Kernaussagen und praktische Auswirkungen der neuesten Datenschutz-Judikatur des EuGH

1.            Rechtsrahmen

Im Rahmen seiner Entscheidung in der Rechtssache C-40/17 vom 29. Juli 2019[i] musste sich der Gerichtshof der Europäischen Union („EuGH„; „EU„) abermals mit der Richtlinie 95/46/EG (Datenschutz-Richtlinie, „DS-RL„) befassen, welche mittlerweile von der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, „DSGVO„) abgelöst wurde. Die DSGVO hat den datenschutzrechtlichen Rechtsrahmen innerhalb der EU noch stärker vereinheitlicht, basiert allerdings dennoch auf ähnlichen Wertungen wie die Datenschutz-RL. Da sich die in Frage stehenden Bestimmungen fast wortgleich auch in der DSGVO wiederfinden, können die Aussagen des EuGH problemlos auf die geltende Rechtslage übertragen werden. Darüber hinaus war ebenso die Richtlinie 2002/58/EG (Datenschutzrichtlinie für elektronische Kommunikation, „ePrivacy-RL„), welche vor allem durch ihre Vorgaben für Cookies bekannt ist, Gegenstand der Entscheidung. Die ePrivacy-RL sollte ursprünglich zeitgleich mit der Anwendbarkeit der DSGVO durch die sog ePrivacy-Verordnung ersetzt werden, wodurch man sich klarere Regelungen zum Datenschutz im Bereich der elektronischen Kommunikation erhofft hatte. Tatsächlich gestalten sich die Verhandlungen auf EU-Ebene leider schwieriger als gedacht, weswegen eine gemeinsame Position des Rats zur Verordnung immer noch ausständig ist. Diese wäre allerdings notwendig, um im Europäischen Parlament mit den sog Trilog-Verhandlungen zu starten. Die ePrivacy-RL wurde in Österreich im Telekommunikationsgesetz 2003 („TKG„) in nationales Recht umgesetzt. Laut dem Europäischen Datenschutzausschuss (EDSA) ist die ePrivacy-RL immer dann, wenn sie in Bezug auf eine Form der Datenverarbeitung konkretere Bestimmungen als die DSGVO enthält, als lex specialis zu betrachten und geht dieser daher vor.[ii]

2.            Sachverhalt

Der Online-Händler für Modeartikel, Fashion ID, hatte den „Gefällt mir“-Button von Facebook als sog Social Plugin auf seiner Website eingebunden, woraufhin die Verbraucherzentrale NRW eine wettbewerbsrechtliche Klage auf Unterlassung beim LG Düsseldorf (Deutschland) einbrachte. Fashion ID wurde dabei vorgeworfen, personenbezogene Daten ihrer Websitenutzer ohne Einwilligung sowie unter Verstoß gegen die datenschutzrechtlichen Informationspflichten an die Facebook Ireland Ltd („Facebook„) transferiert zu haben. Nach einer Berufung beim OLG Düsseldorf, entschied dieses schließlich, den EuGH im Rahmen eines Vorabentscheidungsverfahrens anzurufen. Mit der ersten Vorlagefrage wollte das Gericht wissen, ob die Bestimmungen der DS-RL einer nationalen Regelung entgegenstehen, welche es gemeinnützigen Verbänden im Interesse von Verbrauchern ermöglicht, gegen die Verletzung von geltendem Datenschutzrecht vorzugehen, was verneint wurde. Darauf wird am Ende dieses Beitrags im Rahmen eines wettbewerbsrechtlichen Ausblicks in Punkt 4 noch näher eingegangen. Die weiteren Fragen, die vom EuGH beantwortet wurden, beschäftigen sich mit Datenschutzrecht im engeren Sinn und werden nachfolgend im Detail besprochen.

3.            Social Plugins

Social Plugins haben in den letzten Jahren zunehmend an Beliebtheit gewonnen und werden mittlerweile von einer unüberschaubaren Anzahl an Unternehmen insb zu Marketingzwecken auf der eigenen Website implementiert. Eine begriffliche Abgrenzung gestaltet sich nicht ganz leicht, da nur wenige solcher Funktionen von ihren Anbietern dezidiert als Social Plugin betitelt werden. In einem weiten Sinn lässt sich wohl von Software-Komponenten (meistens in der Form von Buttons) sprechen, die von sozialen Netzwerken wie Facebook oder Twitter bereitgestellt werden, um bestimmte Funktionen der jeweiligen Plattform auf Websites Dritter zur Verfügung zu stellen. Das bekannteste Beispiel stellt dabei sicherlich der „Gefällt mir“-Button von Facebook dar, um den es auch in der Entscheidung des EuGH geht. Die Bereitstellung dieser Funktionen erfolgt zwar grds kostenlos, die einzelnen Anbieter erhalten allerdings durchwegs Daten der Websitenutzer im Austausch für ihre Leistung. Soweit solche Daten personenbezogen sind, kommen die Bestimmungen der DSGVO (bzw DS-RL) vollumfänglich zur Anwendung. Da die Social Plugins im Normalfall zumindest auch mit Cookies arbeiten, sind außerdem auch die Bestimmungen der ePrivacy-RL einschlägig. Obwohl eine datenschutzrechtliche Beurteilung allein aufgrund dieser Tatsachen schon Schwierigkeiten mit sich brächte, liegt die wirkliche Problematik darin begründet, dass die Anbieter der Plugins oft keine oder nur unzureichende Informationen darüber bereitstellen, welche Daten im Hintergrund wirklich „abgezapft“ werden. Dies erschwert zunehmend auch die Möglichkeit einer gesicherten Rechtsberatung, weswegen idZ bislang gerne von einer „rechtlichen Grauzone“ gesprochen wurde. Website-Betreiber können die Plugins nach dem Prinzip „take it or leave it“ entweder so einsetzen, wie sie vom Anbieter ausgestaltet sind, oder vollständig darauf verzichten. Doch auch ein solcher Verzicht lässt sich nicht leichtfertig beschließen, bedenkt man die enorme Verbreitung von Social Plugins. Wenn beinahe alle Mitbewerber Social Plugins einsetzen, meist ohne die Zulässigkeit überhaupt zu hinterfragen, dann lässt es sich schwer argumentieren, selbst nicht das Gleiche zu tun.

