23.12.2018

Die Schlussanträge in Fashion ID (EuGH C-40/17): Doppelt hält besser

Portrait von Johannes Marosi
Johannes Marosi

Überblick

Rechtzeitig vor Weihnachten legt der Generalanwalt am EuGH Michael Bobek die Schlussanträge zur Rechtssache Fashion ID (C-40/17) vor. Interessanterweise handelt es sich dabei nicht um denselben Generalanwalt wie in Wirtschaftsakademie (C-210/16), also Yves Bot. Dieser hatte in seinen Schlussanträgen damals schon Fashion ID vorgegriffen (ab Rn. 66).

  • zum Sachverhalt

Gegenstand des Verfahrens war eine Unterlassungsklage des Verbraucherzentrale NRW e.V. gegen die Fashion ID GmbH & Co. KG mit dem Ziel die Verwendung des „Gefällt-mir“-Buttons zu untersagen, sofern nicht datenschutzrechtliche Vorgaben beachtet werden. Fashion ID hatte auf seiner Webseite ein Plugin von Facebook (Ireland Limited), den Facebook-„Gefällt mir“-Button eingebunden. Ruft eine Nutzerin die Fashion ID-Webseite auf, erhält Facebook anhand des Plugins die IP-Adresse der Nutzerin sowie deren Browser-String. Diese „Übermittlung“ (dazu später) erfolgt automatisch und unabhängig davon, ob die Nutzerin den Button anklickt oder über ein Facebook-Nutzerkonto verfügt. Daneben platziert Faceook verschiedene Cookies (session-, datr- und fr-Cookies) auf dem Gerät der Nutzerin, wenn sie die Webseite aufruft.

  • zur rechtlichen Wertung

Zunächst kurz die wesentlichen Feststellungen (Rn. 142):

  • Nationales Verbandsklagerecht: Die Datenschutz-Richtlinie (DSRL) steht einem nationalen Verbandsklagerecht für (gemeinnützige) Verbraucherschutzverbände nicht entgegen.
  • Verantwortlichkeit für Verarbeitung: Ein Webseitenbetreiber, der das Plugin eines Dritten in seine Webseite einbindet, das personenbezogene Daten erhebt und übermittelt, ist ein für die Verarbeitung Verantwortlicher. Dies ist beschränkt auf die Verarbeitungsvorgänge, für die er einen Beitrag zur Entscheidung über die Zwecke und Mittel leistet.
  • Interessenabwägung: Im Rahmen der Prüfung des berechtigten Interesses (gem. Art. 7 lit. f DSRL) ist auf die berechtigten Interessen aller (gemeinsam) für die Verarbeitung Verantwortlicher abzustellen und diese sind gegen die Rechte der Betroffenen abzuwägen.
  • Einwilligung des Webseitenbetreibers: Sofern erforderlich, ist die Einwilligung (gem. Art. 7 lit. a DSRL) vom Webseitenbetreiber, der die Plugins Dritter einbindet, einzuholen.
  • Informationspflicht: Die Informationspflicht gem. Art. 10 DSRL gilt auch für den Webseitenbetreiber.
  • Zeitpunkt & Reichweite: Sowohl Einwilligung als auch Informationspflichten müssen vor Erhebung und Übermittlung der Daten erfolgen. Der Umfang dieser Verpflichtungen muss der gemeinsamen Verantwortlichkeit des Webseitenbetreiber entsprechen.

Verbandsklagerecht

Hinsichtlich des Verbandsklagerechts packt der Generalanwalt gleich einmal die großen (unionsrechtlichen) Geschütze aus und verweist auf Art. 288 Abs. 3 AEUV:

  • Geeignete Maßnahme bzw. Sanktion, Art. 24 DSRL

Nach Art. 288 Abs. 3 AEUV sind Richtlinien zwar hinsichtlich des Ziels verbindlich, erlauben jedoch den innerstaatlichen Stellen die Wahl der Form und Mittel (der Umsetzung). Folglich ist der Mitgliedstaat in den Maßnahmen zur Umsetzung solange frei, wie diese nicht ausdrücklich in der Richtlinie ausgeschlossen werden oder mit deren Zielen im Widerspruch stehen. Dies sieht der Generalanwalt hinsichtlich der Ziele der DSRL sowie des in ErwGr 10 erwähnten hohen Schutzniveaus nicht als gegeben an (Rn. 31). Auch wenn der Generalanwalt die Zuordnung des Verbandsklagerechts zu Art. 22 oder 24 DSRL offensichtlich für trivial hält, entscheidet er sich für die geeigneten Maßnahmen nach Art. 24 DSRL (Sanktionen).

