Gemeinsame Verantwortlichkeit mehrerer Datenverarbeiter

Der EuGH zu gemeinsamer Verantwortlichkeit mehrerer Datenverarbeiter, berechtigtem Interesse des Verantwortlichen, Informationspflichten und Klagebefugnis von Verbänden

Odoo • A picture with a caption

Der EuGH hatte über eine Vorlage mit Fragen des OLG Düsseldorf in einem Rechtsstreit mit (verkürzt) folgendem Sachverhalt zu entscheiden.

Die Fa. Fashion ID, ein Online-Händler für Modeartikel, band in ihre Website das Social Plugin „Gefällt mir“ des sozialen Netzwerks Facebook (im Folgenden: „Gefällt mir“-Button von Facebook) ein.
Nach dem OLG ist es eine Eigenart des Internets, dass der Browser des Internetbesuchers Inhalte aus verschiedenen Quellen darstellen kann. So können beispielsweise Fotos, Videos, Newsfeeds sowie auch der vorliegend in Rede stehende „Gefällt mir“-Button von Facebook in eine Website eingebunden und dort dargestellt werden. Will der Betreiber einer Website derartige Drittinhalte einbinden, setzt er auf dieser Website einen Verweis auf den externen Inhalt. Stößt der Browser des Besuchers auf einen derartigen Verweis, fordert er den Inhalt von dem Drittanbieter an und fügt ihn an der gewünschten Stelle in die Darstellung der Website ein. Hierzu übermittelt der Browser dem Server des Drittanbieters die IP-Adresse des Rechners dieses Besuchers sowie die technischen Informationen des Browsers, damit der Server feststellen kann, in welchem Format der Inhalt an welche Adresse auszuliefern ist. Daneben übermittelt der Browser auch Informationen zu dem gewünschten Inhalt. Welche Informationen der Browser übermittelt und was der Drittanbieter mit diesen Informationen macht, insbesondere, ob er diese speichert und auswertet, kann der den Drittinhalt auf seiner Website einbindende Betreiber nicht beeinflussen.
Speziell hinsichtlich des „Gefällt mir“-Buttons von Facebook scheint aus der Vorlageentscheidung hervorzugehen, dass beim Aufrufen der Website von Fashion ID durch einen Besucher aufgrund der Einbindung dieses Buttons in die Website personenbezogene Daten dieses Besuchers an Facebook Ireland übermittelt werden. Offenbar erfolgt diese Übermittlung, ohne dass sich der Besucher dessen bewusst ist und unabhängig davon, ob er Mitglied des sozialen Netzwerks Facebook ist oder den „Gefällt mir“-Button von Facebook anklickt.
Die Verbraucherzentrale NRW, ein gemeinnütziger Verband zur Wahrung von Verbraucherinteressen, wirft Fashion ID vor, personenbezogene Daten der Besucher ihrer Website ohne deren Einwilligung und unter Verstoß gegen die Informationspflichten nach den Vorschriften über den Schutz personenbezogener Daten an Facebook Ireland übermittelt zu haben.

Vorlage/Fragen des OLG Düsseldorf und die Entscheidung des EuGH (stark verkürzt):

1.    Steht die Regelung in den Art. 22, 23 und 24 der Richtlinie 95/46 einer nationalen Regelung entgegen, die neben den Eingriffsbefugnissen der Datenschutzbehörden und den Rechtsbehelfsmöglichkeiten des Betroffenen gemeinnützigen Verbänden zur Wahrung der Interessen der Verbraucher die Befugnis einräumt, im Falle von Verletzungen gegen den Verletzer vorzugehen?

EuGH: Nach alledem ist auf die erste Frage zu antworten, dass die Art. 22 bis 24 der Richtlinie 95/46 dahin auszulegen sind, dass sie einer nationalen Regelung, die es Verbänden zur Wahrung von Verbraucherinteressen erlaubt, gegen den mutmaßlichen Verletzer von Vorschriften zum Schutz personenbezogener Daten Klage zu erheben, nicht entgegenstehen.

2.    Ist in einem Fall wie dem vorliegenden, bei dem jemand einen Programmcode in seine Website einbindet, der den Browser des Benutzers veranlasst, Inhalte von einem Dritten anzufordern und hierzu personenbezogene Daten an den Dritten zu übermitteln, der Einbindende „für die Verarbeitung Verantwortlicher“ im Sinne von Art. 2 Buchst. d der Richtlinie 95/46, wenn er selber diesen Datenverarbeitungsvorgang nicht beeinflussen kann?

EuGH: Nach alledem ist auf die zweite Frage zu antworten, dass der Betreiber einer Website wie Fashion ID, der in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, als für die Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 angesehen werden kann. Diese Verantwortlichkeit ist jedoch auf den Vorgang oder die Vorgänge der Datenverarbeitung beschränkt, für den bzw. für die er tatsächlich über die Zwecke und Mittel entscheidet, d. h. das Erheben der in Rede stehenden Daten und deren Weitergabe durch Übermittlung.

Nach dieser Antwort musste auf die 3. Frage nicht mehr eingegangen werden.

4.    Auf wessen „berechtigte Interessen“ ist in einer Konstellation wie der vorliegenden bei der nach Art. 7 Buchst. f der Richtlinie 95/46 vorzunehmenden Abwägung abzustellen? Auf das Interesse an der Einbindung von Drittinhalten oder auf das Interesse des Dritten?

