Datenschutz: Betreiber von Webseiten/Apps ggf. gemeinsamer Verantwortlicher mit Plugin-Anbieter

shutterstock

Der EuGH hat – ganz auf Linie seiner bisherigen Rechtsprechung zu Fanpages – mit Urteil vom 29.07.2019 entschieden, dass Betreiber von Webseiten gemeinsam mit Plugin-Anbietern (hier: Facebook, „Like Button“) sogenannte „gemeinsame Verantwortliche“ im Sinne des Art. 26 DSGVO sind.

Hintergrund war die Frage, inwieweit ein Webseitenbetreiber als Verantwortlicher anzusehen ist, wenn dieser den Facebook „Like Button“ (oder andere Plugins) einbindet und dieses Plugin die Daten der Betroffenen (Nutzer der Webseite) an den Plugin-Anbieter zur weiteren Verarbeitung versendet.

Hier schafft der EuGH Klarheit: Dadurch, dass der Webseitenbetreiber den „Gefällt mir“-Button von Facebook Ireland in seine Website eingebunden hat, war es ihm möglich, personenbezogene Daten der Besucher der Webseite zu erhalten. Diese Möglichkeit entsteht ab dem Zeitpunkt des Aufrufens einer solchen Seite, und zwar unabhängig davon, ob diese Besucher Mitglieder des sozialen Netzwerks Facebook sind, ob sie den „Gefällt mir“-Button von Facebook angeklickt haben oder auch ob sie von diesem Vorgang Kenntnis haben. Damit liegt dem EuGH zufolge eine gemeinsame Verantwortlichkeit vor: Mit der Einbindung eines solchen Plugins in die Webseite hat der Webseitenbetreiber entscheidend das Erheben und die Übermittlung von personenbezogenen Daten der Besucher dieser Seite zugunsten des Anbieters dieses Plugins ermöglicht, die ohne Einbindung dieses Plugins nicht erfolgen würden.

Im Übrigen stellt der EuGH klar, dass die gemeinsame Verantwortlichkeit mehrerer Akteure für dieselbe Verarbeitung nach dieser Bestimmung nicht voraussetzt, dass jeder von ihnen Zugang zu den betreffenden personenbezogenen Daten hat.

Allerdings schränkt der EuGH ein, dass die gemeinsame Verantwortlichkeit nicht gleichbedeutend mit einer gleichwertigen Verantwortlichkeit der verschiedenen Akteure für dieselbe Verarbeitung der personenbezogenen Daten ist. Vielmehr können diese Akteure in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß einbezogen sein, so dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist. Vorliegend bedeutete dies, dass die Verantwortlichkeit des Seitenbetreibers auf den Vorgang der Datenverarbeitung beschränkt ist, für den der Webseitenbetreiber tatsächlich über die Zwecke und Mittel entscheidet, d. h. das Erheben der in Rede stehenden Daten und deren Weitergabe durch Übermittlung.

Fazit:
Das Urteil reiht sich nahtlos in die „Fanpages“-Entscheidung des EuGH ein und zeigt auf, dass Webseitenbetreiber sich nicht hinter dem Anbieter eines Plugins „verstecken“ können, sondern ihren datenschutzrechtlichen Verantwortlichkeiten nachkommen müssen, wie z. B. den Informationspflichten, etc. Der Landesbeauftragte für Datenschutz und Informationsfreiheit in NRW hat bereits auf das Urteil reagiert und unter https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/EuGH-zu-Social-Plugins/EuGH-zu-Social-Plugins.html Ausführungen hierzu gemacht.