3.1      Gemeinsame Verantwortlichkeit für den Facebook „Gefällt mir“-Button

Um schließlich auf den Facebook „Gefällt mir“-Button als Gegenstand der Entscheidung des EuGH zurückzukommen, sei gesagt, dass Facebook beim Thema Datenschutz schon grds nicht für Transparenz bekannt ist. Klar ist, dass das Plugin, sofern es wie von Facebook vorgesehen eingebunden wird, mit Cookies arbeitet, um Informationen schon unmittelbar beim Websiteaufruf „nach Hause“ zu schicken. Inwiefern dabei ausschließlich auf Cookies gesetzt wird, dürfte allerdings – zumindest den Aussagen des EuGH nach zu urteilen – noch fraglich sein. Bevor die Cookie-Problematik näher ausgeführt wird (siehe dazu Punkt 3.5), soll zunächst allerdings die zweite Vorlagefrage und damit der vielleicht überraschendste Teilbereich der Entscheidung behandelt werden: „Ist in einem Fall wie dem vorliegenden, bei dem jemand einen Programmcode in seine Website einbindet, der den Browser des Benutzers veranlasst, Inhalte von einem Dritten anzufordern und hierzu personenbezogene Daten an den Dritten zu übermitteln, der Einbindende ‚für die Verarbeitung Verantwortlicher‘ im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 [Art 4 Z 7 DSGVO], wenn er selber diesen Datenverarbeitungsvorgang nicht beeinflussen kann?[iii] Schon im Ausgangsverfahren wurde festgestellt, dass der bloße Besuch einer Seite, die ein Social Plugin als Verweis auf einen externen Inhalt enthält, unter anderem auch zur Übermittlung der IP-Adresse des Rechners des Website-Besuchers an den Server des jeweiligen Drittanbieters führt. Da hier keine explizite Einschränkung auf den Facebook „Gefällt mir“-Button gemacht wurde, müssen nunmehr alle Social Plugins im Verdacht stehen, auf diese Weise IP-Adressen zu verarbeiten, was ohnehin mehr als naheliegend ist. Da IP-Adressen nach der Rechtsprechung des EuGH grds personenbezogene Daten darstellen[iv], ist der Anwendungsbereich für die DSGVO (bzw DS-RL) zweifelsohne gegeben. Im Einklang mit seiner ständigen Rechtsprechung betont der Gerichtshof auch in der gegenständlichen Entscheidung, dass der Begriff des „Verantwortlichen“ weit auszulegen ist und auch eine Einflussnahme auf Verarbeitungsvorgänge aus Eigeninteresse genügen kann, um darunter zu fallen. Voraussetzung für die Einordnung als Verantwortlicher ist allerdings immer, dass an der Entscheidung über Zwecke und Mittel der Datenverarbeitung zumindest mitgewirkt wird. Trifft dies auf mehrere Akteure zu, spricht man von „gemeinsamer Verantwortlichkeit“, die nach dem EuGH allerdings aufgrund der weiten Definition des Verantwortlichkeitsbegriffs nicht zwangsläufig gleichwertig sein muss. Vielmehr behilft er sich mit „Phasen der Verantwortlichkeit“, in denen Beteiligte im Rahmen einer Einzelfallbeurteilung in unterschiedlichem Ausmaß einbezogen sein können. Sobald die / eine Phase der Verantwortlichkeit eines Akteurs endet, indem er die Zwecke und Mittel nicht mehr festlegt, soll er für nachgelagerte Vorgänge in der Verarbeitungskette nicht mehr verantwortlich sein. Da Fashion ID es Facebook im vorliegenden Fall erst ermöglicht hat, personenbezogene Daten der Website-Besucher zu erhalten, geht der EuGH davon aus, dass für die Phase der Erhebung der personenbezogenen Daten bis zur Übermittlung an Facebook, beide Unternehmen gemeinsam über die Zwecke und Mittel entscheiden und sohin auch gemeinsam verantwortlich sind. Alle Verarbeitungsvorgänge nach der Übermittlung sind hingegen ausschließlich Facebook zuzurechnen. Dies begründet der EuGH damit, dass Fashion ID den „Gefällt mir“-Button in dem Wissen implementiert hat, dass er als Werkzeug der Verarbeitung personenbezogener Daten der Website-Besucher dient (Mittel), um die Werbung für eigene Produkte zu optimieren (Zwecke) und idZ eine stillschweigende Einwilligung in die Verarbeitung der Daten durch Facebook erteilt wurde.

