Fashion ID – und der „Webseitenplugin“-Button[1]

Am 29.07.2019 verkündete der Europäische Gerichtshof (EuGH) sein Urteil in der Rechtssache C‑40/17 (Fashion ID). In diesem Vorabentscheidungsverfahren sollte der EuGH aufgrund eines Vorlagebeschlusses des Oberlandesgerichts Düsseldorf von Januar 2017 (Beschluss vom 19.01.2017, I-20 U 40/16) im Hinblick auf Webseitenbetreiber und die Einbindung sog. Plugins unter anderem Fragen zur Auslegung des Begriffs des „für die Verarbeitung Verantwortlichen“ sowie Fragen zur Anwendung der Rechtfertigung der Datenverarbeitung auf Grundlage „berechtigter Interessen“ bzw. aufgrund einer „Einwilligung“ nach Maßgabe der bis 24.05.2018 gültigen Datenschutzrichtline (Richtlinie 95/46/EG) klären.

Nach der Entscheidung des EuGH zur gemeinsamen Verantwortlichkeit des Diensteanbieters Facebook und des Fanpage-Betreibers entwickelt der EuGH seine Rechtsprechung zur gemeinsamem Verantwortlichkeit in der Rechtssache „Fashion ID“ erneut fort; diesmal mit weitreichenden Konsequenzen für wohl nahezu jeden Webseitenbetreiber.

Hintergrund der Entscheidung

Dem Vorlagebeschluss des OLG Düsseldorf war ein Rechtsstreit zwischen der Verbraucherzentrale Nordrhein-Westfalen e.V. (im Folgenden: Verbraucherzentrale NRW) und Fashion ID GmbH & Co. KG (im Folgenden: Fashion ID), einem Unternehmen der Peek & Cloppenburg Gruppe, vor dem LG Düsseldorf [2] vorangegangen.

Kern der Problematik ist, dass infolge der Einbindung des Plugins in die Webseite bereits beim Seitenaufruf im Browser des Nutzers eine Kommunikation zwischen dem Endgerät des Nutzers und dem Anbieter des Plugins stattfindet, ohne dass die dabei verarbeiteten Daten zuvor an den Webseitenbetreiber selbst gelangen und von dort an den Plugin-Anbieter übermittelt werden.

Nachdem der Generalanwalt am EuGH Bobek bereits im Dezember 2018 in seinen Schlussanträgen Stellung bezogen hatte, fällte der EuGH nunmehr sein Urteil.

Inhalt der Entscheidung

Anwendbares Recht

Zur Beurteilung des Vorabentscheidungsersuchens hat der EuGH unter Anderem die Richtlinie 95/46/EG (Datenschutzrichtlinie) zu Grunde gelegt, da diese im maßgeblichen Zeitraum des Ausgangsrechtsstreits zur Anwendung kommt. Daneben wird auch die Richtlinie 2002/58/EG (Datenschutzrichtlinie für elektronische Kommunikation) einbezogen. Die weiteren herangezogenen Rechtsnormen sind für die nachstehenden Betrachtungen nicht relevant.

Gemeinsame Verantwortlichkeit

Der EuGH hat entschieden, dass bei Einbindung des Facebook „Gefällt mir“-Buttons sowohl der Webseitenbetreiber Fashion ID als auch Facebook als Anbieter des Social Plugins gemeinsam verantwortlich sind.

Grund für diese Entscheidung sind die technischen Abläufe auf der betroffenen Webseite, die wie folgt eingeschätzt werden:

Sobald eine Person die Webseite besucht, die Facebooks „Gefällt mir“-Button enthält, werden Daten erhoben und an Facebook übermittelt. Diese Daten bestehen maßgeblich aus der IP-Adresse des Rechners des Besuchers sowie aus technischen Informationen des genutzten Browsers. Den genauen technischen Sachverhalt hat das vorlegende Gericht im Nachgang zu verifizieren, da dies eine maßgebliche Stellschraube für die Beurteilung der rechtlichen Zulässigkeit darstellt.

Nach Aktenlage ergibt sich für den EuGH, dass Fashion ID das Social Plugin zumindest in dem Wissen in die Webseite eingebunden habe, dass dieses als „Werkzeug zum Erheben und zur Übermittlung von personenbezogenen Daten der Besucher“ dient und damit das Mittel der Datenverarbeitung gemeinsam mit Facebook festgelegt hat.

