Betrifft:

Urteil des EuGH C-40/17 vom 29.7.2019


Fashion ID GmbH & Co. KG

gegen

Verbraucherzentrale NRW eV

beteiligt:

Facebook Ireland Ltd.

Link zum Urteil im Volltext.

 

Zum Überblick In Kürze:

Social - Plugins mit Cookies uä bedürfen der Aufklärung und Zustimmung des Users. Betreffend die Erhebung und Weitergabe der Userdaten ist der Webseitenbetreiber hierfür verantworltich. Die Aufklärung duch Erfüllung der Informationspflichten muss erfolgen, bevor die Daten des Users erhoben werden. Erst dann kann eine Zustimmung eingeholt werden.

Die Rechtsprechung dürfte auf Javascript-Funktionen übertragbar sein, die Daten an den Funktionsbereitsteller übermitteln.

Beispielhafte Überlegungen:

a) Ein Webseitenbetreiber bindet Werbung derart ein, dass er ein extern zugeladenes Plug-In verwendet, das die Werbung samt weiterem Code nachlädt. Es wird dann von diesem nachgeladenen Code ein Cookie gesetzt, es werden Daten des Users erhoben und dieser werden  an den Werbungsbetreiber rückübermittelt.

a) Umgelegt auf z.B. das  Projekt "Sharif" von Heise, könnte das bedueten, dass eine Information über die Erhebung der Daten zur Vefügung stehen muss, bevor der Sharif-Button angeklickt wird - etwa durch einen Link in der Nähe des Buttons.

b) Die Einbindung von z.B. Videoplayern kann weitere Tracking-Codes mit sich bringen, auch können Cookies gesetzt werden. Der Webseitenbetreiber hat somit sicherzustellen, sämtliche Scripts etc., die der eingebettete Dritt-Code für den Videoplayer mit sich bringt, datenschutzrechtlich zu prüfen. Dies setzt die Kenntnis voraus, ob und welchen Code (und woher)  ein eingebundener Video-Player nachlädt.

 

Am 29.7.2019 hat der Europäische Gerichtshof im Vorabentscheidungsverfahren C-40/17 im Wesentlichen grob zusammengefasst entschieden:

 

  • Der Webseitebetreiber trägt die datenschutzrechtliche Mitverantwortung für Datenerhebung und Datenübermittlung durch ein externes Plug-In, das personenbezogene Daten an den Plug-in Betreiber übermittelt. Er ist in die Datenverarbeitung des Plug-in-Anbieter eingebunden. Die Gründe für diese Mitverantwortung sind, dass der Webseitenbetrteiber selbst entschieden hat, das Plug-In auf seiner Webseite zu platzieren, er weiss, dass damit personenbezogene Daten erhoben und übermittelt werden und er hat durch das Plug-In einen wirtschaftlichen Vorteil hat (z.b. Werbung). Diese Mitverantwortung besteht insbesondere gegenüber Webseitenbesuchern, die kein Konto beim Anbieter des Plug-Ins haben.

 

  • Die Verwendung von Drittanbieter- Plug-Ins auf Webseiten erfordert eine klare Kommunikation über die stattfindenden Abläufe (s. Informationspflicht).

 

  • Grundsätzlich ist für die Einbindung von Drittanbieter- Plugins mind. ein berechtigtes Interesse gem. Art 7 lit f der EU-RL 94/95 des Webseitebetreibers und des Plug-In-Anbieters nötig (nach damaliger Rechtslage, nunmehr DSGVO u.a.). Im vorliegenden Fall könnte sogar die Zustimmung gem. Art 7 lit a der RL und gem. EU-RL 2002/58 nötig gewesen sein. Ist die Einwilligung nötig - etwa weil informationen auf dem Endgerät des Nutzers gespcihert werden - , so muss der Webseitenbetreiber diese einholen. Dies hat vor der Datenerhebung und Übermittlung an den Plug-In Anbieter zu erfolgen.

