Das Oberlandesgericht Düsseldorf setzt das Berufungsverfahren zum „Gefällt-mir“-Button mit Beschluss vom 19.01.2017 (I-20 U 40/16) aus und übermittelt im Wege des Vorabentscheidungsverfahren zunächst sechs datenschutzrechtliche Fragen an den Europäischen Gerichtshof (EuGH).
Vorgeschichte
Die Verbraucherzentrale NRW mahnte 2015 sechs große Unternehmen (darunter Peek & Cloppenburg), die den Facebook Like-Button eingebunden hatten, wegen unlauterer geschäftlicher Handlungen ab. Das Social Plugin von Facebook verbindet den Browser des Nutzers mit dem Server von Facebook, wenn die aufgerufene Webseite einen Facebook „Gefällt-mir“-Button besitzt. Dadurch findet eine Übertragung von Daten wie z. B. IP-Adressen an Facebook statt. In der Abmahnung machte die Verbraucherzentrale NRW geltend, dass bei Seitenaufruf eine Übermittlung personenbezogener Daten stattfindet, ohne dass der Nutzer hierüber informiert und der Webseitenbetreiber eine Einwilligung von diesem fordert (Föhlisch/Pilous, MMR 2015, 631).
Klage beim Landgericht Düsseldorf
Fashion ID & Co. KG (Onlineshop: Peek & Cloppenburg) verweigerte die Abgabe einer Unterlassungserklärung, woraufhin die Verbraucherzentrale NRW Unterlassungsklage erhob. Im erstinstanzlichen Verfahren der Verbraucherzentrale NRW gegen die Fashion ID & Co. KG (Peek & Cloppenburg) wegen der Einbindung des „Gefällt-mir“-Buttons stellte das LG Düsseldorf (Urteil vom 09.03.2016, 12 O 151/15) daraufhin Datenschutzverstöße und damit die Wettbewerbswidrigkeit fest (vgl. § 3a UWG i. V. m. § 13 TMG). Entscheidend war für das Landgericht Düsseldorf, dass Fashion ID als verantwortliche Stelle i. S. d. § 3 Abs. 7 BDSG darüber hätte informieren müssen, dass bei registrierten Facebook-Nutzern eine Identifizierung der Internetnutzer möglich ist. Der Betreiber der jeweiligen Website entscheidet über die Einbindung des Facebook-Plugins und macht damit die Datenverarbeitung durch Facebook möglich. Das Urteil verpflichtete das Unternehmen dazu, zukünftig das Facebook-Plugin nur einzusetzen, wenn hierzu eine Aufklärung des Betroffenen erfolgt, eine Einwilligung vorliegt und auf die Widerruflichkeit dieser hingewiesen wird (Meyer, MMR-Aktuell 2016, 376765).
Beklagte legt Berufung beim Oberlandesgericht Düsseldorf ein
Die Fashion ID & Co. KG legte gegen dieses Urteil Berufung ein. Facebook ist in der Berufungsinstanz als Streithelferin beigetreten. Der Senat hat den Landesbeauftragte für den Datenschutz und Informationsfreiheit Nordrhein Westfalen an dem Verfahren beteiligt. Die Fashion ID & Co. KG argumentiert, dass die Informationen die der Browser übermittelt und was der Drittanbieter mit diesen Informationen macht, insbesondere ob diese gespeichert oder ausgewertet werden, von ihr nicht beeinflusst werden könne. Der Browser übermittle bei Einbindung des entsprechenden Codes des „Gefällt-mir“-Button von Facebook neben der IP-Adresse und dem sogenannten Browser-String mehrere Cookies und Textdateien mit bestimmten Informationen. Auch werde die Seite übermittelt, von der aus der Button aufgerufen wurde. Dieser Vorgang sei unabhängig davon, ob der Benutzer den „Gefällt-Mir“-Button anklicke oder nicht. Zu den Vorwürfen der Verbraucherzentrale NRW, Facebook würde die übermittelten IP-Adressen und den Browserstring speichern und mit einem bestimmten Benutzer (Mitglied oder Nichtmitglied) verknüpfen, könne sich Fashion ID & Co. KG nicht äußern. Die Streithelferin Facebook behauptet, die IP-Adresse werde nach Auslieferung des Plugins in eine generische IP-Adresse umgewandelt und nur als solche gespeichert. Eine Zuordnung der IP-Adresse und des Browserstring zu Nutzerkonten finde nicht statt.
Welche datenschutzrechtlichen Fragen sind jetzt durch den EuGH zu klären?
- Stehen Art. 22, 23, 24 der Richtlinie 95/46/EG einer nationalen Regelung entgegen, die gemeinnützigen Verbänden Befugnisse einräumt gegen Verletzungen von Verbraucherinteressen vorzugehen?
(Falls Nr. 1 verneint wird:) - Ist derjenige der den Programmcode wie im vorliegenden Fall einbindet „für die Verarbeitung Verantwortlicher“ im Sinne von Art. 2 d) Richtlinie 95/46/EG, wenn er selbst den Datenverarbeitungsvorgang nicht beeinflussen kann?
- (Falls Nr. 2 verneint wird:) Steht Art. 2 d) Richtlinie 95/46/EG einer zivilrechtlichen Inanspruchnahme eines Dritten entgegen, der zwar nicht „für die Verarbeitung Verantwortlicher“ ist, aber die Ursache für den Verarbeitungsvorgang setzt, ohne diesen zu beeinflussen?
- Auf wessen „berechtigte Interessen“ ist in der Abwägung nach Art. 7 f) Richtlinie 95/46/EG in der vorliegenden Konstellation abzustellen? Auf das Interesse an der Einbindung von Drittinhalten oder auf das Interesse des Dritten?
- Wem gegenüber muss die Einwilligung nach Art. 7 a) und Art. 2 h) Richtlinie 95/46/EG in der vorliegenden Konstellation erfolgen?
- Trifft die Informationspflicht des Art. 10 Richtlinie 95/46/EG in der vorliegenden Konstellation auch den Betreiber der Webseite, der Inhalte eines Dritten eingebunden hat und so die Ursache für die Verarbeitung personenbezogener Daten durch den Dritten setzt?
Haben Sie Fragen? Kontaktieren Sie gerne: RA Nicole Schmidt, LL.M.
Leistung: Beratung Datenschutzrecht