EuGH: Datenschutzrechtliche Verantwortlichkeit von Shop-Betreibern für Facebook-Buttons

Das OLG Düsseldorf hat einen Rechtsstreit zwischen der Verbraucherzentrale Nordrhein-Westfalen und dem Betreiber eines Online-Shops zu entscheiden. In dem Online-Angebot ist der „Gefällt mir“-Button von Facebook eingebunden. Wenn ein potenzieller Kunde die Seite besucht, werden über dieses Plug-in automatisch dessen personenbezogene Daten, wie IP-Adresse und Surfverhalten, an Facebook Ireland übermittelt, auch wenn er weder Mitglied bei Facebook ist noch den Button anklickt.

Der Besucher wird nicht über die Datenerhebung und -weiterleitung unterrichtet. Hierin sah die Verbraucherzentrale einen Verstoß gegen datenschutzrechtliche Informationspflichten und erhob Klage. In erster Instanz gab das LG Düsseldorf der Klägerin recht, der Beklagte ging in die Berufung. Das OLG Düsseldorf legte dem EuGH die Sache vor und bat um Auslegung einiger Vorschriften der früheren Datenschutzrichtlinie von 1995 beziehungsweise der neuen Datenschutzgrundverordnung.

Wer den Facebook-Button einbindet, hat datenschutzrechtliche Informationspflichten

Der EuGH entschied am 29.07.2019 (Az: C-40/17), dass der Webseitenbetreiber zusammen mit Facebook mitverantwortlich für die Datenerhebung und die Übermittlung ist. Dagegen trägt für die spätere Datenverarbeitung Facebook die alleinige Verantwortung, da der Online-Händler auf die Mittel und Zwecke dieser Vorgänge offensichtlich keinen Einfluss mehr hat. Der EuGH geht davon aus, dass der Shop-Betreiber sich durch die Einbindung des Buttons wirtschaftliche Vorteile, nämlich gezielte Werbung für seine Waren auf der Facebook-Seite, verschafft. Denn die Produkte werden dort sichtbar, wenn ein Kunde den Button anklickt. Nach Ansicht des Gerichtshofs hat der Händler zumindest stillschweigend in die Datenerhebung und -übermittlung eingewilligt. Damit sei er den Seitenbesuchern gegenüber informationspflichtig, so müsse er ihnen zum Beispiel seine Identität, die Datenerhebung und die Verarbeitungszwecke mitteilen. Ein genereller Hinweis in den Datenschutzbestimmungen des Shops oder ein Verweis auf die Richtlinien von Facebook reiche dafür nicht aus. Der EuGH betonte, das oberste Ziel der Datenschutzgrundverordnung liege darin, die Entscheidungsfreiheit der Verbraucher zu schützen. Um diese zu gewährleisten, müsse jeder Seitenbesucher vor der Datenerhebung umfassend aufgeklärt werden und sodann seine Einwilligung erteilen.