Die gemeinsam festgelegten Zwecke werden als Optimierung der Produktwerbung auf Seiten von Fashion ID und Verwendung der übermittelten Daten für eigene wirtschaftliche Zwecke auf Seiten von Facebook beschrieben. Der gemeinsamen Zweckbestimmung steht – so der EuGH – auch nicht entgegen, dass Fashion ID zu den erhobenen und übermittelten Daten nicht selbst Zugang hat.

Als besonders hohe Verantwortlichkeit beurteilt der EuGH nicht zuletzt die Verarbeitung personenbezogener Daten von Webseitenbesuchern, die kein Konto bei Facebook und damit keinen Bezug zu dem sozialen Netzwerk haben.

Datenverarbeitungsvorgänge

Darüber hinaus setzt sich der EuGH mit der Frage auseinander, für welche Datenverarbeitungsvorgänge die beiden an der Verarbeitung Beteiligten verantwortlich sind.

Wenngleich die durch den Aufruf der Webseite, in die der Webseitenbetreiber das Social Plugin eingebunden hat, im Browser des Webseitenbesuchers initiierte Kommunikation unmittelbar zwischen dessen Endgerät und den Servern von Facebook stattfindet, der Webseitenbetreiber selbst also gar keine Daten aktiv übermittelt, ist er nach Ansicht des EuGH nicht nur für die Erhebung der Daten über seine Webseite sondern auch für deren Übermittlung an Facebook (mit)verantwortlich.

Diese Einschätzung scheint nur konsequent, wenn der EuGH Fashion ID eine Kenntnis der Funktionalität des Social Plugins, als Werkzeug für die Erhebung und Übermittlung entsprechend der Aktenlage im Ausgangsverfahren unterstellt.

Rechtsgrundlage für die Datenverarbeitung

Neben der Frage der gemeinsamen Verantwortlichkeit der beiden an der Datenverarbeitung Beteiligten hat sich der EuGH mit der Frage auseinandergesetzt, auf welche Rechtsgrundlage die durch das vorlegende Gericht beschriebene Datenverarbeitung gestützt werden kann. Die Beurteilung dieser Frage hängt von der technischen Ausgestaltung des Social Plugins ab, weshalb die noch nicht abgeschlossene Sachverhaltsermittlung im Ausgangsverfahren eine hohe Relevanz aufweist.

Ein berechtigtes Interesse gem. Art. 7 lit. f) der Datenschutzrichtlinie kann als Rechtsgrundlage nur in solchen Fällen ausreichen, in denen weder Daten verarbeitet werden, die bereits im Endgerät eines Nutzers gespeichert waren noch Daten, die durch das Plugin im Endgerät abgelegt werden. Findet durch Einsatz des Social Plugins eine Speicherung von Daten im Endgerät oder Zugriff auf solche, bereits im Endgerät gespeicherten Daten statt, ist gem. Art. 5 Abs. 3 der Datenschutzrichtlinie für elektronische Kommunikation eine Einwilligung des Nutzers erforderlich.

Der EuGH hat anhand des vorgelegten Sachverhalts insofern Stellung bezogen, als dass ein berechtigtes Interesse bei jedem für die Verarbeitung Verantwortlichen gegeben sein muss, damit die Verarbeitungsvorgänge – sowohl die Erhebung als auch die Übermittlung – gerechtfertigt werden können.

Beide an der Datenverarbeitung Beteiligten müssen im Ergebnis erstens ein berechtigtes Interesse an der jeweiligen Datenverarbeitung haben, zweitens muss die Erforderlichkeit der Datenverarbeitung zur Realisierung der berechtigten Interessen objektiv gegeben sein und es dürfen drittens keine überwiegenden Interessen der betroffenen Personen diesen berechtigten Interessen gegenüberstehen.

Für den Fall, dass der Sachverhalt derart gelagert sein sollte, dass die Datenschutzrichtlinie für elektronische Kommunikation einschlägig ist (Auslesen oder Speichern von Daten im Endgerät), kann das berechtigte Interesse als Rechtsgrundlage allein eine datenschutzkonforme Verarbeitung der in Rede stehenden Daten nicht begründen und es ist zwingend eine Einwilligung einzuholen.

