erneut mit einer Komponente aus dem Hause Facebook beschäftigen: Dem Like-Button. Es geht auch hier wieder um die Frage, inwieweit derjenige, der den ikonischen blauen Daumen in seine Webseiten integriert und auf diese Weise personenbezogene Besucherdaten an Facebook übermittelt, gemeinsam mit Facebook datenschutzrechtlich verantwortlich ist. Die s.g. “gemeinsame Verantwortlichkeit” im datenschutzrechtlichen Sinne steht also auch im hiesigen Fall wieder im Vordergrund.
Ausgangslage: Streit um den Like-Button
Im Ausgangsfall hatte die Verbraucherzentrale des Landes Nordrhein-Westfalen, die Klägerin, Anstoß am Internetauftritt eines Online-Händlers für Bekleidung und Textilien, der Beklagten, genommen. Diese hatte innerhalb ihrer Webseite an mehreren Stellen den Like-Button von Facebook eingebunden. Die Implementierung dieses Tools führt dazu, dass u.a. s.g. Logfile-Daten des Besuchers zusammen mit Daten zu dessen Surfverhalten (IP-Adresse, Referrer-URL, genutzter Browsertyp, Betriebssystem, Verweildauer u.a.) an Facebook übermittelt werden – und zwar unabhängig davon, ob der Nutzer den Button tatsächlich anklickt oder nicht. Eigenen Zugriff auf die Daten hatte die Beklagte hingegen nicht. Der Besucher ist von der Beklagten über diese Datenübermittlung weder informiert worden noch wurde im Vorfeld eine Einwilligung der betroffenen Besucher eingeholt.
LG Düsseldorf: Datenschutz ist Marktverhaltensregel
Die Klägerin erhob Klage vor dem Landgericht Düsseldorf und beantragte, die Beklagte zu verurteilen, die mittels Like-Button veranlasste Datenerhebung und -verarbeitung zu unterlassen, solange und soweit der Besucher nicht im Vorfeld darüber informiert wurde und nicht eingewilligt hat. Das Landgericht gab der Klage statt (Az. 12 O 151/15). Es verurteilte die Beklagte, es zu unterlassen
im Internet auf der Seite www.G.de das Social Plugin „Gefällt mir“ von G1 (G1 Inc. bzw. G1 Ltd.) zu integrieren,
- ohne die Nutzer der Internetseite bis zu dem Zeitpunkt, in dem der Anbieter des Plugins beginnt, Zugriff auf die IP-Adresse und den Browserstring des Nutzers zu nehmen, ausdrücklich und unübersehbar die Nutzer der Internetseite über den Zweck der Erhebung und der Verwendung der so übermittelten Daten aufzuklären, und/oder
- ohne die Einwilligung der Nutzer der Internetseite zu dem Zugriff auf die IP-Adresse und den Browserstring durch den Plugin-Anbieter und zu der Datenverwendung einzuholen, jeweils bevor der Zugriff erfolgt, und/oder
- ohne die Nutzer, die ihre Einwilligung im Sinne des Klageantrags zu 2 erteilt haben über deren jederzeitige Widerruflichkeit mit Wirkung für die Zukunft zu informieren.
Bemerkenswert an dieser Entscheidung ist zunächst einmal, dass das Landgericht offenbar ohne Weiteres davon ausgeht, dass es sich bei den Datenschutzvorschriften des Telemediengesetzes und der (alten) EU-Datenschutzrichtlinie (Richtlinie 95/46/EG) um s.g. Marktverhaltensregeln im Sinne des UWG handelt – mit der Folge, dass diese mit den Instrumenten des Wettbewerbsrechts geltend gemacht werden können.
In der Sache selbst hält das Landgericht sowohl Facebook als auch die Beklagte für die datenschutzrechtlich Verantwortlichen. Selbst wenn die Beklagte selbst zwar keinen Zugriff auf die durch den Like-Button erhobenen und verarbeiteten habe, so bestimme sie doch jedenfalls über das “Ob” der Datenerhebung – nämlich indem sie den Like-Button auf ihrer Internetseite einbinde.
OLG Düsseldorf setzt Verfahren aus
Gegen die Entscheidung des Landgerichts legte die Beklagte Berufung zum Oberlandesgericht Düsseldorf ein. Dieses hat das Verfahren ausgesetzt und die entscheidenden Fragen dem EuGH zu Vorabentscheidung vorgelegt (OLG Düsseldorf, Az. I-20 U 40/16):
- Steht die Regelung in Artikeln 22, 23 und 24 der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr vom 24. Oktober 1995 (ABl. Nr. L 281/31 vom 23.11.1995) einer nationalen Regelung entgegen, die neben den Eingriffsbefugnissen der Datenschutzbehörden und den Rechtsbehelfsmöglichkeiten des Betroffenen gemeinnützigen Verbänden zur Wahrung der Interessen der Verbraucher die Befugnis einräumt, im Falle von Verletzungen gegen den Verletzer vorzugehen? Falls die Frage 1) verneint wird:
- Ist in einem Fall wie dem vorliegenden, bei dem jemand einen Programmcode in seine Webseite einbindet, der den Browser des Benutzers veranlasst, Inhalte von einem Dritten anzufordern und hierzu personenbezogene Daten an den Dritten zu übermitteln, der Einbindende „für die Verarbeitung Verantwortlicher“ im Sinne von Art. 2 Buchstabe d) der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr vom 24. Oktober 1995 (ABl. Nr. L 281/31 vom 23.11.1995), wenn er selber diesen Datenverarbeitungsvorgang nicht beeinflussen kann?
