Nun sag schon EuGH, wie hast Du’s mit der gemeinsamen Verantwortlichkeit?

Noch ist nichts entschieden, allerdings hat der Generalanwalt, Michal Bobek, am 19. Dezember seine Schlussanträge in der Rechtssache C-40/17 – Fashion ID veröffentlicht. Es geht erneut um die Frage der gemeinsamen datenschutzrechtlichen Verantwortlichkeit.

Die Tragweite und Konsequenzen des nun in greifbare Nähe gerückten Urteils, sind viel beschworen. Bobek bringt es in seinen Anträgen auf den Punkt und fragt:

Wird ein wirksamer Schutz besser erreicht, wenn alle für die Sicherstellung dieses Schutzes verantwortlich gemacht werden?“

Worum geht es?

Hintergrund des Vorlageverfahrens ist eine Unterlassungsklage der Verbraucherzentrale NRW gegen einen Onlinehändler (Fashion-ID), der in seine Website ein von Facebook Ireland bereitgestelltes Plugin, den „Like-Button“ eingebunden hatte.

Das OLG Düsseldorf hat dem EuGH unter anderem (s. zum ebenfalls verfahrensgegenständlichen Aspekt der Abmahnfähigkeit von DSGVO Verstößen:  Härting) die Frage vorgelegt, ob,

„in einem Fall (…) bei dem jemand einen Programmcode in seine Webseite einbindet, der den Browser des Benutzers veranlasst, Inhalte von einem Dritten anzufordern und hierzu personenbezogene Daten an den Dritten zu übermitteln, der Einbindende „für die Verarbeitung Verantwortlicher“ im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 [ist], wenn er selber diesen Datenverarbeitungsvorgang nicht beeinflussen kann“.

Der Generalanwalt schlägt dem EuGH vor, den Website-Betreiber als gemeinsam mit dem Drittanbieter Verantwortlichen zu sehen– wenn auch beschränkt auf die Phasen der Erhebung und Übermittlung.

Die Begründung des Generalanwalts

Zu seinem – wenig überraschenden – Vorschlag gelangt der Generalanwalt über eine Zusammenschau einer Reihe von zuletzt ergangenen datenschutzrechtlichen „Blockbuster-Urteilen“ des EuGH:

Zunächst stellt er bei der Frage nach dem Personenbezug der in Rede stehenden IP-Adressen und Browser-Strings, auf die Ausführungen des EuGH in der Sache Breyer ab. Er folgert daraus für eingebundene Plugins oder sonstige Drittinhalte, dass „die Informationen für ihre Einstufung als personenbezogen zwingend die (direkte oder indirekte) Identifizierung der betroffenen Person ermöglichen muss“, was festzutellen jedoch Sache des nationalen Gerichts sei. Dem Urteil Google Spain und Google Inc. (Rn. 34) entnimmt er sodann die weite Auslgeung des Begriffs des „Verantwortlichen“.

In seinem Fanpage-Urteil , so Bobek, sei der EuGH zu der Annahme einer gemeinsamen Verantwortlichkeit des Fanpage-Betreibers schlussendlich dadurch gelangt, dass der Seiten-Betreiber es Facebook ermögliche, „sein System der Werbung (...) zu verbessern“ und selbst den Zweck verfolge, Statistiken zu erhalten, die ihm eine bessere Steuerung seines Angebots ermöglichen. Dass es für die Annahme einer gemeinsamen Verantwortlichkeit hingegen nicht darauf ankäme, ob jeder der Akteure auch tatsächlich Zugang zu den „Früchten der gemeinsamen Arbeit“ hat, entnimmt er schließlich dem Jehovan todistajathob-Urteil des EuGH. Die noch im Fanpage-Urteil des EuGH für die Annahme einer gemeinsamen Verantwortlichkeit geforderte Möglichkeit der Einflussnahme in Form einer Parametierung, sieht der Genralanwalt daher in der Einbindung selbst. Jedoch müsse die Verantwortlichkeit auf die mit der Einbindung in unmittelbaren Zusammenhang stehenden Verarbeitungsschritte beschränkt werden; dabei handele es sich jedenfalls um die Phasen der Erhebung und Übermittlung an Facebook.

