Der Europäische Gerichtshof zur Verantwortung eines Websitebetreibers bei Einbindung des „Gefällt mir“-Buttons von Facebook: Urteil in der Rechtssache C-40/70 vom 29.07.2019
Seit Beginn der Anwendung der Datenschutz-Grundverordnung (DS-GVO) am 25.05.2018 stellt die gesetzeskonforme Verarbeitung personenbezogener Daten im Internet für Unternehmen eine Herausforderung dar. Auf Vorlage eines deutschen Gerichts entschied nun der Europäische Gerichtshof über die Frage der Verantwortung eines Websitebetreibers bei Einbindung des „Gefällt mir“-Buttons von Facebook.
In dem an den Gerichtshof vorgelegten Fall verklagte eine Verbraucherzentrale - ein gemeinnütziger Verband - einen Online-Händler und warf ihm vor, personenbezogene Daten der Besucher seiner Website ohne deren Einwilligung und unter Verstoß gegen die Informationspflichten nach den Vorschriften über den Schutz personenbezogener Daten an Facebook Ireland übermittelt zu haben. Der Online-Händler band zuvor auf seiner Website den „Gefällt mir“-Button von Facebook ein, was anscheinend zur Folge hatte, dass beim Aufrufen der Website durch einen Besucher seine personenbezogenen Daten an Facebook Ireland übermittelt wurden. Offenbar erfolgt diese Datenübermittlung, ohne dass der Website-Besucher dessen bewusst ist und unabhängig davon, ob er Mitglied des sozialen Netzwerks Facebook ist oder den Button „Gefällt mir“ angeklickt hat.
In seinem Urteil stellt der Gerichtshof zunächst klar, dass eine Verbandsklage gegen mutmaßliche Verletzer der datenschutzrechtlichen Vorschriften zur Wahrung von Verbraucherinteressen in der Datenschutz-Grundverordnung ausdrücklich vorgesehen ist.
Weiterhin kann nach Auffassung des Gerichtshofs ein Online-Händler für die Vorgänge des Erhebens der personenbezogenen Daten der Websitebesucher und deren Weiterleitung durch Übermittlung an Facebook Ireland als gemeinsam mit Facebook verantwortlich angesehen werden. Begründet wird dies damit, dass der Online-Händler und Facebook Ireland gemeinsam über Zwecke und Mittel der Datenerhebung und Weiterleitung entscheiden.
Dagegen sieht der Europäische Gerichtshof die Verantwortung für Verarbeitungsvorgänge nach der Übermittlung der Daten an Facebook bei Facebook Ireland. Bei der Beurteilung dieser Frage hält es der Gerichtshof für ausgeschlossen, dass der Online-Händler über die Mittel und Zwecke dieser Vorgänge entscheidet.
Der Gerichtshof betont außerdem, dass Websitebetreiber den Besuchern seiner Website zum Zeitpunkt des Erhebens ihrer personenbezogenen Daten bestimmte Informationen (wie z. B. seine Identität, Zwecke der Verarbeitung usw.) zu erteilen haben.
Das Erheben und die Verarbeitung der Daten kann ein Websitebetreiber nicht nur auf eine vorher eingeholte Einwilligung der betroffenen Personen stützen, sondern unter Umständen auch durch die Wahrnehmung eines berechtigten Interesses rechtfertigen. Die Frage danach, welche der genannten Rechtsgrundlagen in welchem Fall heranzuziehen ist, lässt sich jedoch nicht pauschal beantworten. Vielmehr muss es anhand eines konkreten Sachverhalts beurteilt werden.