- Falls die Frage 2) zu verneinen ist: Ist Art. 2 Buchstabe d) der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr dahingehend auszulegen, dass er die Haftung und Verantwortlichkeit in dem Sinne abschließend regelt, dass er einer zivilrechtlichen Inanspruchnahme eines Dritten entgegen steht, der zwar nicht „für die Verarbeitung Verantwortlicher“ ist, aber die Ursache für den Verarbeitungsvorgang setzt, ohne diesen zu beeinflussen?
- Auf wessen „berechtigte Interessen“ ist in einer Konstellation wie der vorliegenden bei der nach Art. 7 Buchstabe f) der Richtlinie 95/46/EG vorzunehmende Abwägung abzustellen? Auf das Interesse an der Einbindung von Drittinhalten oder auf das Interesse des Dritten?
- Wem gegenüber muss die nach Art. 7 Buchstabe a) und Art. 2 Buchstabe h) der Richtlinie 95/46/EG zu erklärende Einwilligung in einer Konstellation wie der vorliegenden erfolgen?
- Trifft die Informationspflicht des Art. 10 der Richtlinie 95/46/EG in einer Situation wie der vorliegenden auch den Betreiber der Webseite, der den Inhalt eines Dritten eingebunden hat und so die Ursache für die Verarbeitung personenbezogener Daten durch den Dritten setzt?
Der EuGH hat in der mündlichen Verhandlung am 05.09.2018 bereits eine Tendenz erkennen lassen – und diese steht durchaus im Einklang mit dem EuGH-Urteil zur Fanpage. So komme es für die Frage, wer im datenschutzrechtlichen Sinne “Verantwortlicher” ist, wohl nicht darauf an, ob dieser tatsächlich Zugriff auf die erhobenen Daten habe, sondern nur darauf, wer über die Mittel der Datenverarbeitung (mit)entscheide. Und beim Like-Button verschärft folgende Überlegung die Sachlage im Vergleich zur Fanpage noch einmal erheblich: Wer auf seiner eigenen Webseite den Programmcode, der zur Anzeige des Like-Buttons führt, bewusst einbindet, der macht die über diesen veranlasste spätere Datenübertragung überhaupt erst möglich. Es spricht also durchaus einiges dafür, dass die Luxemburger Richter – folgerichtig – auch im hiesigen Fall von der gemeinsamen Verantwortlichkeit ausgehen werden.
Führt der Like-Button zur Abmahnwelle?
Das zu erwartende Urteil des EuGH dürfte nicht nur für Facebook weitgehende Folgen haben. Letztendlich wird es jeden Webseitenbetreiber betreffen, der die blauen Daumen bisher großzügig eingesetzt hat. Zwar betrifft – wie schon der Rechtsstreit zur Fanpage – auch der hier zu entscheidende Fall noch die Rechtslage nach der alten EU-Datenschutzrichtlinie. Da sich jedoch die in Rede stehenden Pflichten der Verantwortlichen nach der DSGVO verschärft haben, wird die Entscheidung auch mit Blick auf die neue Rechtslage wegweisend sein. So müssen u.a. gemeinsam Verantwortliche – also Webseitenbetreiber und Facebook – einen Vertrag schließen, der regelt, wer welche datenschutzrechtlichen Pflichten erfüllt. Inwieweit Facebook hierzu bereit sein wird, ist mehr als unklar. Auch die zahlreichen zu erfüllenden Informationspflichten dürften Webseitenbetreiber vor schier unüberwindliche Hindernisse stellen, haben sie doch keine Kenntnis darüber, wie die durch den Button vermittelte Datenverarbeitung genau vonstatten geht und zu welchen Zwecken Facebook diese Daten nutzt.
Mit Spannung darf schließlich erwartet werden, wie sich der EuGH zur wettbewerbsrechtlichen Fragestellung äußert – nämlich ob das Datenschutzrecht über den s.g. “Rechtsbruchtatbestand” des § 3a UWG mit den Instrumenten der Abmahnung und Co. von Mitbewerbern durchgesetzt werden kann. Falls der EuGH bei dieser Frage Licht ins Dunkel bringt, dürfte tatsächlich mit einer neuen Abmahnwelle zu rechnen sein – und in der Folge damit, dass noch mehr Nutzer das soziale Netzwerk meiden werden.
Wenn Sie Fragen oder Anmerkungen zum Artikel haben, schreiben Sie uns gerne.