EuGH 29.07.2019: Gemeinsame Verantwortlichkeit für „Gefällt Mir“-Button

Der EuGH hat entschieden, dass Webseitenbetreiber bei Einsatz von Social-Media-Plugins neben den Anbietern für die Erhebung und Übermittlung personenbezogener Daten der Nutzer gemeinsam verantwortlich sind.

Durch die Einbindung z.B. des Facebook-Like-Buttons wird in der Regel bei Aufruf der Website die dynamische IP-Adresse des Routers des Websitebesuchers, die aufgerufenen Inhalte der Website des Beklagten sowie browserspezifische Informationen direkt von Facebook gesammelt. Die Datenübertragung vom Nutzergerät an Facebook wird erst durch die Einbindung des Facebook-Plugin-Codes in den HTML-Code seiner Website überhaupt möglich. In der Folge konnte Facebook Cookies auf dem Nutzerendgerät setzen und hierüber zumindest bei registrierten und eingeloggten Mitgliedern personenbezogene Nutzerprofile bilden.

Der EuGH bejaht eine gemeinsame Verantwortlichkeit bei der Einbindung von Facebook-Like-Button zwischen Websitebetreiber und Facebook, da erst die Einbindung überhaupt des Social-Media-Plugin auf der Website den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln.

Die weite Fassung des Begriffes „Verantwortlicher“ soll insbesondere dafür sorgen, dass umfassender Schutz durch alle Beteiligten gewährleistet wird.

Eine gemeinsame Verantwortlichkeit bedarf daher nicht zwangsläufig einer gleichwertigen Verantwortlichkeit. Vielmehr können die Verantwortlichen in verschiedenen Phasen und in unterschiedlichem Ausmaß einbezogen sein. Es kommt daher bei der Beurteilung des Grades der Verantwortlichkeit auf die Umstände des Einzelfalls an.

Jedoch beschränkt sich die Verantwortlichkeit auf den Vorgang oder die Vorgänge der Datenverarbeitung, für den bzw. für die der gemeinsam Verantwortliche tatsächlich über die Zwecke und Mittel entscheidet, d.h. im vorliegenden Fall die Erhebung und die Weitergabe durch Übermittlung.

Das bedeutet für Webseitenbetreiber, dass nicht nur der „Gefällt Mir“-Button, sondern generell alle eingebundenen Dienste von Drittanbietern auf eine gemeinsame Verantwortlichkeit hin geprüft werden müssen. Die Schwierigkeit dabei ist, dass die meisten Anbieter ihren Kunden noch keine Vereinbarungen zur gemeinsamen Verantwortlichkeit gem. Art. 26 DSGVO anbieten.