Pflicht zur Einholung der Einwilligung und Information der Betroffenen

Wird von einem Sachverhalt ausgegangen, der eine Einwilligung erforderlich macht, ist diese laut EuGH von dem Betreiber der Webseite einzuholen.

Dies folgt aus der Ausgestaltung der Datenverarbeitung, welche ihren Startpunkt auf der Webseite des Betreibers findet, der sich für die Einbindung eines Social Plugins entschieden hat. Durch diese Entscheidung wird der „Browser des Besuchers dieser Webseite veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln“. Dies geschieht bereits bei dem Besuch der Webseite, ohne dass weitere Aktionen erforderlich sind. Die Einwilligung nach Art. 2 lit. h und Art. 7 lit. a der Datenschutzrichtlinie ist vor Erhebung der Daten und vor deren Übermittlung einzuholen, so dass die Pflicht zur Einholung den Betreiber der Webseite treffen muss.

Der Umfang der Einwilligung ist jedoch – gleichlaufend zur Verantwortlichkeit – beschränkt. Der Webseitenbetreiber ist nur dazu verpflichtet, eine Einwilligung zu jenen Verarbeitungstätigkeiten einzuholen, die in seinem Wissen durchgeführt werden und für die er entsprechend gemeinsam verantwortlich ist. Namentlich sind dies laut EuGH die „Vorgänge des Erhebens personenbezogener Daten“ des Webseitennutzers und „deren Weitergabe durch Übermittlung“ an den Anbieter des Plugins.

Gleiches gilt nach der Vorabentscheidung des EuGH für die Informationspflichten nach Art. 10 der Datenschutzrichtlinie, da auch die Information der betroffenen Personen bereits zum Zeitpunkt der Erhebung der personenbezogenen Daten erfolgen muss, auf jene Daten beschränkt ist, für die eine (gemeinsame) Verantwortlichkeit vorliegt.

Auswirkung der Entscheidung für den Einsatz von Social Plugins durch Webseitenbetreiber

Eine abschließende Sachentscheidung wird durch das Urteil des EuGH im Rechtsstreit zwischen der Verbraucherzentrale NRW und Fashion ID nicht getroffen.

Trotz der wohl noch zu klärenden Sachverhaltsfragen und obwohl der EuGH in seiner Entscheidung über die Auslegung und Anwendung der außerkraftgetretenen Datenschutzrichtlinie zu befinden hatte, können seine Ausführungen auf die Rechtslage seit Inkrafttreten der Datenschutzgrundverordnung hinsichtlich der gemeinsamen Verantwortlichkeit und der berechtigten Interessen bzw. der Einwilligung als Rechtsgrundlagen der Verarbeitung übertragen werden.

Dies gilt umso mehr, als die deutschen Aufsichtsbehörden im Rahmen der Datenschutzkonferenz (DSK) sich zwischenzeitlich mehrfach gemeinsam dahingehend positioniert haben, dass die Datenschutzgrundverordnung Anwendungsvorrang vor den §§ 12, 13 und 15 TMG zukomme[3][4].

Auf der einen Seite führt die aktuelle Entscheidung des EuGH daher zunächst einmal – jedenfalls vordergründig – zu einer Entlastung des Webseitenbetreibers. Er ist nach der Übermittlung der personenbezogenen Daten für die Weiterverarbeitung beim Plugin-Anbieter nicht mehr verantwortlich.

Unter Berücksichtigung der Entscheidung des EuGH zu Facebook-Fanpages in der Rechtssache C-210/16 ist hierfür allerdings Voraussetzung, dass der Seitenbetreiber in keiner Weise mehr an der Weiterverarbeitung beteiligt ist oder hierzu beiträgt und auch nicht von deren Ergebnis profitiert, wie dies beispielsweise beim Fanpage-Betreiber aufgrund der Möglichkeit der Parametrisierung der Datenverarbeitung und der Möglichkeit der zielgruppengerichteten Ausgestaltung von Werbung über Facebook der Fall ist[5].

