Unterlassungsklage, dass die Verwendung des Plugins gegen Datenschutzrecht verstosse.
GERICHT: Oberlandesgerichts Düsseldorf [Deutschland
DATUM: 19.12.2018
URTEIL: Facebook-Plugin
SUCHWORTE: „Vorlage zur Vorabentscheidung – Richtlinie 95/46/EG – Schutz der personenbezogenen Daten der Nutzer von Webseiten – Klagebefugnis eines Verbraucherschutzverbandes – Haftung des Betreibers einer Webseite – Weitergabe personenbezogener Daten an Dritte – Eingebundenes Plugin – Facebook ,Gefällt mir‘ Button – Berechtigte Interessen – Einwilligung der betroffenen Person – Informationspflicht“
Ausgangssituation des Rechtsstreits
Die Fashion ID GmbH & Co. KG ist ein Onlinehändler für Modeartikel. In ihre Webseite ist ein Plugin, der Facebook-„Gefällt mir“-Button, eingebunden. Besucht ein Nutzer die Webseite von Fashion ID, werden Facebook daher Informationen über die IP‑Adresse dieses Nutzers und der Browser-String übermittelt. Unabhängig davon, ob der Nutzer den „Gefällt mir“-Button angeklickt hat oder über ein Facebook-Nutzerkonto verfügt, erfolgt die Übermittlung automatisch beim Laden der Webseite von Fashion ID.
Die Verbraucherzentrale NRW e. V., ein deutscher Verbraucherschutzverband, hat mit der Begründung, die Verwendung des Plugins verstoße gegen Datenschutzrecht, gegen Fashion ID eine Unterlassungsklage erhoben.
Das mit der Sache befasste Oberlandesgericht Düsseldorf (Deutschland) ersucht nun um die Auslegung einer Reihe von Bestimmungen der Richtlinie 95/46/EG (im Folgenden: Richtlinie 95/46) ( 2 ). Zunächst möchte es wissen, ob die Richtlinie einer nationalen Regelung entgegensteht, die einem Verbraucherschutzverband in einem Fall wie dem vorliegenden eine Klagebefugnis einräumt. Materiell-rechtlich lautet die wichtigste Frage, ob Fashion ID in Bezug auf die erfolgende Datenverarbeitung als „für die Verarbeitung Verantwortlicher“ anzusehen ist und, wenn ja, wie die einzelnen sich aus der Richtlinie 95/46 ergebenden Verpflichtungen in einer solchen Konstellation zu erfüllen sind. Auf wessen „berechtigte Interessen“ ist bei der nach Art. 7 Buchst. f der Richtlinie 95/46 vorzunehmenden Abwägung abzustellen? Ist Fashion ID verpflichtet, betroffene Personen über die Datenverarbeitung zu informieren? Und muss Fashion ID diesbezüglich die in Kenntnis der Sachlage zu erteilenden Einwilligungen der betroffenen Personen einholen?
Sachverhalt
Fashion ID (im Folgenden: Beklagte) ist ein Onlinehändler. Sie vertreibt über ihre Webseite Modeartikel. Die Beklagte hat das von Facebook Ireland Limited (im Folgenden: Facebook Ireland)(4) bereitgestellte „Gefällt mir“-Plugin in ihre Webseite eingebunden. Folglich erscheint auf der Webseite der Beklagten der sogenannte Facebook-„Gefällt mir“-Button.
Im Vorabentscheidungsersuchen wird ferner erläutert, wie der (nicht sichtbare) Teil des Plugins funktioniert: Sucht ein Besucher der Webseite der Beklagten die Seite auf, auf der der Facebook-„Gefällt mir“-Button platziert ist, sendet sein Browser automatisch Informationen betreffend seine IP Adresse und den Browser-String an Facebook Ireland. Die Übermittlung dieser Informationen erfolgt, ohne dass der Facebook-„Gefällt mir“-Button angeklickt zu werden braucht. Aus dem Vorabentscheidungsersuchen ergibt sich auch, dass Facebook Ireland offenbar verschiedene Arten von Cookies (session-, datr- und fr Cookies) auf dem Gerät des Nutzers platziert, wenn die Webseite der Beklagten besucht wird.
