Webseitenbetreiber haften für Datenverarbeitung von Like-Buttons

Schon Ende letzten Jahres hatte ich darüber berichtet, dass der Generalanwalt des EuGH diesem empfohlen hatte, zu entscheiden, dass ein Webseitenbetreiber zusammen mit Facebook für Datenschutzverletzungen von Like-Buttons haften würde (siehe diesen Post).

Wichtigste Punkte

Der EuGH unterstützt die Klage von Verbanden zur Wahrung von Verbraucherinteressen gegen Datenschutzverletzungen.
Die neue Datenschutz-Grundverordnung erlaubt explizit solche Klagen gegen mutmaßliche Verletzer.
Webseitenbetreiber sind nicht verantwortlich für Datenverarbeitungen nach der Übermittlung an Facebook.
Betreiber haften gemeinsam mit Facebook für die Datenerhebung und -weiterleitung.
Nutzer des Like-Buttons optimieren Werbung durch die Sichtbarkeit auf Facebook.
Der wirtschaftliche Vorteil führt zur stillschweigenden Einwilligung der Webseitenanbieter zur Datenverarbeitung.
Einwilligung muss nur für die von Betreiber verantworteten Verarbeitungsvorgänge eingeholt werden.

Wie so oft üblich hat der EuGH sich heute dieser Meinung angeschlossen.

In seinem Urteil stellt der Gerichtshof zunächst klar, dass die alte Datenschutzrichtlinie nicht dem entgegensteht, dass es Verbänden zur Wahrung von Verbraucherinteressen erlaubt ist, gegen den mutmaßlichen Verletzer von Vorschriften zum Schutz personenbezogener Daten Klage zu erheben.

Der Gerichtshof weist darauf hin, dass die neue Datenschutz-Grundverordnung nunmehr ausdrücklich diese Möglichkeit vorsieht.

Der Gerichtshof stellt sodann fest, dass ein Webseitenbetreiber für die Datenverarbeitungsvorgänge, die Facebook Irland nach der Übermittlung der Daten an sie vorgenommen hat, anscheinend nicht als verantwortlich angesehen werden kann. Es erscheint nämlich auf den ersten Blick ausgeschlossen, dass dieser über die Zwecke und Mittel dieser Vorgänge entscheidet.

Dagegen könne der Betreiber für die Vorgänge des Erhebens der in Rede stehenden Daten und deren Weiterleitung durch Übermittlung an Facebook Irland als gemeinsam mit Facebook verantwortlich angesehen werden, da (vorbehaltlich der vom Oberlandesgericht Düsseldorf vorzunehmenden Nachprüfung) davon ausgegangen werden kann, dass die Webseite und Facebook Irland gemeinsam über die Zwecke und Mittel entscheiden.

Der Grund dafür sei, dass der Nutzer des Like-Buttons durch die Nutzung die Möglichkeit erhält die eigene Werbung zu optimieren, indem diese im sozialen Netzwerk Facebook sichtbarer gemacht werden, wenn ein Besucher den Button anklickt.

Um in den Genuss dieses wirtschaftlichen Vorteils kommen zu können, der in einer solchen verbesserten Werbung besteht, willige der Anbieter zumindest stillschweigend in das
Erheben personenbezogener Daten der Besucher und deren Weitergabe durch
Übermittlung ein. Dabei werden diese Verarbeitungsvorgänge im wirtschaftlichen
Interesse sowohl des Webseitenbetreibers also auch von Facebook Irland durchgeführt.

Zu dem Fall, in dem die betroffene Person ihre Einwilligung gegeben hat, müsse diese jedoch nur für die Vorgänge eingeholt werden, für die der Betreiber (mit-)verantwortlich ist, d. h. das Erheben und die Übermittlung der Daten.

Author: Marian Härtel

Marian Härtel ist Rechtsanwalt und Fachanwalt für IT-Recht mit einer über 25-jährigen Erfahrung als Unternehmer und Berater in den Bereichen Games, E-Sport, Blockchain, SaaS und Künstliche Intelligenz. Seine Beratungsschwerpunkte umfassen neben dem IT-Recht insbesondere das Urheberrecht, Medienrecht sowie Wettbewerbsrecht. Er betreut schwerpunktmäßig Start-ups, Agenturen und Influencer, die er in strategischen Fragen, komplexen Vertragsangelegenheiten sowie bei Investitionsprojekten begleitet. Dabei zeichnet sich seine Beratung durch einen interdisziplinären Ansatz aus, der juristische Expertise und langjährige unternehmerische Erfahrung miteinander verbindet. Ziel seiner Tätigkeit ist stets, Mandanten praxisorientierte Lösungen anzubieten und rechtlich fundierte Unterstützung bei der Umsetzung innovativer Geschäftsmodelle zu gewährleisten.