In seinem aktuellen Urteil legt der EuGH nunmehr Rahmenbedingungen fest, nach denen Webseitenplugins und die mit ihrer Einbindung in Verbindung stehenden Datenverarbeitungsvorgänge datenschutzrechtlich zu beurteilen sind.

Das Argument, der Webseitenbetreiber habe keinen Einfluss auf die Datenverarbeitung durch den Plugin-Anbieter reicht nicht mehr aus, um sich den Risiken eines aufsichtsbehördlichen Einschreitens und einer Geltendmachung von Ansprüchen durch die Betroffenen zu entziehen. Sowohl Plugin-Anbieter als auch Webseitenbetreiber sind gemeinsam für Erhebung und Übermittlung verantwortlich.

Diese Rahmenbedingungen werden auch bei Anwendung der DSGVO weitergelten, da sich weder Wortlaut noch Zielrichtung der relevanten Normen signifikant unterscheiden.

Hinsichtlich der Anforderungen an den Umfang der Information des Betroffenen im Allgemeinen sowie hinsichtlich der Anforderungen an eine ausdrückliche, informierte und dokumentierte Einwilligung, wie sie von den deutschen Aufsichtsbehörden im DSK-Kurzpapier Nr. 20 formuliert worden sind, sind die Anforderungen durch die DSGVO sogar noch gestiegen.

Nach Maßgabe der DSGVO sind folgende Konsequenzen vorstellbar:

  • Für die Erhebung und Übermittlung ist zwischen den gemeinsam Verantwortlichen ein Vertrag nach Art. 26 DSGVO zu schließen.
  • Die Betroffenen sind gemäß Art. 13 umfassend über Art und Umfang der gemeinsamen Verarbeitung zu informieren.
  • Durch das Plugin dürfen keine Informationen auf dem Endgerät des Webseitenbesuchers gespeichert oder ausgelesen werden, um sich auf Art. 6 Abs. 1 S. 1 lit. f DSGVO stützen zu können.
  • Eine ausdrückliche und informierte Einwilligung des betroffenen Webseitenbesuchers ist zwingend erforderlich, wenn Informationen auf dem Endgerät des Webseitenbesuchers gespeichert oder ausgelesen werden, um sich auf Art. 6 Abs. 1 S. 1 lit. a DSGVO stützen zu können.
  • Webseitenbetreiber und Plugin-Anbieter müssen eine wirksame Widerspruchsmöglichkeit bzw. Widerrufsmöglichkeit vorsehen.

Trotz der vordergründigen Erleichterung für den Webseitenbetreiber durch die leichtere Abgrenzbarkeit der Verantwortungssphären, führt die Übertragung des Urteils auf die Rechtslage gemäß DSGVO auf der anderen Seite also zu neuen Problemen.

Insbesondere muss der Webseitenbetreiber Art und Umfang der Erhebung und Übermittlung personenbezogener Daten durch das Plugin kennen, um seiner Informationspflicht nachkommen zu können und um soweit erforderlich eine wirksame, informierte Einwilligung einholen zu können, die den strengen Anforderungen der DSGVO genügt.

Hieran wird es in der Praxis bereits scheitern, da die wenigsten Webseitenbetreiber in der Lage sind, zu überprüfen, welche Daten von den jeweiligen Plugins eigentlich auf welche Weise verarbeitet werden. Sich insoweit nur auf die Angaben des Plugin-Anbieters zu verlassen, wird nicht ausreichen, um sich im Ernstfall exkulpieren zu können.

Auch die technische Umsetzung von dokumentierbaren Einwilligungen sowie von Widerspruchs- bzw. Widerrufsmöglichkeiten dürfte viele Webseitenbetreiber vor große Herausforderungen stellen.

Schließlich dürfte es sich derzeit als sehr schwierig erweisen, mit den Plugin-Anbietern einen Vertrag zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO abzuschließen, jedenfalls wenn man die Auffassung der deutschen Aufsichtsbehörden in Ihre Bewertung der von Facebook angepassten Nutzungsbedingungen für Facebook Fanpages als Beispiel heranzieht.