Der „Umstand, dass der Betreiber einer Website wie Fashion ID zu den personenbezogenen Daten, die erhoben und dem Anbieter des Social Plugins übermittelt werden, mit dem sie gemeinsam über die Zwecke und Mittel der Verarbeitung dieser Daten entscheidet, nicht selbst Zugang hat, [steht] seiner Einstufung als „für die Verarbeitung Verantwortlicher“ im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 [Art 4 Z 7 DSGVO] nicht entgegen.[v] Gerade diese Aussage überrascht doch ein wenig, da der Zugang zu personenbezogenen Daten nach der allgemeinen Logik des Datenschutzrechts eigentlich eine Grundvoraussetzung für die Einstufung als Verantwortlicher sein müsste. Dass dies offensichtlich nicht (länger) der Fall ist, bietet ein nicht zu unterschätzendes Einfallstor, das die Online-Welt, wie wir sie heute kennen, auf wacklige Füße stellt – zumindest in der Theorie. Webshop-Betreiber und andere Online-Unternehmer müssen sich nunmehr die Frage stellen, für wie viele Prozesse, die im Hintergrund ihrer Geschäftstätigkeit ablaufen, auf deren Ausgestaltung sie allerdings keinerlei Einfluss haben, sie verantwortlich und haftbar sind. Dies könnte leicht zu einer weit restriktiveren Haltung gegenüber ähnlichen Angeboten führen, welche sich im Internet wie Sand am Meer tummeln. Geschäftszweige der Drittanbieter müssten ggf eingestellt werden, damit vor allem die IP-Adressen natürlicher Personen einem etwas breiteren Schutz unterliegen. Natürlich muss an dieser Stelle darauf hingewiesen werden, dass solche möglichen Folgen der Entscheidung gerade als „Was wäre wenn“-Szenario überzeichnet dargestellt wurden. Genauso gut könnte die Konsequenz eine bessere Aufklärung über Hintergrundprozesse und mehr Transparenz im selben Atemzug bedeuten. Die Möglichkeit, Nutzer umfassend über Datenverarbeitungsprozesse zu informieren und eine Einwilligung einzuholen, oder dieselben auf eine andere geeignete Rechtmäßigkeitsgrundlage iSv Art 6 Abs 1 DSGVO zu stützen, bleibt natürlich bestehen (zur Cookie-Problematik siehe allerdings Punkt 3.5).

Letztlich soll noch darauf hingewiesen werden, dass die Verarbeitung der Daten der Websitenutzer über das Plugin unabhängig davon erfolgt, ob sie ein Facebook-Konto besitzen oder nicht. Der EuGH hat idZ explizit angesprochen, dass gerade im Hinblick auf Nutzer, auf die das nicht zutrifft, die Verantwortlichkeit von Fashion ID noch höher erscheint.