  • Verhältnis zu Richtlinie 2009/22

Hinsichtlich der fehlenden Erwähnung der DSRL in Richtlinie 2009/22 (bzw. deren Anhang I) stellt der Generalanwalt fest, dass die dortige beispielhafte Aufzählung einen Mitgliedstaat nicht davon abhält, weitere Vorschriften für Unterlassungsklagen vorzusehen, die nicht in Richtlinie 2009/22 erwähnt werden. Auch hier rekurriert der Generalanwalt wieder auf das Wahlrecht aus Art. 288 Abs. 3 AEUV.

  • Nationaler Spielraum trotz Vollharmonisierung

Zudem verfolge die DSRL zwar den Ansatz einer vollständigen Harmonisierung, allerdings erlaube sie in bestimmten Bereichen einen weitgehenden Spielraum der Mitgliedstaaten. Dies sei im Hinblick auf jede einzelne Vorschrift zu prüfen. Somit sei ein Verbandsklagerecht aufgrund der sehr allgemein gehaltenen Art. 22-24 DSRL im Hinblick auf den Ansatz der vollständigen Harmonisierung nicht ausgeschlossen. Dies ist auch durchaus nachvollziehbar, wenn man sich die entsprechenden Artikel, insbesondere aber die sehr abstrakten Formulierungen in Art. 24 DSRL vornimmt.

  • Weder öffentlicher Druck noch Sperrwirkung

Für deutlich abwegig hält der Generalanwalt das Argument, ein Verbandsklagerecht würde die Datenschutzaufsichten unter öffentlichen Druck setzen, da Klagen ebenso von Privatpersonen erhoben werden können. Ebenso lasse sich aus der ausdrücklichen Aufnahme des Verbandsklagerechts in Art. 80 Abs. 2 DSGVO nichts über einen Ausschluss im Rahmen der DSRL entnehmen (s.a. Fn. 22). Der Wandel von einer Richtlinie zu einer Verordnung spreche eher für das Gegenteil. Dies deckt sich auch damit, dass die (hier zugegebenermaßen umgedrehte) historische Auslegung so gut wie kein Gewicht im Unionsrecht besitzt.

Zur Sperrwirkung der DSGVO gegenüber Rechtsbehelfen aus dem UWG siehe im Übrigen auch Nina Diercks.

Verantwortlichkeit

Zur Frage der Verantwortlichkeit des Webseitenbetreibers nimmt der Generalanwalt (nach Hervorhebung der weitreichenden Relevanz dieser Frage) zunächst auf die Rechtssache Wirtschaftsakademie (CR 2018, 576 m. Anm. Brüggemann; ZD 2018, 357 m. Anm. Marosi/Matthé sowie Verfassungsblog) Bezug. Hierbei gelangt er augenscheinlich zu dem Schluss, dass die „Parametrierung“ wesentlich für die Beteiligung an der Entscheidung über Zwecke und Mittel der Verarbeitung und somit die gemeinsame Verantwortlichkeit ist. Weiterhin wird auf die Rechtssache Jehovan todistajat (C-25/17) verwiesen, wonach ein(er der) gemeinsam für die Verarbeitung Verantwortlicher nicht notwendigerweise selbst Zugriff auf die personenbezogenen Daten haben muss.

  • Argumentationslinie

Seine anschließende Prämisse, dass Fashion ID (also der Webseitenbetreiber) mit Facebook (Ireland) ein gemeinsam für die Verarbeitung Verantwortlicher ist, stützt der Generalanwalt dabei auf folgende Argumente:

  • Aktives Handeln: Fashion ID ermöglicht durch Einbindung des Plugins, dass Facebook personenbezogene Daten der Nutzer der Webseite erhält.
  • Nutzen bzw. Parametrisierung: Fashion ID kann zwar keine Parametrisierung, wie in der Rechtssache Wirtschaftsakademie vornehmen, erhält aber durch die Werbung anhand des Klickens auf den „Gefällt mir“-Button seitens der Nutzer auf der Facebook-Plattform einen Nutzen (Rn. 68). Alternativ soll bereits die Einbindung des Plugins eine Parametrisierung sein (Rn. 69).
  • Differenzierung: Den Umstand schließlich, dass der Webseitenbetreiber keine Daten erhält oder ein Feedback im Sinne der Statistiken, wie in der Rechtssache Wirtschaftsakademie, hält der Generalanwalt im Hinblick auf Jehovan todistajat für irrelevant.