Demnach ist auf die vierte Frage zu antworten, dass es in einer Situation wie der im Ausgangsverfahren in Rede stehenden, in der der Betreiber einer Website in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, erforderlich ist, dass der Betreiber und der Anbieter mit diesen Verarbeitungsvorgängen jeweils ein berechtigtes Interesse im Sinne von Art. 7 Buchst. f der Richtlinie 95/46 wahrnehmen, damit diese Vorgänge für jeden Einzelnen von ihnen gerechtfertigt sind.

5.    Wem gegenüber muss die nach Art. 7 Buchst. a und Art. 2 Buchst. h der Richtlinie 95/46 zu erklärende Einwilligung in einer Konstellation wie der vorliegenden erfolgen?

und

6.    Trifft die Informationspflicht des Art. 10 der Richtlinie 95/46 in einer Situation wie der vorliegenden auch den Betreiber der Website, der den Inhalt eines Dritten eingebunden hat und so die Ursache für die Verarbeitung personenbezogener Daten durch den Dritten setzt?

EuGH zu Fragen 5. und 6.: Nach alledem ist auf die fünfte und die sechste Frage zu antworten, dass Art. 2 Buchst. h und Art. 7 Buchst. a der Richtlinie 95/46 dahin auszulegen sind, dass in einer Situation wie der des Ausgangsverfahrens, in der der Betreiber einer Website in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, die nach diesen Vorschriften zu erklärende Einwilligung von dem Betreiber nur in Bezug auf den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten einzuholen ist, für den bzw. für die dieser Betreiber tatsächlich über die Zwecke und Mittel entscheidet. Darüber hinaus ist Art. 10 dieser Richtlinie dahin auszulegen, dass in einer solchen Situation auch die in dieser Bestimmung vorgesehene Informationspflicht den Betreiber trifft, wobei dieser die betroffene Person jedoch nur in Bezug auf den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten informieren muss, für den bzw. für die dieser Betreiber tatsächlich über die Zwecke und Mittel entscheidet.

Fazit:

Das Spannende an der Entscheidung ist, dass der EuGH für die Verarbeitung von personenbezogenen Daten durch z.B. Social Plugins oder sonstige Drittanbieter-Scripts, die auf Websites implementiert werden, die Einwilligung nicht für die einzig mögliche Rechtsgrundlage hält. Im Einzelfall kann auf Basis des berechtigten Interesses des Verantwortlichen (also Art. 6 Abs. 1 lit. f) DSGVO) unter Durchführung (und natürlich Dokumentation derselben) der gesetzlich geforderten Interessenabwägung eine zulässige Verarbeitung von personenbezogenen Daten erfolgen.
Das hat der EuGH zumindest dem Grunde nach bestätigt und insoweit einige Vorgaben für die Interessenabwägung gemacht (s.u.).

Ansonsten:

Bei der Einbindung von Scripts von Drittanbietern wird häufig für Teile der Datenverarbeitung eine gemeinsame Verantwortlichkeit i.S.d. Art. 26 DSGVO vorliegen, für eine entsprechende Vereinbarung getroffen werden muss.
Der EuGH hat gerade nicht entschieden, dass für die Verwendung von Cookies eine Einwilligung erforderlich ist.
Anbieter von Internetseiten sollten, bei der Einbindung von Scripts, Pixeln etc, die zu Aufrufen von Servern Dritter führen, absolute Zurückhaltung bewahren und wirklich für sich prüfen, ob diese Aufrufe für den Betrieb der Website erforderlich sind. Nur dann eröffnen sich Möglichkeiten für Lösungen, die nicht auf einer Einwilligung beruhen.

Hinweise des Gerichts zu der diesbezüglich durchzuführenden Interessenabwägung:
Die Verarbeitung personenbezogener Daten kann zulässig sein, wenn sie zur Verwirklichung des berechtigten Interesses erforderlich ist, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, sofern nicht das Interesse oder die geschützten Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.
Für die Zulässigkeit der Verarbeitung personenbezogener Daten sind drei kumulative Voraussetzungen zu berücksichtigen: 1. berechtigtes Interesse, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, 2. Erforderlichkeit der Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses und 3. kein Überwiegen der Grundrechte und Grundfreiheiten der betroffenen Person.

Empfehlungen für Unternehmen

Aus Unternehmenssicht empfiehlt es sich, bei schon bestehender oder bei Eingehen einer Kooperation eindeutig die Aufgaben der jeweiligen Beteiligten konkret zu definieren und die mit der Datenverarbeitung verfolgten Zwecke zu dokumentieren. Dabei ist es regelmäßig die größte Herausforderung, die gemeinsamen Verarbeitungsvorgänge von den übrigen Verarbeitungsvorgängen unter jeweils eigener Verantwortlichkeit voneinander abzugrenzen. Diese Abgrenzung ist zwingende Voraussetzung, um eine Joint-Controllership-Vereinbarung sachlich richtigen Umfangs mit interessengerechten Inhalten abzuschließen.

Für den Einsatz von Social Plugins empfiehlt sich eine technische Lösung, bei der Datenflüsse an den Plugin-Anbieter nicht bereits beim Aufruf der Webseite ausgelöst werden (z.B. Shariff), sodass eine vorherige Einwilligung – soweit erforderlich – eingeholt werden kann. Dieses Vorgehen bietet sich auch dann an, wenn auf Grundlage der Interessenabwägung verarbeitet wird, da das Mitwirken des Nutzers in Kenntnis der Auswirkungen die Rechtfertigung zu Gunsten des Verantwortlichen beeinflussen kann.

Link zum Urteil EuGH, 29.07.2019, C-40/17