3.2      Exkurs: gemeinsame Verantwortlichkeit nach der DSGVO

Im Gegensatz zur DS-RL, in der das Rechtsinstitut der gemeinsamen Verantwortlichkeit nur angelegt war, enthält die DSGVO in Art 26 eine ausdrückliche Regelung desselben, nicht zuletzt, um Klarheit für Betroffene zu schaffen. Ähnlich den Aussagen des EuGH im Rahmen der gegenständlichen Entscheidung, ist dabei darauf abzustellen, ob zwei oder mehr Verantwortliche die Zwecke und Mittel einer Datenverarbeitung gemeinsam festlegen. Voraussetzung ist grds eine tatsächliche Einflussnahme auf die Datenverarbeitung jedes Verantwortlichen, wobei im Lichte der jüngsten Aussagen des EuGH wohl eine minimalistische Betrachtungsweise an den Tag zu legen ist. Ein Grundanwendungsfall wäre etwa eine gemeinsame Website, auf der mehrere Unternehmer ihre Leistungen unabhängig voneinander anbieten. In solchen Szenarien wird es regelmäßig dazu kommen, dass erhobene Daten von allen Beteiligten verarbeitet werden. Dass schon die Einbindung von Social Plugins für diese Annahme ausreicht, ist – wie schon angesprochen – doch etwas verwunderlich. Natürlich hatte der EuGH schon zuvor einen gewissen Anstoß in diese Richtung gegeben, als er die Betreiber einer Facebook-Fanpage gemeinsam mit Facebook für die idZ erfolgten Datenverarbeitungsvorgänge als verantwortlich erklärte.[vi] Jedenfalls zu beachten ist, dass trotz der gemeinsamen Verantwortlichkeit jeder einzelne Akteur eine eigene datenschutzrechtliche Rechtsgrundlage benötigt, um eine rechtmäßige Datenverarbeitung zu erreichen. In diesem Sinn soll abermals ein Blick auf die Phasentheorie des EuGH geworfen werden, deren Sinnhaftigkeit doch in Zweifel gezogen werden kann. Natürlich hilft die Argumentation in der Praxis, die eigene Verantwortlichkeit geringer aussehen zu lassen und dadurch im Ernstfall das Ausmaß etwaiger Sanktionen nach unten zu drücken. Man könnte dabei passend vom Grad der Verantwortlichkeit sprechen. Wendet man den Blick allerdings vom Anwendungsfall der Datenschutzverletzungen ab, kommt man zu dem Schluss, dass Fashion ID oder jeder andere Verantwortliche dennoch die angesprochene Rechtsgrundlage benötigt und umfassende Informationen erteilen sowie ggf eine informierte Einwilligung der Betroffenen einholen muss (siehe dazu auch Punkt 3.6), wenngleich er nur als verantwortlich für eine / mehrere Phasen einer Verarbeitungskette gilt. Von diesem Aspekt aus betrachtet, spart er sich dadurch nicht viel und kann sich ebenfalls keineswegs darauf ausreden, dass er nicht genau weiß, welche Daten konkret verarbeitet werden. Darüber hinaus haben gemeinsame Verantwortliche nach der DSGVO in einer Vereinbarung transparent zu regeln, wer welchen ihrer Pflichten nachkommt. Fehlt eine solche oder ist sie unvollständig, tritt eine gesamtschuldnerische Haftung ein, was die meisten Unternehmer wohl vermeiden wollen. Auch den Betroffenen sind die wesentlichen Teile dieser Vereinbarung verfügbar zu machen, insb hinsichtlich der Rollenverteilung bei der Wahrnehmung von Betroffenenrechten. Eine solche Vereinbarung, die in gewissen Fällen sicherlich auf den Einzelfall abgestimmt sein sollte, bieten Anbieter von Social Plugins (momentan) allerdings nicht an. Außerdem scheint die Größe bzw Stellung eines Unternehmens auch unmittelbar mit ihrer Kompromissbereitschaft in solchen Fällen zusammenzuhängen. Dies stellt die Vertragspartner, die ihre Angebote nutzen möchten, zunehmend vor eine schwierige Wahl. Einzig Facebook hat bislang auf die Entscheidung des EuGH zum Thema Fanpages reagiert und bietet mittlerweile eine Vereinbarung, besser gesagt einen vorformulierten Text, über die gemeinsame Verantwortlichkeit an – allerdings beschränkt auf diesen einzelnen Anwendungsfall.

3.3      Datenschutzfreundlichere Einbindung von Social Plugins

Wenn wir bereits an der Stelle angelangt sind, von Phasen und Graden der Verantwortlichkeit zu sprechen, darf nicht vergessen werden, dass Social Plugins wie der Facebook „Gefällt mir“-Button heutzutage vielfach sorgsamer in die eigene Website eingebunden werden, als dies Fashion ID noch vor der Anwendbarkeit der DSGVO getan hatte. Auch im Rahmen einer Rechtsberatung wird mittlerweile durchwegs empfohlen, sich bei Verwendung von Social Plugins für eine möglichst datenschutzfreundliche Implementierung zu entscheiden. Besonders hervorgetan hat sich dabei die Nachrichten-Website heise online des Heise-Zeitschriften-Verlags, juristischer der Heise Medien GmbH & Co. KG. Immer wieder wurden vom Unternehmen Open-Source-Projekte entwickelt und verfügbar gemacht, welche die Datenverarbeitung sozialer Medien auf Websites Außenstehender begrenzen sollten. Im Endeffekt handelt es sich um eine Idee, die nach und nach ausgebaut wird, um ein für alle Seiten möglichst zufriedenstellendes Ergebnis zu erreichen. Konkret geht es um die sog „Zwei-Klick-Lösung“, die später um die „Shariff-Lösung“ und mittlerweile auch „Embetty“ ergänzt wurde. In einfachen Worten ausgedrückt wird die Einbindung der Buttons sozialer Netzwerke auf Websites modifiziert, um zu erreichen, dass sie erst dann „nach Hause telefonieren“ können, wenn sie durch den Nutzer mittels Klicks aktiviert wurden. Hatte die „Zwei-Klick-Lösung“ noch mit ausgegrauten Buttons vor der Aktivierung und der Notwendigkeit eines neben der gewöhnlichen Interaktion zusätzlichen Klicks zur Aktivierung zu kämpfen, hat sich die „Shariff-Lösung“ von der Einbindung via iFrames entfernt. Individuell gestaltbare HTML-Links bescheren ein anschaulicheres Bild, während auch auf die Notwendigkeit des zusätzlichen Klicks zur Aktivierung verzichtet werden kann. Die IP-Adresse wird erst übermittelt, wenn das Plugin manuell betätigt wurde. Auch die neueste Errungenschaft „Embetty“, die als eine Art Proxy-Server fungiert, überträgt die Daten erst im Falle einer Interaktion, ist aber grds für die Einbettung von Videos und Tweets gedacht. Daneben werden immer öfter ähnliche Lösungen auch von anderen Seiten oder für die Websitenutzer selbst bereitgestellt, etwa die Firefox-Erweiterung „Facebook Container“. Wenngleich dringend zu empfehlen ist, solche Lösungen zu verwenden, um eine potenzielle Verantwortlichkeit zu mindern, sofern auf die Nutzung von Social Plugins nicht verzichtet werden kann, stellt die nachfolgende Aktivierung eines Plugins durch einen Nutzer dennoch keine informierte, freiwillige Einwilligung iSv Art 7 DSGVO dar. Demnach müssen dennoch die notwendigen Informationen erteilt und personenbezogene Daten auf Basis einer geeigneten und zulässigen Rechtmäßigkeitsgrundlage verarbeitet werden.

