EuGH: Fashion ID: Facebook Like Button: Keine gemeinsame Verantwortlichkeit für Datenspeicherung und weitere Verarbeitung durch Facebook

von Dr. Stefan Hanloser, veröffentlicht am 29.07.2019
Rechtsgebiete: Datenschutzrecht3|1750 Aufrufe

Der EuGH hat heute die datenschutzrechtliche Verantwortlichkeit im Online-Bereich in wesentlichen Punkten eingegrenzt (Urteil v. 29.7.2019, Rs. Fashion ID (C-40/17)):

  • Anbieter von Online-Diensten, die Dritten die Erhebung personenbezogener Daten auf ihren Webseiten oder Mobile Apps ermöglichen, sind nur für die initiale Datenerhebung mitverantwortlich.  Die nachgelagerten Verarbeitungsvorgänge (Speicherung, Verwendung, ggf. weitere Übermittlungen) verantwortet der Empfänger der Daten dann allein.
  • Die initiale Datenerhebung, bspw. durch einen Social Media-Plugin kann durchaus einem berechtigten Interesse iSd. Art. 6 Abs. 1 lit. f DSGVO entsprechen.  Ein berechtigtes Interesse muss aber sowohl beim Anbieter des Online-Dienstes als auch beim Empfänger der Daten vorliegen.
  • Sollte die Datenerhebung nach Art und Umfang eine Einwilligung des Nutzers erfordern, wäre diese zeitlich vor der initialen Datenerhebung einzuholen; dies kann in der Regel nur der Anbieter des Online-Dienstes leisten, da er den Erstkontakt mit dem Nutzer hat.
  • Aus demselben zeitlichen Grund obliegt dem Anbieter des Online-Dienstes regelmäßig auch die Information des Nutzers nach Art. 13 DSGVO.

Fortführung der EuGH-Rechtsprechung zu Wirtschaftsakademie Schleswig-Holstein (C-210/16).  Der EuGH konkretisiert seine bisherige Rechtsprechung zur gemeinsamen Verantwortlichkeit.  Als Betreiberin einer Facebook Fanpage sollte die Wirtschaftsakademie Schleswig-Holstein zusammen mit Facebook für die Verarbeitung der Fanpage-Besucherdaten verantwortlich sein – ohne Beschränkung auf bestimmte Verarbeitungsvorgänge oder einzelne Phasen.  Der Fehlschluss lag nahe, dass die gemeinsame Verantwortlichkeit für den gesamten Lebenszyklus der Daten von der Erhebung bis zu deren Löschung fortbestehe – einmal gemeinsam verantwortlich, immer gemeinsam verantwortlich.

Der EuGH schiebt einer überbordenden gemeinsamen Verantwortlichkeit in seiner heutigen Entscheidung einen Riegel vor: Methodisch bricht der EuGH eine Verarbeitung iSd. Art. 4 Nr. 2 DSGVO in mehrere Vorgänge bzw. Phasen entlang des Lebenszyklus eines personenbezogenen Datums auf: Erhebung, Speicherung, Verwendung, ggf. Weiterleitung usw. sind sauber zu trennen.  Eine arbeitsteilige Datenverarbeitung mit mehreren Akteuren zerfällt sequentiell in einzelne Verarbeitungsvorgänge.  Für jeden dieser Vorgänge bzw. jede dieser Phasen ist sodann isoliert zu prüfen, wer über die Zwecke und Mittel der Verarbeitung entscheidet.  Bei mehreren Entscheidern ist festzustellen, ob sie die Zweck- und Mittelentscheidung tatsächlich als Mitverantwortliche gemeinsam treffen oder aber jeder autonom als Alleinverantwortlicher für sich.

Sollte danach eine gemeinsame Verantwortlichkeit vorliegen, variiert der Grad der Verantwortlichkeit für jeden Mitverantwortlichem nach dem Ausmaß, wie er in die gemeinsame Verarbeitung einbezogen ist (EuGH, Rs. Wirtschaftsakademie Schleswig-Holstein (C-210/16), Rdnr. 43).  Ermöglicht der Betreiber einer Webseite lediglich die Datenerhebung, ist sein Einfluss auf die Verarbeitung und damit sein Grad der Verantwortlichkeit gering, insbesondere wenn eine Beziehung zwischen der betroffenen Person und dem Empfänger der Daten besteht (z.B. eine Facebook-Mitgliedschaft, EuGH, Rs. Fashion ID (C-40/17), Rdnr. 83).

Anbieter eines Online-Dienstes nur für die initiale Datenerhebung mitverantwortlich.  Ermöglicht der Anbieter eines Online-Dienstes einem Dritten die Erhebung personenbezogener Daten auf seiner Webseite oder Mobile App, ist er allenfalls für die initiale Datenerhebung mitverantwortlich.  Die nachgelagerten Verarbeitungsvorgänge (Speicherung, Verwendung, Weitergabe) des Datenempfängers sind für den Anbieter des Online-Dienstes datenschutzrechtlich irrelevant.  Entsprechend sieht der EuGH beim Betreiber des Online-Shops Fashion ID keinerlei Mitverantwortlichkeit für die Speicherung und weitere Verarbeitung der Nutzerdaten durch Facebook.