 

  • Da der Anbieter des Plug-In, sowie der Webseitenbetreiber gemeinsam Verwantwortliche iSd Richtlinie sind, muss bei beiden ein Rechtfertigungsgrund gem. Art 7 EU-RL 94/95 bestehen, beide müssen die jeweiligen Pflichten der Richtlinien als Verwantwortlicher erfüllen, wie die Informationspflichten gegenüber den Betroffenen (Art 10 EU-RL 94/95).

 

  • Die Regelung über "Joint Controller" lässt zivilrechtliche Haftungsnormen unberührt.

 

 

Näheres finden Sie im Urteil, das unter diesem Link abrufbar ist.

 

Die Vorabentscheidung ergeht noch zur Rechtslage vor In-Kraft-Treten der DSGVO. Es ist aber vorsichtshalber von einer weitgehenden Umlegbarkeit auf die Rechtslage seit In-Kraft-Treten der DSGVO auszugehen.

Die Entscheidung dürfte weitreichende Auswirkungen haben, vor allem auch auf die Verwendung bestimmter Formen von Tracking-Code, durch den die Interaktion des Webseitebenutzers analysiert und weiterverarbeitet wird. Dies soweit der Code browserseitig nachgeladen wird bzw. der Drittanbieter mit dem Webseitenbenutzer interagiert. Die Annahme, ein Dritter, der Code anbietet, sei ein Auftragsverarbeiter, ist gründlich zu prüfen.

Sämtliche eingebunden externen JavaScript Funktionen oä, die von Dritten betrieben werden, sind jedenfalls auf ihre rechtliche Zulässigkeit zu prüfen.

Zu beachten ist, dass die Feststellungen des EuGH zum Sachverhalt abhängig vom Ergebnis des unterinstanzlichen Verfahrens sind, es können sich somit noch Änderungen ergeben. Der EuGH hat in Rz 90 des Urteils dem vorlegenden Gericht aufgetragen, nachzuprüfen, ob der Dritte Zugriff auf Informationen hat, die im Endgerät des Benutzers gespeichert werden.

Diese Zusammenfassung ersetzt keine individuelle Rechtsberatung. Bei Fragen zu Ihrer Webseite oder Ihrem IT-Dienst kontaktieren Sie mich.

Am 17.7.2019 hat der Europäische Datenschutzbeauftragte eine Liste von Datenanwendungen herausgebracht, die der Datenschutz-Folgeabschätzung gem. der Verordnung (EU) 2018/1725, die für die EU-Organe und -Einrichtungen gilt, unterliegen.

Näheres auf der Webseite des Europäischen Datenschutzbeauftragen: https://edps.europa.eu/data-protection/our-work/publications/guidelines/data-protection-impact-assessment-list_en

 

 

 

Näheres unter: https://edps.europa.eu/press-publications/press-news/press-releases/2019/edps-investigates-contractual-agreements_en

 

Entscheidung der Datenschutzbehörde:
  • Pflichtenverletzungen gem. DSGVO/DSB - im Anlaßfall Verstoß gegen die Pflicht einen Datenschutzbeauftragten zu bestellen.
  • Eine datenschutzrechtliche Einwilligung muss die konkreten Datenverarbeitungen klar nennen.
  • Von Datensicherheitsmaßnahmen gem. Art 32 DSGVO kann nicht im Wege der Einwilligung zum Nachteil des Betroffenen abgewichen werden (hier: Zustimmung zu unverschlüsseltem Versand von Daten u.a.).
  • Die Voraussetzungen zur Heranziehung von Auftragsverarbeitern unterliegt Art 28 DSGVO - eine Einwilligung hierzu ist (im Anlassfall) grdstzl nicht möglich.
  • Datenschutzrechtliche Einwilligungen können nicht unwiderruflich eingeholt werden (vgl. Art 7 Abs 2 DSGVO).
  • Betroffene sind darüber zu informieren welche Daten bei ihnen und welche Daten bei Dritten erhoben werden.
  • etc
Geschäftszahl DSB-D213.692/0001-DSB/2018.Näheres im Ris-Justiz.

