EuGH: Fashion ID: Facebook Like Button: Keine gemeinsame Verantwortlichkeit für Datenspeicherung und weitere Verarbeitung durch Facebook

Der EuGH hat heute die datenschutzrechtliche Verantwortlichkeit im Online-Bereich in wesentlichen Punkten eingegrenzt (Urteil v. 29.7.2019, Rs. Fashion ID (C-40/17)):

• Anbieter von Online-Diensten, die Dritten die Erhebung personenbezogener Daten auf ihren Webseiten oder Mobile Apps ermöglichen, sind nur für die initiale Datenerhebung mitverantwortlich.  Die nachgelagerten Verarbeitungsvorgänge (Speicherung, Verwendung, ggf. weitere Übermittlungen) verantwortet der Empfänger der Daten dann allein.
• Die initiale Datenerhebung, bspw. durch einen Social Media-Plugin kann durchaus einem berechtigten Interesse iSd. Art. 6 Abs. 1 lit. f DSGVO entsprechen.  Ein berechtigtes Interesse muss aber sowohl beim Anbieter des Online-Dienstes als auch beim Empfänger der Daten vorliegen.
• Sollte die Datenerhebung nach Art und Umfang eine Einwilligung des Nutzers erfordern, wäre diese zeitlich vor der initialen Datenerhebung einzuholen; dies kann in der Regel nur der Anbieter des Online-Dienstes leisten, da er den Erstkontakt mit dem Nutzer hat.
• Aus demselben zeitlichen Grund obliegt dem Anbieter des Online-Dienstes regelmäßig auch die Information des Nutzers nach Art. 13 DSGVO.

Fortführung der EuGH-Rechtsprechung zu Wirtschaftsakademie Schleswig-Holstein (C-210/16).  Der EuGH konkretisiert seine bisherige Rechtsprechung zur gemeinsamen Verantwortlichkeit.  Als Betreiberin einer Facebook Fanpage sollte die Wirtschaftsakademie Schleswig-Holstein zusammen mit Facebook für die Verarbeitung der Fanpage-Besucherdaten verantwortlich sein – ohne Beschränkung auf bestimmte Verarbeitungsvorgänge oder einzelne Phasen.  Der Fehlschluss lag nahe, dass die gemeinsame Verantwortlichkeit für den gesamten Lebenszyklus der Daten von der Erhebung bis zu deren Löschung fortbestehe – einmal gemeinsam verantwortlich, immer gemeinsam verantwortlich.

Der EuGH schiebt einer überbordenden gemeinsamen Verantwortlichkeit in seiner heutigen Entscheidung einen Riegel vor: Methodisch bricht der EuGH eine Verarbeitung iSd. Art. 4 Nr. 2 DSGVO in mehrere Vorgänge bzw. Phasen entlang des Lebenszyklus eines personenbezogenen Datums auf: Erhebung, Speicherung, Verwendung, ggf. Weiterleitung usw. sind sauber zu trennen.  Eine arbeitsteilige Datenverarbeitung mit mehreren Akteuren zerfällt sequentiell in einzelne Verarbeitungsvorgänge.  Für jeden dieser Vorgänge bzw. jede dieser Phasen ist sodann isoliert zu prüfen, wer über die Zwecke und Mittel der Verarbeitung entscheidet.  Bei mehreren Entscheidern ist festzustellen, ob sie die Zweck- und Mittelentscheidung tatsächlich als Mitverantwortliche gemeinsam treffen oder aber jeder autonom als Alleinverantwortlicher für sich.

Sollte danach eine gemeinsame Verantwortlichkeit vorliegen, variiert der Grad der Verantwortlichkeit für jeden Mitverantwortlichem nach dem Ausmaß, wie er in die gemeinsame Verarbeitung einbezogen ist (EuGH, Rs. Wirtschaftsakademie Schleswig-Holstein (C-210/16), Rdnr. 43).  Ermöglicht der Betreiber einer Webseite lediglich die Datenerhebung, ist sein Einfluss auf die Verarbeitung und damit sein Grad der Verantwortlichkeit gering, insbesondere wenn eine Beziehung zwischen der betroffenen Person und dem Empfänger der Daten besteht (z.B. eine Facebook-Mitgliedschaft, EuGH, Rs. Fashion ID (C-40/17), Rdnr. 83).

Anbieter eines Online-Dienstes nur für die initiale Datenerhebung mitverantwortlich.  Ermöglicht der Anbieter eines Online-Dienstes einem Dritten die Erhebung personenbezogener Daten auf seiner Webseite oder Mobile App, ist er allenfalls für die initiale Datenerhebung mitverantwortlich.  Die nachgelagerten Verarbeitungsvorgänge (Speicherung, Verwendung, Weitergabe) des Datenempfängers sind für den Anbieter des Online-Dienstes datenschutzrechtlich irrelevant.  Entsprechend sieht der EuGH beim Betreiber des Online-Shops Fashion ID keinerlei Mitverantwortlichkeit für die Speicherung und weitere Verarbeitung der Nutzerdaten durch Facebook.

Ob die bloße Ermöglichung einer Datenerhebung eine gemeinsame Verantwortlichkeit zwischen dem Anbieter eines Online-Dienstes und dem Datenempfänger begründet, hängt von der Mitentscheidung über Zwecke und Mittel der Erhebung ab.  Sehr sorgfältig arbeitet der EuGH für den Facebook-Like-Button heraus, dass Fashion ID mit der initialen Datenerhebung eine optimierte Produktwerbung auf dem Facebook-Inventar bezweckt, was wiederum einem gleichlaufenden wirtschaftlichen Interesse von Facebook entspricht.  Mittel der Datenerhebung ist der Facebook-Like-Button – diesen stellt Facebook bereit und Fashion ID bindet ihn wissentlich in die Webseite als „Werkzeug zum Erheben und zur Übermittlung von personenbezogenen Daten der Besucher dieser Seite“ ein, so dass der EuGH eine gemeinsame Entscheidung über die Erhebungsmittel bejaht.  Dieses Facebook-spezifische Ergebnis lässt sich allerdings nicht auf andere Formen arbeitsteiliger Kooperationen im Online-Bereich verallgemeinern.

Irritierend ist allerdings die Feststellung des EuGH, dass Fashion ID und Facebook auch für die „Weitergabe durch Übermittlung“ der erhobenen Daten an Facebook gemeinsam verantwortlich sind.  Dies ist technisch unzutreffend, da der Browser des Nutzerendgeräts die Informationen direkt an den Facebook-Server sendet, ohne dass Fashion ID zwischengeschaltet wäre.  Zutreffend stellt der EuGH fest, dass Fashion ID keinen Zugang zu den übermittelten Daten hat (Urteil, Rdnr. 82) – wie aber soll Fashion ID die Daten dann im Rechtssinne weitergeben bzw. übermitteln?  Und schließlich ist es unlogisch, dass der Empfänger der Daten mitverantwortlich für die Übermittlung der Daten an ihn sein soll.

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben