Schon Ende letzten Jahres hatte ich darüber berichtet, dass der Generalanwalt des EuGH diesem empfohlen hatte, zu entscheiden, dass ein Webseitenbetreiber zusammen mit Facebook für Datenschutzverletzungen von Like-Buttons haften würde (siehe diesen Post).
Wie so oft üblich hat der EuGH sich heute dieser Meinung angeschlossen.
In seinem Urteil stellt der Gerichtshof zunächst klar, dass die alte Datenschutzrichtlinie nicht dem entgegensteht, dass es Verbänden zur Wahrung von Verbraucherinteressen erlaubt ist, gegen den mutmaßlichen Verletzer von Vorschriften zum Schutz personenbezogener Daten Klage zu erheben.
Der Gerichtshof weist darauf hin, dass die neue Datenschutz-Grundverordnung nunmehr ausdrücklich diese Möglichkeit vorsieht.
Der Gerichtshof stellt sodann fest, dass ein Webseitenbetreiber für die Datenverarbeitungsvorgänge, die Facebook Irland nach der Übermittlung der Daten an sie vorgenommen hat, anscheinend nicht als verantwortlich angesehen werden kann. Es erscheint nämlich auf den ersten Blick ausgeschlossen, dass dieser über die Zwecke und Mittel dieser Vorgänge entscheidet.
Dagegen könne der Betreiber für die Vorgänge des Erhebens der in Rede stehenden Daten und deren Weiterleitung durch Übermittlung an Facebook Irland als gemeinsam mit Facebook verantwortlich angesehen werden, da (vorbehaltlich der vom Oberlandesgericht Düsseldorf vorzunehmenden Nachprüfung) davon ausgegangen werden kann, dass die Webseite und Facebook Irland gemeinsam über die Zwecke und Mittel entscheiden.
Der Grund dafür sei, dass der Nutzer des Like-Buttons durch die Nutzung die Möglichkeit erhält die eigene Werbung zu optimieren, indem diese im sozialen Netzwerk Facebook sichtbarer gemacht werden, wenn ein Besucher den Button anklickt.
Um in den Genuss dieses wirtschaftlichen Vorteils kommen zu können, der in einer solchen verbesserten Werbung besteht, willige der Anbieter zumindest stillschweigend in das
Erheben personenbezogener Daten der Besucher und deren Weitergabe durch
Übermittlung ein. Dabei werden diese Verarbeitungsvorgänge im wirtschaftlichen
Interesse sowohl des Webseitenbetreibers also auch von Facebook Irland durchgeführt.
Zu dem Fall, in dem die betroffene Person ihre Einwilligung gegeben hat, müsse diese jedoch nur für die Vorgänge eingeholt werden, für die der Betreiber (mit-)verantwortlich ist, d. h. das Erheben und die Übermittlung der Daten.