Diese Argumentation ist insoweit schlüssig und deckt sich auch mit der bisherigen Linie des EuGH. Maßgeblich für eine gemeinsame Verantwortlichkeit dürfte demnach also ein aktives Handeln, das die Datenverarbeitung erst ermöglicht, sowie ein irgendwie gearteter Nutzen des (vermeintlich) gemeinsam Verantwortlichen sein (vgl. Rn. 73). Daneben müssen Zwecke und Mittel der Verarbeitung zwischen den gemeinsam Verantwortlichen identisch sein.

  • Folgen

Recht schwammig ist hingegen die Ausführung zur möglicherweise doch vorhandenen Parametrisierung in Rn. 69. Geht es hierbei um eine reine Akzeptanz (vgl. Rn. 73) der in diesem Fall von Facebook standardmäßig erhobenen Daten oder, wie es der Absatz andeutet, um eine Parametrisierung anhand der zu erwartenden Daten des Publikums der Webseite (hier also etwa Bekleidung + Unterkategorien)?

Gleichsam ist sich der Generalanwalt offenbar klar, dass die weite Auslegung des Begriffs der gemeinsam für die Verarbeitung Verantwortlichen eine Fülle an Folgeproblemen mit sich bringt wie etwa daran anknüpfende Pflichten und die Haftung. Dies illustriert er u.a. anhand der Nutzer von Online-Plattformen, da auch hier eine Ermöglichung der Datenverarbeitung im sozialen Kontext sowie eine Parametrisierung des eigenen Profils bestehe (wobei für die DSGVO an ErwGr 18 zu denken wäre).

Pflichten und Rechte

Im Falle von Fashion ID ergeben sich diese Folgeprobleme speziell für die Einwilligung und die Informationspflichten. Darüberhinaus sind gewisse Pflichten bzw. Rechte schlicht tatsächlich nicht befolgbar, etwa das Auskunftsrecht mangels Zugangs zu den Daten.

  • Skepsis gegenüber privatrechtliche Vereinbarung

Einer Aufteilung der Verantwortlichkeit und damit einhergehend einer Zuordnung der jeweiligen Verpflichtungen durch (privatrechtlichen) Vertrag steht der Generalanwalt sehr skeptisch gegenüber (Rn. 85 f.). Dies ist im Hinblick auf die von ihm prognostizierte Fortgeltung der hier relevanten datenschutzrechtlichen Rechtsprechung für die DSGVO durchaus interessant. Er gibt allerdings auch den Widerspruch zwischen vertraglicher Zuordnung in Art. 26 Abs. 1 DSGVO und der Geltendmachung durch Betroffene nach Abs. 3 zu bedenken.

  • Balance für Macht, Einfluss und Verantwortlichkeit

Insgesamt solle ein angemessenes Verhältnis zwischen Macht, Einfluss und Verantwortlichkeit bestehen. Im Hinblick auf die Durchsetzungskraft der Vorschriften plädiert der Generalanwalt dabei für einen umsichtigen Umgang mit der Verantwortlichkeit. Dabei sollen Kenntnis der Vorgänge, originäre Verhandlungsmacht und die Möglichkeit maßgeblich sein, auf die Vorgänge Einfluss zu nehmen. Um dies im Hinblick auf die bestehende Rechtslage normativ aufzuhängen, soll dabei der einzelne Verarbeitungsvorgang anstatt eines Bündels von Verarbeitungen betrachtet werden. Hierbei betont der Generalanwalt für das Datenschutzrecht (vermeintlich) Selbstverständliches. Verantwortlichkeit und damit auch die Pflichten und Rechte knüpfen an die einzelne, konkrete Verarbeitung an. Die Verarbeitung ist Kernbegriff des Datenschutzrechts und in ihrer Kleinteiligkeit und dem damit einhergehend notwendigen technischen Verständnis der Prozesse gleichsam auch ihre Krux.

Fashion ID konkret

Folglich müssen für die Feststellung der gemeinsamen Verantwortlichkeit bei der Einbindung des Plugins bzw. "Gefällt mir"-Buttons, also der Erhebung und Übermittlung der Daten, die Zwecke und Mittel identisch sein:

  • Mittel: Hinsichtlich des „Gefällt mir“-Buttons sind durch die Bereitstellung einerseits und Einbindung anderseits identische Mittel vorhanden.
  • Zweck: Im Hinblick auf den Zweck stellt der Generalanwalt zwar fest, dass keine Zweckidentität - einerseits Sichtbarkeit erhöhen (Werbung), anderseits eigene kommerzielle Zwecke - vorhanden ist, lässt aber auch eine Zweckeinheit zwischen kommerziellen und werblichen Zwecken ausreichen. Hierbei unterstreicht er aber auch, dass eine gemeinsame Verantwortlichkeit nur für die Verarbeitung vorliegt, auf die der jeweils andere tatsächlich Einfluss nehmen kann, nicht für vorgehende oder nachfolgende Verarbeitungen.