Entscheidung der Datenschutzbehörde: Kriterien zur (datenschutzrechtlichen) Berechtigung von Bewertungsportalen (Geschäftszahl DSB-D123.527/0004-DSB/2018 ).
Näheres im Ris-Justiz.

Europäischer Datenschutzausschuss: Veröffentlichung von Annex 2 zu den Richtlinien zur Zertifizierung gem. Art 42, 43 DSGVO zur Stellungnahme: "Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation 2016/679 - Annex 2"

30.1.2019 Entscheidung der Datenschutzbehörde: Eine Löschung von personenbezogenen Daten kann uU durch Entfernung des Personenbezugs erfolgen. Anm.: Laut dem Erkenntnis kann auch aus einem Änderungsverlauf einer Datenverarbeitung uU ein Personenbezug rekonstruiert werden. (Geschäftszahl DSB-D123.270/0009-DSB/2018 ).
Näheres im Ris-Justiz.

23.1.2019 Europäischer Datenschutzausschuss: Richtlinien zur Zertifizierung gem. Art 42, 43 DSGVO: "Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation 2016/679 - revised version after public consultation"

10.12.2018 Entscheidung des Bundesverwaltungsgerichts: Rechtsgrundlagen, die die Aufgaben einer juristische Person definieren, können Beschränkungen enthalten, wen die juristische Person zur Erfüllung der Aufgaben heranzieht. Nichtbeachtung dieser Beschränkungen kann einen Verstoß gegen den Zweckbindungsgrundsatz mit sich bringen, da auch die Zwecke in diesen Rechtsgrundlagen definiert sind (Geschäftszahl W258 2134678-1/10E). Näheres im Ris-Justiz.
06.12.2018 Entscheidung der Datenschutzbehörde: Beschwerden sind auf Deutsch einzubringen. Näheres im Ris-Justiz.
06.12.2018 Entscheidung der Datenschutzbehörde: Online-Nachrichtenseiten dürfen uU ihrem Angebot eine Entscheidung zwischen "Paywall" und der Zustimmung zur Datenverarbeitung zu Werbezwecken vorschalten. Näheres im Ris-Justiz.
30.11.2018 Entscheidung der Datenschutzbehörde: Im Rahmen eines Auskunftsbegehren ist auch mitzuteilen, welche dritten Personen konkret auf den betreffenden Krankenakt zugegriffen haben. Unzulässige Zugriffen können als Zugriffe von Dritten gewertet werden. Näheres im Ris-Justiz.
21.11.2018 Entscheidung des Bundesverwaltungsgerichts: Gerichtlich beeidete Sachverständige sind bei der Gutachtenserstellung gemeinsam mit dem beauftragenden Gericht als gemeinsame Verantwortliche gem. Art 4 Z 7 DSGVO zu sehen. Weitere gemeinsam Verantwortliche werden offengelassen. Näheres im Ris-Justiz.
05.11.2018 Entscheidung des OGH: Rechtssatz: "Bei der Koppelung der Einwilligung zu einer Verarbeitung vertragsunabhängiger personenbezogener Daten mit einem Vertragsabschluss ist grundsätzlich davon auszugehen, dass die Erteilung der Einwilligung nicht freiwillig erfolgt, wenn nicht im Einzelfall besondere Umstände für eine Freiwilligkeit der datenschutzrechtlichen Einwilligung sprechen.". Näheres im Ris-Justiz.
29.10.2018 Entscheidung der Datenschutzbehörde: Die DSGVO sieht kein (subjektives) Recht des Betroffenen vor, vom Verantwortlichen spezifische Datensicherheitsmaßnahmen gem. Art 32 DSGVO zu fordern. Das gilt auch für den Grundsatz der Datenminimierung. die Sicherheit gem. Art 32 DSGVO kann auf mehrere Arten gewährleistet sein. Näheres im Ris-Justiz.