3.4      Überwiegende berechtigte Interessen?

Eine der beliebtesten und praktisch am schwersten zu beurteilenden Rechtsgrundlagen der DSGVO stellen zweifellos die überwiegenden berechtigten Interessen des Verantwortlichen gemäß Art 6 Abs 1 lit f DSGVO dar. Für die im Rahmen dieser Entscheidungsbesprechung so bedeutsamen IP-Adressen hat der EuGH selbst ausgesprochen, dass bspw die Erhaltung der generellen Funktionsfähigkeit einer Website ohne unbedingte Notwendigkeit zur Erbringung der angebotenen Dienste ein berechtigtes Interesse und folglich eine legitime Grundlage zur Verarbeitung derselben darstellen kann.[vii] Diese Ansicht hat einiges für sich, bedenkt man, dass die IP-Adresse ein Datum ist, das fast in jedem Fall des Internetzugriffs „auf Reisen geht“. Als Anwendungsfall ist hier natürlich vorrangig an die sog Server-Logfiles zu denken, die fast von jeder Website protokolliert werden, um insb Fehlermeldungen auswerten zu können. Neben der Uhrzeit des Zugriffs, dem verwendeten Browser und ähnlichen Zugriffsdaten, findet sich auch die IP-Adresse des anfragenden Rechners darunter. Allerdings besteht dabei die Möglichkeit, die IP-Adresse in anonymisierter Form zu speichern, die uE jedenfalls genutzt werden sollte.

Mit der vierten Vorlagefrage wurde das Thema der berechtigten Interessen auch in der gegenständlichen Entscheidung aufgeworfen, als der EuGH zu entscheiden hatte, auf wessen berechtigte Interessen es bei Social Plugins ankommen würde, soweit diese Rechtsgrundlage überhaupt in Frage kommt. Kumulative Voraussetzungen für eine zulässige Datenverarbeitung aufgrund berechtigter Interessen nach Art 7 lit f DS-RL sind dabei (i) ein berechtigtes Interesse des Verantwortlichen bzw eines Dritten, dem Daten übermittelt werden, (ii) die Erforderlichkeit der ins Auge gefassten Datenverarbeitung zur Verwirklichung dieses Interesses sowie (iii) das Überwiegen des Interesses gegenüber den Grundrechten und Grundfreiheiten der betroffenen Person. Diese Voraussetzungen decken sich mit jenen der DSGVO. Für den EuGH ergibt sich idZ schon aus der gemeinsamen Verantwortlichkeit des Website-Betreibers und des Plugin-Anbieters die Notwendigkeit, dass jeder von ihnen ein solches berechtigtes Interesse verfolgt.

3.5      Cookies

Um schließlich auf die vielleicht drückendste, aber leicht zu übersehende Problematik von Social Plugins im Lichte der jüngsten Judikatur des EuGH zu sprechen zu kommen, wird dem Einsatz von Cookies an dieser Stelle ein eigener Punkt gewidmet. Art 5 Abs 3 der ePrivacy-RL lautet: „Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.“ Wie eingangs bereits erwähnt, geht die ePrivacy-RL der DSGVO vor, wenn sie für einen bestimmten Bereich konkretere Regelungen enthält. Dies ist nach dieser Bestimmung im Hinblick auf Cookies eindeutig der Fall, da dieselben das Paradebeispiel für im Endgerät eines Teilnehmers oder Nutzers gespeicherte Informationen sind. Es handelt sich um Dateien, die mittels Webserver lokal auf dem Computer des Nutzers angelegt werden und ihm eine bestimmte Identität zuweisen. Soweit Cookies also selbst personenbezogene Daten (etwa E-Mail-Adressen) enthalten oder bspw mit IP-Adressen mittels Datenbank verknüpft werden, ist die ePrivacy-RL einschlägig.