Da der Generalanwalt hiermit bereits zu einer gemeinsamen Verantwortlichkeit kommt, nimmt er zu einer Störerhaftung keinerlei Stellung. Gleichsam stellt er allerdings fest, dass die Adressaten der DSRL vollständig harmonisiert sind. Demnach wäre also eine Störerhaftung maximal auf unionrechtlicher Ebene denkbar.

Interessenabwägung

Hinsichtlich der Abwägung der berechtigten Interessen gem. Art. 7 lit. f DSRL geht der Generalanwalt davon aus, dass die Interessen beider (bzw. aller) gemeinsam für die Verarbeitung Verantwortlichen mit denen der Betroffenen abgewogen werden müssen. Dabei wird allerdings nicht ganz klar, ob es sich:

  • um eine „gepoolte“ Abwägung der Verantwortlichen handelt, also Verantwortlicher A mangelnde Interessen von Verantwortlichem B aufwiegen könnte, oder aber
  • gesondert abgewogen werden muss und nach erfolgreicher Abwägung beider Verantwortlicher erst Art. 7 lit. f DSRL greifen kann (Rn. 125 scheint dies zu implizieren).

Einwilligung, Informationspflichten & Betroffenenrechte

Hinsichtlich Einwilligung und Informationspflichten, die im Übrigen vor der Verarbeitung erfolgen müssen, sind nach dem Generalanwalt, beschränkt auf die Verarbeitungen, für die eine gemeinsame Verantwortlichkeit besteht, diese aufgrund der Sachnähe und der Interaktion mit der Nutzerin durch den Webseitenbetreiber zu erbringen.

Was Betroffenenrechte angeht, denen einer der für die Verarbeitung Verantwortlichen tatsächlich nicht nachkommen kann, etwa das Auskunftsrecht, schlägt der Generalanwalt eine Vereinbarung mit dem jeweiligen Verantwortlichen vor. Rn. 136 allerdings liest sich aber eher wie ein Ausschluss qua Unmöglichkeit.

Zuletzt wehrt sich der Generalanwalt auch noch gegen eine rechtliche Ungleichbehandlung von Nutzern der (Facebook-)Plattform und plattformfremden Webseitenbesuchern.

Fazit

Insgesamt handelt es sich um sehr erfreuliche, vor allem aber auch hinsichtlich der Frage der gemeinsamen Verantwortlichkeit detaillierte Schlussanträge. Es bleibt zu hoffen, dass der EuGH diese nicht allzu sehr zusammenkürzt, sollte er ihnen folgen. Der Fokus auf die einzelnen Verarbeitungsvorgänge und, daran anknüpfend, die Verantwortlichkeit sowie die Pflichten und Rechte der Betroffenen, mag zwar selbstverständlich sein, ist aber in seiner Deutlichkeit dennoch zu begrüßen. Wünschenswert wären allerdings detailliertere Ausführungen zum gemeinsamen Zweck gewesen. Sollte eine Zweckeinheit, statt einer -identität, ausreichen, wäre dies ausführlicher zu begründen. In diesem Zusammenhang wäre auch eine Herleitung über die gemeinsamen Mittel, verbunden mit einer Prüfung der Zweckinkompatibilität zwischen den gemeinsamen Verantwortlichen denkbar gewesen. Klar wird in jedem Falle, dass der Unionsgesetzgeber, über Art. 26 DSGVO hinaus, dringenden Differenzierungsbedarf hinsichtlich des Konzepts der Verantwortlichkeit hat.

Etwas irritierend wirkt die konsequente, nirgends allerdings hergeleitete, Bezugnahme auf Erhebung und Übermittlung. Eine Übermittlung seitens des Webseitenbetreibers würde voraussetzen, dass die Daten auch bei ihm, also jedenfalls in seiner Einflusssphäre, etwa auf seinen Server, erhoben werden. Dem Verständnis des Autors nach wird allerdings auf dem Gerät des Nutzers der Plugin-Code direkt von Facebook geladen und somit die Daten auch von diesem erhoben. Folglich dürfte also eigentlich nur von einer gemeinsamen Erhebung, jedenfalls der bei Facebook anfallenden Daten, die Rede sein.

Zurück