Weitere Konsequenzen und „Fernwirkungen“ des Urteils

Obwohl die Entscheidung des EuGH auf der einen Seite zu mehr Klarheit bezüglich der Bewertung der gemeinsamen Verantwortlichkeit beiträgt, besteht bezüglich der Rechtsgrundlage der Verarbeitung noch erheblicher Interpretationsspielraum. Insbesondere die Frage, ob eine Verarbeitung von Nutzungsdaten noch über berechtigte Interessen gerechtfertigt werden kann oder ob insoweit bereits eine Einwilligung für erforderlich gehalten wird, kann nach dem Wortlaut der Entscheidung nicht eindeutig beantwortet werden.

Der EuGH bezieht seine Entscheidung auf das Einbinden eines Plugins auf einer Webseite, „das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln“.

Dabei ist sich der EuGH in seinen Eingangsausführungen zur Ausgangssituation und zur Vorlagefrage jedenfalls noch bewusst, dass bei dem Abruf eingebundener Drittinhalte, wie bei einer jeden Kommunikation im Internet zwischen Endgeräten und Servern Nutzungsdaten, einschließlich der personenbezogenen IP-Adresse, übermittelt werden. Diesbezüglich führte er aus:

“Will der Betreiber einer Website derartige Drittinhalte einbinden, setzt er auf dieser Website einen Verweis auf den externen Inhalt. Stößt der Browser des Besuchers auf einen derartigen Verweis, fordert er den Inhalt von dem Drittanbieter an und fügt ihn an der gewünschten Stelle in die Darstellung der Website ein. Hierzu übermittelt der Browser dem Server des Drittanbieters die IP-Adresse des Rechners dieses Besuchers sowie die technischen Informationen des Browsers, damit der Server feststellen kann, in welchem Format der Inhalt an welche Adresse auszuliefern ist. Daneben übermittelt der Browser auch Informationen zu dem gewünschten Inhalt.“[6]

In die Beantwortung der Vorlagefragen wurde diese Erkenntnis vom EuGH jedoch nicht vollständig überführt, jedenfalls nicht im Hinblick auf die Ausführungen zur Verarbeitung auf Grundlage berechtigter Interessen.

Unklar ist daher, ob das Auslesen bzw. Übermitteln von Nutzungsdaten, einschließlich der IP-Adresse, bereits für ein Einwilligungserfordernis ausreicht oder ob dies erst dann der Fall ist, wenn ein Social Plugin darüber hinaus weitere personenbezogene Daten aus dem bzw. im Endgerät des Webseitenbesuchers verarbeitet.

Versteht man die Entscheidung des EuGH dahingehend, dass auch für das Auslesen von Nutzungsdaten eine Einwilligung erforderlich wäre, wären konsequenter Weise nicht nur Social Plugins von der Entscheidung betroffen, sondern letztlich alle Arten von Webseitenplugins, die zu ihrem Funktionieren auf eine Kommunikation mit den Servern des Plugin-Anbieters angewiesen sind, da bei deren Abruf Nutzungsdaten anfallen bzw. übermittelt werden.

Entsprechend zöge die Entscheidung des EuGH auch Folgen für die Einbindung von Kartendiensten, Multimediainhalten auf Drittanbieterplattformen, Tracking Technologien über Drittanbieter außerhalb einer Auftragsverarbeitung und letztlich jede Einbindung von Drittanbieterinhalten, wie Web Fonts oder Java Skripte, die sich auf Servern Dritter, insbesondere in Content Delivery Netzwerken (CDN) befinden, nach sich.

Im Ergebnis würde dies dazu führen, dass jedenfalls hinsichtlich dieser Nutzungsdaten bei der Einbindung von Drittanbieterinhalten stets eine gemeinsame Verantwortlichkeit vorliegen würde und – da im Rahmen der Verarbeitung auf Informationen auf dem Endgerät zugergriffen wird bzw. diese ausgelesen werden – für die Erhebung und Übermittlung stets eine Einwilligung einzuholen wäre.

Für die vom EuGH jedenfalls – vorbehaltlich abschließender Sachverhaltsfeststellungen – theoretisch noch als zulässig erachtete Rechtfertigung der Verarbeitungsvorgänge über berechtigte Interessen bliebe dann jedenfalls kein Raum mehr.

Fazit

Die Anforderungen an Webseitenbetreiber an einen datenschutzkonformen Betrieb von Webseiten sind nach bisheriger Bewertung des Urteils wohl abermals gestiegen.