Die Verbraucherzentrale NRW (im Folgenden: Klägerin), ein Verbraucherschutzverband, hat vor einem Landgericht in Deutschland Klage gegen die Beklagte erhoben. Die Klägerin beantragte, die Beklagte zu verurteilen, dass diese es unterlässt, das Social Plugin „Gefällt mir“ von Facebook auf der Internetseite zu integrieren,
„– ohne die Nutzer der Internetseite bis zu dem Zeitpunkt, in dem der Anbieter des Plugins beginnt, Zugriff auf die IP Adresse und den Browser-String des Nutzers zu nehmen, ausdrücklich und unübersehbar über den Zweck der Erhebung und der Verwendung der so übermittelten Daten aufzuklären und/oder
– ohne die Einwilligung der Nutzer der Internetseite zu dem Zugriff auf die IP Adresse und den Browser-String durch den Plugin-Anbieter und zu der Datenverwendung einzuholen, jeweils bevor der Zugriff erfolgt, und/oder
– ohne die Nutzer, die ihre Einwilligung im Sinne des Klageantrags zu 2 erteilt haben, über deren jederzeitige Widerruflichkeit mit Wirkung für die Zukunft zu informieren, und/oder
– zu behaupten ‚Wenn Sie Nutzer eines sozialen Netzwerks sind und nicht möchten, dass das soziale Netzwerk über unseren Internetauftritt Daten über Sie sammelt und mit ihren bei dem sozialen Netzwerk gespeicherten Nutzerdaten verknüpft, müssen Sie sich vor dem Besuch unseres Internetauftritts bei dem sozialen Netzwerk ausloggen‘“.
Die Klägerin behauptete, Facebook Inc. oder Facebook Ireland würden die IP Adresse und den Browser-String speichern und mit einem bestimmten Benutzer (Mitglied oder Nichtmitglied) verknüpfen. Die Beklagte erklärt sich hierzu mit Nichtwissen. Facebook Ireland macht geltend, Die IP Adresse werde in eine generische IP Adresse umgewandelt und nur noch als solche gespeichert. Eine Zuordnung der IP Adresse und des Browser-String zu Nutzerkonten finde nicht statt.
Das Landgericht verurteilte die Beklagte gemäß den ersten drei Klageanträgen. Die Beklagte legte Berufung ein. Die Klägerin legte hinsichtlich des vierten Klageantrags Anschlussberufung ein.
Vor diesem tatsächlichen und rechtlichen Hintergrund hat das Oberlandesgericht Düsseldorf beschlossen, dem Gerichtshof die folgenden Fragen vorzulegen:
1. Steht die Regelung in den Art. 22, 23 und 24 der Richtlinie 95/46 einer nationalen Regelung entgegen, die neben den Eingriffsbefugnissen der Datenschutzbehörden und den Rechtsbehelfsmöglichkeiten des Betroffenen gemeinnützigen Verbänden zur Wahrung der Interessen der Verbraucher die Befugnis einräumt, im Falle von Verletzungen gegen den Verletzer vorzugehen?
Falls die erste Frage verneint wird:
2. Ist in einem Fall wie dem vorliegenden, bei dem jemand einen Programmcode in seine Webseite einbindet, der den Browser des Benutzers veranlasst, Inhalte von einem Dritten anzufordern und hierzu personenbezogene Daten an den Dritten zu übermitteln, der Einbindende „für die Verarbeitung Verantwortlicher“ im Sinne von Art. 2 Buchst. d der Richtlinie 95/46, wenn er selber diesen Datenverarbeitungsvorgang nicht beeinflussen kann?
3. Falls die zweite Frage zu verneinen ist: Ist Art. 2 Buchst. d der Richtlinie 95/46 dahin auszulegen, dass er die Haftung und Verantwortlichkeit in dem Sinne abschließend regelt, dass er einer zivilrechtlichen Inanspruchnahme eines Dritten entgegensteht, der zwar nicht „für die Verarbeitung Verantwortlicher“ ist, aber die Ursache für den Verarbeitungsvorgang setzt, ohne diesen zu beeinflussen?