3.5.1   Exkurs: Cookies in Österreich

Die eingangs zitierte Bestimmung wurde in Österreich in § 96 Abs 3 TKG richtlinienkonform umgesetzt. Für den Einsatz solcher Cookies durch einen Dienst der Informationsgesellschaft, wovon Online-Shops durchgehend erfasst sind, wäre folglich nach dem TKG eine Einwilligung erforderlich; eine Ausnahme besteht nur dann, wenn der angebotene Dienst nur unter der Bedingung dieser Datenverarbeitung erbracht werden kann und dieselbe daher unbedingt erforderlich wäre. IdZ spricht man gerne von essentiellen / notwendigen Cookies, die jedenfalls akzeptiert werden müssen und in jedem Fall rechtmäßig gesetzt werden dürfen. Im Weiteren setzt eine TKG-konforme Einwilligung grds ein aktives Verhalten des Nutzers voraus (Opt-in). Ergänzend dazu wurde in den Erläuternden Bemerkungen zur Regierungsvorlage zum TKG erwähnt, dass die Einwilligung auch über eine entsprechende Einstellung des eigenen Browsers (Zulassen von Cookies) konkludent erteilt werden kann. Inwieweit dies allerdings mit EU-Recht vereinbar ist, ist fraglich. Vielfach wird eine „aktive Handlung“ ausdrücklich gefordert. Daher wäre nur eine freiwillige und gesonderte Einwilligung zur Verwendung von Cookies (die personenbezogene Daten enthalten) zu 100 % rechtssicher und dies auch nur dann, wenn vor Erteilung dieser Einwilligung noch keine Cookies gesetzt werden. Dass sich dennoch die Praxis der Cookie-Banner herausgebildet hat, die meistens rein der Information dienen und auch in Österreich vertreten sind, lässt sich wohl auf eine sehr frei interpretierte Umsetzung der Bestimmung in Deutschland zurückführen, die sich auch in unserer Praxis vermehrt durchgesetzt hat. Die ePrivacy-Richtlinie war 2009 durch die Richtlinie 2009/136/EG (sog Cookie-Richtlinie) ergänz worden, mit der in Bezug auf Cookies vom bis dahin vorherrschenden Opt-out-Prinzip auf ein Opt-in umgesattelt werden sollte. Deutschland hatte – wie auch andere EU-Mitgliedstaaten – ein solches Opt-in allerdings nie festgeschrieben. Tlw wurde auch kritisiert, dass die Vorgaben der Cookie-Richtlinie nicht klar genug seien bzw Spielraum böten; dem Wortlaut von Art 5 Abs 3 ePrivacy-RL hätte eine schärfere und genauere Umschreibung jedenfalls nicht geschadet. Außerdem ist die Möglichkeit der Verarbeitung personenbezogener Daten mittels Cookies nie wirklich im Bewusstsein der Gesellschaft angekommen, worin ebenfalls ein Grund für die enorme Verbreitung der Cookie-Banner gesehen werden kann.

3.5.2   Cookies und Social Plugins

Das konkrete Problem für Social Plugins, insb den Facebook „Gefällt mir“-Button, besteht nunmehr darin, dass dabei mit Cookies gearbeitet wird. Obgleich immer noch nicht ganz klar ist, wie sich die Datensammlung des Facebook-Plugins zusammensetzt, muss man wohl davon ausgehen, dass personenbezogene Daten (auch) über Cookies übertragen werden. Die Europäische Kommission war etwa der Ansicht, dass die vierte Vorlagefrage betreffend die berechtigten Interessen gar nicht beantwortet hätte werden müssen, da aufgrund von Art 5 Abs 3 ePrivacy-RL ohnehin eine Einwilligung vonnöten ist. Der EuGH lehnte dieses Argument allerdings mit der Begründung ab, dass es Sache des vorlegenden Gerichts sei, zu verifizieren, ob man es ausschließlich mit Informationen zu tun hatte, welche im Endgerät des Website-Besuchers gespeichert sind. Jedenfalls muss festgehalten werden, dass solche Cookies nicht zur Erbringung des Dienstes des Website-Betreibers notwendig sind, weswegen eine Einwilligung die einzig denkbare Rechtmäßigkeitsgrundlage darstellen würde. Darüber hinaus müsste diese Einwilligung aus Sicht der DSGVO gesondert eingeholt werden, um nicht mit dem Koppelungsverbot des Art 7 Abs 4 DSGVO zu kollidieren. Dass dies eigentlich schon seit langem – zumindest in Österreich – der geltenden Rechtslage entspricht, ändert nichts daran, dass diese Tatsache durch die Entscheidung des EuGH in das Bewusstsein einer breiteren Masse zurückgekehrt ist bzw durch die zahlreichen bereits im Internet auffindbaren Berichte, die die Tragweite der Entscheidung gekonnt überzeichnen, zurückkehren wird. Damit muss ab sofort mehr denn je auf datenschutzkonforme Cookie-Opt-in-Lösungen wie zB „Borlabs Cookie 2.0“ für WordPress oder „Cookiebot“ und eine korrekte Einbindung derselben verwiesen werden.