Ob die bloße Ermöglichung einer Datenerhebung eine gemeinsame Verantwortlichkeit zwischen dem Anbieter eines Online-Dienstes und dem Datenempfänger begründet, hängt von der Mitentscheidung über Zwecke und Mittel der Erhebung ab.  Sehr sorgfältig arbeitet der EuGH für den Facebook-Like-Button heraus, dass Fashion ID mit der initialen Datenerhebung eine optimierte Produktwerbung auf dem Facebook-Inventar bezweckt, was wiederum einem gleichlaufenden wirtschaftlichen Interesse von Facebook entspricht.  Mittel der Datenerhebung ist der Facebook-Like-Button – diesen stellt Facebook bereit und Fashion ID bindet ihn wissentlich in die Webseite als „Werkzeug zum Erheben und zur Übermittlung von personenbezogenen Daten der Besucher dieser Seite“ ein, so dass der EuGH eine gemeinsame Entscheidung über die Erhebungsmittel bejaht.  Dieses Facebook-spezifische Ergebnis lässt sich allerdings nicht auf andere Formen arbeitsteiliger Kooperationen im Online-Bereich verallgemeinern.

Irritierend ist allerdings die Feststellung des EuGH, dass Fashion ID und Facebook auch für die „Weitergabe durch Übermittlung“ der erhobenen Daten an Facebook gemeinsam verantwortlich sind.  Dies ist technisch unzutreffend, da der Browser des Nutzerendgeräts die Informationen direkt an den Facebook-Server sendet, ohne dass Fashion ID zwischengeschaltet wäre.  Zutreffend stellt der EuGH fest, dass Fashion ID keinen Zugang zu den übermittelten Daten hat (Urteil, Rdnr. 82) – wie aber soll Fashion ID die Daten dann im Rechtssinne weitergeben bzw. übermitteln?  Und schließlich ist es unlogisch, dass der Empfänger der Daten mitverantwortlich für die Übermittlung der Daten an ihn sein soll.

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

3 Kommentare

Kommentare als Feed abonnieren

Bezüglich des letzten Absatzes: der EuGH stellt meines Verständnisses doch darauf ab, dass Fashion ID und FB deswegen gemeinsam verantwortlich sind, weil FashionID den Button auf der eigenen Website implementiert hat, der automatisch Daten an FB übermittelt.

Insofern erscheint mir die Annahme einer gemeinsamen Verantwortlichkeit nachvollziehbar. Dass FashionID bei der Übermittlung technisch nicht zwischengeschaltet ist, spielt in meinen Augen keine Rolle für die Verantwortlichkeit der Übermittlung an sich. Denn die Übermittlung der personenbezogenen Daten der Besucher und Kunden von FashionID wird doch erst durch die Entscheidung seitens FashionID, den Button zu implementieren, ermöglicht.

Dass FashionID keinen Zugang zu den Daten hat, ist letztlich eine Frage der Verarbeitung, nicht aber der Übermittlung?

0

Der BGH hat doch schon klar geurteilt (Urt. v. 04.06.2013, Az. 1 StR 32/13), dass derjenige sich strafbar macht, der ohne berechtigtes Interesse Menschen überwacht (hier 6 Monate Freiheitstrafe auf Bewährung). An die Merkmale, die ein Interesse zu einem berechtigten Interesse werden lassen, sind äusserst hohe Voraussetzungen geknüpft. Im Handeln des Staates gegenüber den Bürgern erkennt man dies hieran, dass derartige Überwachungsmassnahmen an einen Richtervorbehalt geknüpft sind. 4% Gewinnsteigerung durch Überwachung und personalisierte Werbung anstatt datenschutzfreundlicher kontextualisierter Werbung begründen niemals ein berechtigtes Interesse. 

0

"Irritierend ist allerdings die Feststellung des EuGH, dass Fashion ID und Facebook auch für die „Weitergabe durch Übermittlung“ der erhobenen Daten an Facebook gemeinsam verantwortlich sind.  Dies ist technisch unzutreffend..."

Diese Aussage ist natürlich korrekt. Unabhängig davon, dass der EuGH hier fälschlich den Begriff der "Übermittlung" verwendet, dürfte dies für die rechtliche Einordnung im Endergebnis ohne Bedeutung sein. Denn auch jede "andere Form der Bereitstellung" (engl. 'otherwise makeing available', Art. 4 Nr. 2 DSGVO) ist als Verarbeitungsvorgang einzustufen, der demnach auch einer Legitimationsgrundlage bedarf. Ob also Daten beim Webseitenbereiber erhoben und anschließend von diesem an Dritte übermittelt werden, oder ob der Webseitenbetreiber durch die Einbindung von Drittcode die Datenerhebung durch den Dritten erst ermöglicht, dürfte mEn daher nicht zwangsläufig von Bedeutung sein.

0

Kommentar hinzufügen