4. Auf wessen „berechtigte Interessen“ ist in einer Konstellation wie der vorliegenden bei der nach Art. 7 Buchst. f der Richtlinie 95/46 vorzunehmenden Abwägung abzustellen? Auf das Interesse an der Einbindung von Drittinhalten oder auf das Interesse des Dritten?
5. Wem gegenüber muss die nach Art. 7 Buchst. a und Art. 2 Buchst. h der Richtlinie 95/46 zu erklärende Einwilligung in einer Konstellation wie der vorliegenden erfolgen?
6. Trifft die Informationspflicht des Art. 10 der Richtlinie 95/46 in einer Situation wie der vorliegenden auch den Betreiber der Webseite, der den Inhalt eines Dritten eingebunden hat und so die Ursache für die Verarbeitung personenbezogener Daten durch den Dritten setzt?
Die Klägerin, die Beklagte, Facebook Ireland, die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (im Folgenden: LDI NRW) sowie die belgische, die deutsche, die italienische, die österreichische und die polnische Regierung sowie die Kommission haben schriftliche Erklärungen eingereicht. Anlässlich der mündlichen Verhandlung vom 6. September 2018 haben die Klägerin, die Beklagte, Facebook Ireland, die LDI NRW, die belgische, die deutsche und die österreichische Regierung sowie die Kommission mündliche Erklärungen abgegeben.
Ergebnis für die aktuelle Rechtslage
Im Licht der vorstehenden Ausführungen schlage ich dem Gerichtshof vor, die vom Oberlandesgericht Düsseldorf (Deutschland) gestellten Fragen wie folgt zu beantworten:
Die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr steht einer nationalen Regelung nicht entgegen, die gemeinnützigen Verbänden die Befugnis einräumt, zur Wahrung der Interessen der Verbraucher rechtlich gegen den mutmaßlichen Verletzer von Datenschutzrecht vorzugehen.
Eine Person, die ein von einem Dritten bereitgestelltes Plugin in ihre Webseite eingebunden hat, welches die Erhebung und Übermittlung der personenbezogenen Daten des Nutzers veranlasst, ist als ein für die Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 anzusehen. Die (gemeinsame) Verantwortlichkeit des betreffenden für die Verarbeitung Verantwortlichen ist jedoch auf die Verarbeitungsvorgänge beschränkt, für die er tatsächlich einen Beitrag zur Entscheidung über die Mittel und Zwecke der Verarbeitung der personenbezogenen Daten leistet.
Bei der Prüfung, ob personenbezogene Daten nach den in Art. 7 Buchst. f der Richtlinie 95/46 niedergelegten Kriterien verarbeitet werden dürfen, ist auf die berechtigten Interessen beider im Einzelfall für die Verarbeitung Verantwortlichen abzustellen, und diese Interessen sind gegen die Rechte der betroffenen Personen abzuwägen.
Die nach Art. 7 Buchst. a der Richtlinie 95/46 einzuholende Einwilligung der betroffenen Person ist gegenüber dem Webseiten-Betreiber zu erklären, der Drittinhalte in seine Webseite eingebunden hat. Art. 10 der Richtlinie 95/46 ist dahin auszulegen, dass die sich aus dieser Bestimmung ergebende Informationspflicht auch für diesen Webseiten-Betreiber gilt. Die Einwilligung der betroffenen Person nach Art. 7 Buchst. a der Richtlinie 95/46 muss eingeholt und die Informationen im Sinne von Art. 10 dieser Richtlinie müssen bereitgestellt werden, bevor die Erhebung und die Übermittlung der Daten erfolgt. Jedoch muss der Umfang dieser Verpflichtungen der gemeinsamen Verantwortlichkeit des betreffenden Webseiten-Betreibers für die Erhebung und Übermittlung der personenbezogenen Daten entsprechen.
Die detaillierten Ausführungen finden Sie unter Curia Europa