3.6      Einwilligung und Informationspflichten

Die fünfte und sechste Vorlagefrage zielten schließlich darauf ab zu bestimmen, wer für die Einholung der im Rahmen des Entscheidungssachverhalts aller Voraussicht nach erforderlichen Einwilligung sowie für die Erfüllung der Informationspflichten zuständig ist. Der EuGH hat dabei wiederum auf die einzelnen Vorgänge der Datenverarbeitung abgestellt, wonach jeweils zuständig ist, wer in einer Phase über Zwecke und Mittel entscheidet. Die Verpflichtung soll sich nicht auf Vorgänge in vor- oder nachgelagerten Phasen erstrecken. Für die Einholung der Einwilligung und die Erteilung der Informationen hinsichtlich der Phase der Datenerhebung und Übermittlung an Facebook ist der Website-Betreiber verantwortlich, als er den sich daraus ergebenden Verarbeitungsprozess auslöst. So nett diese Lösung in der Theorie des EuGH auch klingen mag, wird man uE praktisch doch auf deutliche Schwierigkeiten stoßen, Verarbeitungsvorgänge in diesem Sinn voneinander abzukapseln und von der DSGVO verlangte Informationen auf Phasen zu beschränken.

4.            Klagslegitimation und Exkurs zu DSGVO-Abmahnungen

Wie bereits eingangs angesprochen, beschäftigte sich der EuGH im Rahmen der ersten Vorlagefrage mit der Klagslegitimation von Verbraucherschutzverbänden, die zwar im nationalen Recht, nicht aber in der (vollharmonisierten) Richtlinie vorgesehen war. Art 22 der DS-RL beinhaltete lediglich eine Aktivlegitimation von Betroffenen, die durch die Mitgliedsstaaten garantiert werden musste. Die Verbraucherzentrale NRW stützte ihre Unterlassungsklage aufgrund der Missachtung der Datenschutzbestimmungen auf eine wettbewerbswidrige und irreführende Handlung iSd deutschen Gesetzes gegen den unlauteren Wettbewerb (dUWG). Die deutschen Verbraucherschutzverbände sind aufgrund des Unterlassungsklagengesetzes („UKlaG„) bei Verletzungen von Verbraucherschutzgesetzen – worunter der Bereich des Datenschutzes fällt – aktivlegitimiert. Der EuGH ließ das Argument von Fashion ID nicht gelten, wonach die Richtlinie keine Beschwerdelegitimation von Verbänden vorsieht, weil solch eine nationale Regelung der Wirksamkeit der Richtlinie nicht entgegenstehe. In Art 80 Abs 2 der aktuell geltenden DSGVO ist eine Öffnungsklausel normiert, welche den Mitgliedstaaten ausdrücklich die Möglichkeit bietet, durch nationale Bestimmungen Verbraucherorganisationen in Datenschutzbelangen ein Beschwerderecht einzuräumen. In Österreich wurde die Öffnungsklausel im Datenschutzgesetz (DSG) nicht umgesetzt, deshalb sind NGOs nur aktivlegitimiert, wenn ein Verbraucher seine Ansprüche an diese abtritt.[viii] Auch deshalb stellt sich die Frage, ob wettbewerbsrechtliche Ansprüche aufgrund von Datenschutzverletzungen geltend gemacht werden können. Die Entscheidung des EuGH ist nicht als pauschale Legitimierung von wettbewerbsrechtlichen Abmahnschreiben zu verstehen. Der Gerichtshof hat lediglich über die Frage entschieden, ob (alter Rechtslage zufolge) eine umfassendere Aktivlegitimierung als jene des Unionsrechts zulässig sei. Das deutsche UKlaG bemächtigt Verbraucherverbände zur Geltendmachung von Datenschutzverstößen, wenn die personenbezogenen Daten von Verbrauchern zB zu Zwecken der Werbung bzw Markt- und Meinungsforschung verarbeitet wurden.[ix] Dies wird bei Social Plugins der Fall sein, jedoch kann keinesfalls eine generelle Zulässigkeit von Abmahnungen iZm DSGVO-Verstößen aus der Entscheidung abgeleitet werden. Über die Zulässigkeit von Abmahnungen in Datenschutzbelangen haben die nationalen Gerichte zu entscheiden. Hierzu gab es leider noch keine höchstgerichtliche Entscheidung, jedoch haben sich in jüngerer Vergangenheit mehrere deutsche Gerichte mit der Thematik befasst. Das OLG Hamburg vertrat die Ansicht, dass DSGVO-Abmahnungen eingeschränkt möglich seien.[x] Das OLG stellt hierbei auf eine Einzelfallprüfung der konkreten DSGVO-Norm ab, diese müsse die Regelung des Marktverhaltens zum Gegenstand haben. Unter den deutschen Landgerichten herrscht weiterhin Uneinigkeit. Das LG Würzburg befürwortete eine wettbewerbsrechtliche Geltendmachung von DSGVO-Verstößen;[xi] das LG Bochum lehnte diese ab.[xii] Im Mai 2019 urteilte das LG Stuttgart, dass das Sanktionssystem der DSGVO abschließend und ausreichend und somit eine (zusätzliche) Geltendmachung nach dem UWG nicht zulässig sei.[xiii] In Österreich sieht das UWG ebenfalls eine Aktivlegitimation von Verbraucherschutzverbänden für Unterlassungsklagen vor.[xiv] Jedoch gilt diese nur für irreführende und aggressive Geschäftspraktiken, worunter in Einzelfällen auch DSGVO-Verstöße fallen könnten. Die weit praxisnähere Gruppe der möglichen UWG-Ansprüche nach Datenschutzverletzungen ist wohl der Rechtsbruch, der durch Mitbewerber geltend gemacht werden kann. Dieser ist Teil der großen Generalklausel – demnach § 1 Abs 1 Z 1 UWG – und kann nicht von den zuletzt genannten Verbänden eingeklagt bzw abgemahnt werden. Damit sich ein Mitbewerber auf einen DSGVO-Verstoß eines Konkurrenten berufen kann, muss sich dieser durch die Verletzung einen spürbaren Wettbewerbsvorteil verschafft haben, welcher nicht auf einer objektiv vertretbaren Rechtsauffassung beruht. Dies ist wiederrum nach den Umständen des Einzelfalls zu beurteilen.