Ob dies die einzig mögliche Lesart der vom Generalanwalt angeführten Entscheidungen ist, darf bezweifelt werden. Klar ist allerdings schon jetzt, dass die Wahrscheinlichkeit, dass der EuGH den Website-Betreiber in keinerlei, wie auch immer gearteten Verantwortlichkeit, sehen wird, weiter gesunken ist. Die sich daraus ergebenden Fragen, sieht dann auch der Generalanwalt und fordert den Gerichtshof auf, in seinem Urteil den Begriff der gemeinsamen Verantwortlichkeit schärfer zu konturieren. Man darf gespannt sein, inweiweit dies dem EuGH gelingen wird!

Weitere Fragen

Die weiteren Vorlagefragen bieten dem Gerichtshof durchaus Möglichkeiten, sich auch mit den Konsequenzen für Website-Betreiber zu befassen. Eine Beurteilung der Rechtmäßigkeit der Verarbeitung, wird es zwar auch hier nicht geben. Aber es wird auch darum gehen, ob und auf wessen berechtigte Interessen in Konstellationen, wie der vorliegenden abzustellen ist; wer eventuell erforderliche Einwilligungen einholen muss; und wen die Transparenzpflichten treffen. Auch hier kommt der Generalanwalt zu wenig überraschenden Ergebnissen und schlägt eine an den Beteiligungsgraden gemessene Herangehensweise vor.

Handlungsempfehlungen

Rechtmäßigkeit der Verarbeitung

Neben der Einwilligung – so stellt der Generalanwalt ausdrücklich mit Blick auf werbliche und kommerzielle Zwecke klar – kommt auch eine Rechtfertigung über berechtigte Interessen in Betracht. Im Rahmen der dabei erforderlichen Interessenabwägung dürften sich vor allem datenschutzfreundliche Arten der Umsetzung zugunsten der Website-Betreiber auswirken. In vielen Bereichen gibt es die Möglichkeit, mit wenig Aufwand, datenschutzfreundliche Voreinstellungen umzusetzen, etwa indem Facebook-Like-Buttons und Co. über Open Source-Angebote, wie die Shariff-Lösung eingebunden werden.

To Do:

Website-Betrieber sind schon jetzt gut beraten, Möglichkeiten datenschutzfreundlicher Einbindungen von Drittinhaten in Betracht zu ziehen.

Datenschutzerklärungen

Bobek sieht Website-Betreiber daher vor allem in der Pflicht, in ihren Datenschutzerklärungen darüber zu informieren, wie Drittinhalte in die Website eingebunden sind. Seit Wirksamwerden der DSGVO müssen Verantwortliche zudem, sollten sie die Verarbeitung personenebzoegener Daten auf berechtigte Interessen stützen wollen, dieses Interesse, in ihren Datenschutzerklärungen angeben. Wirklich neu ist das nicht und dürfte schon heute als „state of the art“ gelten.

To Do:

Website-Betreiber sollten bereits jetzt– im Rahmen des Möglichen – in ihren Datenschutzerklärungen über sämtliche, in ihren Websites eingebundenen Drittinhalte und damit im Zusammenhang stehende Erhebungen und Übermittlungen informieren.

Haftungsrisiken

Mit Blick auf die DSGVO wichtig und spannend ist, welche Auswirkungen das Urteil auf die Haftung von Website-Betreibern haben könnte. Droht nun allen Betreibern von Websites, die Drittinhalte wie Google Maps, YouTube-Videos, Insta-Stories oder Tweets etc. in ihre Seiten einbinden, eine Art datenschutzrechtliche Gefährdungshaftung? Schließlich könnte die DSGVO durchaus auch so gelesen werden, als schaffe sie ein neues System einer gemeinsamen, gesamtschuldnerischen Haftung in Fällen gemeinsamer Verantwortlichkeit.

Geklärt ist diese Frage aber nicht und wird es auch in diesem, sich auf die Datenschutz-Richtlinie beziehenden, Urteil nicht.

To Do:

Hier gilt es, das Urteil, vor allem aber, die allgemeine Diskussion zu Haftungsfragen und –risken bei gemeinsamer Verantwortlichkeit, im Auge zu behalten.

10. Januar 2019