Dies dürfte sich künftig zugunsten der Betroffenen insgesamt positiv auf die Transparenz der Verarbeitungsvorgänge auf Webseiten, den Datenschutz durch Technikgestaltung und den Datenschutz durch datenschutzfreundliche Voreinstellungen auswirken. Nicht zuletzt werden auch die Anbieter von Social Plugins ihren Teil hierzu beitragen müssen.

Für den Webseitenbetreiber stellt sich daher die Frage, ob und welche Maßnahmen auf Grundlage der Entscheidung nun konkret zu treffen sind.

Im Mindestmaß sollten technische Vorkehrungen in Form einer 1- oder 2-Klick-Lösung, beispielsweise die vom Heise Verlag entwickelte Shariff-Lösung, implementiert werden, um eine automatische Datenübermittlung durch das Social Plugin an dessen Anbieter bei Webseitenaufruf zu unterbinden.

Darüber hinaus dürften Webseitenbetreiber angehalten sein, entsprechende Hinweistexte, die dem Nutzer die Funktionsweise der 1- bzw. 2-Klick-Lösung erläutern und die über Konsequenzen der Aktivierung des Plugins im Fall des Anklickens informieren, dahingehend zu überprüfen, ob sie ausreichend konkret und präzise über die Datenverarbeitungsvorgänge und die an der Verarbeitung beteiligten Verantwortlichen sowie über Rechtsgrundlagen der Verarbeitung und Rechte des Betroffenen informieren, um die wohl tendenzielle steigenden Anforderungen an eine wirksame, informierte Einwilligung zu erfüllen.

Fakt ist jedenfalls, dass nach der Entscheidung des EuGH für all diejenigen dringender Handlungsbedarf besteht, die bislang keinerlei technische Maßnahmen auf ihren Webseiten umgesetzt haben, um der Datenerhebung und -übermittlung durch Social Plugins Grenzen zu setzen.

Wie die aktuelle Entscheidung des EuGH das Vorgehen und die weiteren Positionierungen der deutschen und europäischen Aufsichtsbehörden, was eine Übertragung auf die Einbindung sonstiger Drittanbieterinhalte anbelangt, prägen werden und wie sich die Rechtsprechung des EuGH diesbezüglich entwickeln wird, bleibt daher abzuwarten. Insbesondere wird sich zeigen müssen, wie in der (aufsichtsbehördlichen) Praxis mit dem Problem der Dokumentierbarkeit der Einwilligung und dem Erfordernis eines Vertrages zur gemeinsamen Verantwortlichkeit umgegangen werden wird.

Die oben skizzierten weiteren Konsequenzen und möglichen „Fernwirkungen“ der aktuellen Entscheidung machen jedoch deutlich, dass auch der europäische Gesetzgeber aufgefordert ist, weitere Rechtsklarheit und -sicherheit zu schaffen, in dem der Gesetzgebungsprozess im Hinblick auf die ePrivacy-Verordnung endlich zum Abschluss gebracht wird.

[1] Folgeartikel zu „Rechtliche Fallstricke bei der Einbindung von Plugins“ von Daniela Windelband vom 13.02.2017 (https://www.datenschutz-notizen.de/rechtliche-fallstricke-bei-der-einbindung-von-plugins-4717266/) und „Jeder Webseitenbetreiber ist für das, was auf seinen Seiten mit Nutzerdaten passiert verantwortlich!“ von Daniela Windelband vom 10.03.2016 (https://www.datenschutz-notizen.de/jeder-webseitenbetreiber-ist-fuer-das-was-auf-seinen-seiten-mit-nutzerdaten-passiert-verantwortlich-1014145/)

[2] Urteil des LG Düsseldorf vom 09.03.2016, Az. 12 O 151/15, BeckRS 2016, 4916

[3] Vgl. Positionsbestimmung der DSK zur Anwendbarkeit des TMG vom 26.04.2018

[4] Vgl. Orientierungshilfe der DSK für Anbieter von Telemedien vom März 2019

[5] Vgl. Urteil des EuGH vom 05.07.2018, Rechtssache C‑210/16 (Facebook-Fanpages), Textziffer 35 ff.

[6] Urteil in der Rechtssache C‑40/17 (Fashion ID), Textziffer 26