Zusammenfassend kann demnach gesagt werden, dass in Deutschland Verbraucherschutzverbände, aufgrund einer expliziten Norm, bei Datenschutzverstößen unter gewissen Umständen abmahnen können. In Österreich ist eine Geltendmachung von DSGVO-Verletzungen durch solche Verbände – in den überwiegenden Fällen – mangels der Ausnützung der Öffnungsklausel des Art 80 Abs 2 DSGVO und mangels einer Legitimation durch das UWG nicht möglich. Der in seinen Rechten Verletzte muss selbst aktiv werden und kann seine Ansprüche an diese Vereinigungen abtreten.

5.            Fazit

Die Entscheidung des EuGH hat bereits und wird noch weiterhin für Wirbel bzw ein wenig Aufruhr sorgen, obwohl sie im Detail betrachtet weniger bahnbrechend ist, als von vielen Seiten angenommen wird. Die Wahrscheinlichkeit wettbewerbsrechtlicher Abmahnungen durch Verbände ist in Österreich weiterhin mehr als gering. Der Einsatz von Social Plugins und Cookies sollte in Zukunft allerdings mit etwas größerer Zurückhaltung erfolgen. Es ist anzuraten, Drittanbieter zu meiden, die keinerlei Informationen über Datenverarbeitungen ihrer Tools bereitstellen. Social Plugins sollten möglichst datenschutzkonform in die eigene Website eingebunden werden, etwa unter Verwendung der „Shariff-Lösung“ von heise online. Werden Cookies gesetzt, die personenbezogene Daten verarbeiten, empfehlen wir nunmehr dringend die Implementierung einer Opt-in-Lösung, um die Sanktionsgefahr auf ein absolutes Minimum zu reduzieren, da die Entscheidung definitiv Staub aufgewirbelt hat. Natürlich muss abschließend nochmals wiederholt werden, dass die Tatsache, dass der EuGH einen Website-Betreiber hinsichtlich des Einsatzes eines Social Plugins als gemeinsam mit Facebook verantwortlich ansieht, doch etwas verwundert, besonders, da der Website-Betreiber überhaupt keinen Zugriff auf die Daten hat, für die er verantwortlich gemacht wird.


[i]         EuGH C-40/17, Fashion ID, ECLI:EU:C:2019:629.

[ii]  Europäischer Datenschutzausschuss, Opinion 5/2019 on the interplay between the ePrivacy Directive and the GDPR, in particular regarding the competence, tasks and powers of data protection authorities, https://edpb.europa.eu/sites/edpb/files/files/file1/201905_edpb_opinion_eprivacydir_gdpr_interplay_en_0.pdf (Stand 12.3.2019).

[iii]       EuGH C-40/17, Fashion ID, ECLI:EU:C:2019:629, Rz 42.

[iv]       Vgl EuGH C-582/14, Breyer, ECLI:EU:C:2016:779.

[v]        EuGH C-40/17, Fashion ID, ECLI:EU:C:2019:629, Rz 82.

[vi]       Vgl EuGH C-210/16, Wirtschaftsakademie Schleswig-Holstein, ECLI:EU:C:2018:388.

[vii]      Vgl EuGH C-582/14, Breyer, ECLI:EU:C:2016:779.

[viii]     Art 80 Abs 1 DSGVO iVm § 28 DSG.

[ix]       § 2 Abs 2 Z 11 UKlaG.

[x]        Urteil OLG Hamburg 25.10.2018, 3 U 66/17.

[xi]       Beschluss LG Würzburg 13.9.2018, 11 O 1741/18.

[xii]      Urteil LG Bochum 7.8.2018, 12 O 85/18.

[xiii]     Urteil LG Stuttgart 20.5.2019, 30 O 68/18 KfH.

[xiv]     § 14 Abs 1 letzter Satz und Abs 2 UWG.