25.10.2018 Entscheidung der Datenschutzbehörde: Einer Beschwerde ist gem. § 24 Abs 3 DSG der zugrundeliegende Antrag beizuschließen. Näheres im Ris-Justiz.
16.10.2018 Entscheidung der Datenschutzbehörde zu u.a. Löschfristen in Zusammenhang mit der Aufbewahrung zur Verteidigung von Rechtsansprüchen: Eine Verarbeitung, die zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist, kann einem Löschanspruch entgegenstehen. im Einzelfall muss konkret dargelegt werden, weshalb nach Abschluss zb eines Verfahrens eine Notwendigkeit zur Aufbewahrung von Unterlagen nötig ist. Es sind somit konkrete Ansprüche und konkrete Zeiträume (z.B. im Anlassfall Anspruch gem. § 26 Abs 1 GlBG; 6 Monate) anzuführen. Daten sind dann zum "ehest möglichen" Zeitpunkt zu löschen - etwa nach Ablauf einer Klagsfrist gem. § 29 GlBG. Näheres im Ris-Justiz.
15.10.2018 Entscheidung der Datenschutzbehörde: Eine Einwilligung zu Marketingzwecken (Art 6 Abs 1 lit a DSGVO) ist nur dann frewillig, wenn durch das Formular nicht der Eindruck erweckt wird, dass nur der Kommunikationskanal gewählt werden kann. Die Platzierung des Unterschriftsfelds, direkt über der Unterschrift für die Anmeldung zur Mitgliedschaft (eines Vereins), entspricht ebenfalls nicht den Kriterien der DSGVO, da der Eindruck erweckt wird, die Einwilligung sei nötig (wodurch die notwendige Freiwilligkeit gem. DSGVO verloren geht). (siehe Newsletter Datenschutzbehörde).
21.09.2018 Entscheidung der Datenschutzbehörde: Artikel in Online-Foren von Medienunternehmen oder Mediendiensten gem. § 9 Abs 1 DSG können unter § 9 Abs 1 DSG fallen. Näheres im Ris-Justiz.
19.09.2018 Bescheid der Datenschutzbehörde: Anwendung von § 7 Abs 3 DSG auf die Erstellung einer Ortschronik. Nicht abgesprochen wurde über die Voraussetzungen der Veröffentlichung einer solchen Chronik. Näheres im Ris-Justiz.
02.08.2018 Entscheidung der Datenschutzbehörde: Anwendung von § 7 Abs 3 DSG auf die Erstellung einer Analyse der Straßenoberfläche mittels Meßfahrzeug. Gem. § 7 Abs 3 DSG kann unter den dort genannten Voraussetzungen die Einholung der Zustimmung von Betroffenen für wissenschaftliche/statistische Zwecke und Archivzwecke, die im öffentlichen Interesse liegen, uU unterbleiben. Näheres im Ris-Justiz.
10.07.2018 Entscheidung des EuGH: Eine Tätigkeit ist dann nicht ausschließlich privat oder familiär iSd RL 95/46, wenn sie zum Gegenstand hat, "personenbezogene Daten einer unbegrenzten Zahl von Personen zugänglich zu machen, oder wenn sie sich auch nur teilweise auf den öffentlichen Raum erstreckt und dadurch auf einen Bereich außerhalb der privaten Sphäre desjenigen gerichtet ist, der die Daten verarbeitet". Die Verkündigung von Religion von Tür-zu-Tür hat keinen ausschließlich persönlichen oder familiären Charakter im Sinne von Art. 3 Abs. 2 zweiter Gedankenstrich der Richtlinie 95/46. Eine "Datei" iSd Art. 2 Buchst. c der Richtlinie 95/46 liegt schon vor, wenn erhobene Daten "nach Kriterien strukturiert werden, die gemäß dem Zweck der Datenerhebung gewählt werden", wie etwa dem Zweck Listen zu erstellen und die Daten über bestimmte Personen leicht wieder zu finden. Kriterien können etwa Namen und Adressen, Überzeugungen oder Ablehnung weiterer Besuche sein. Näheres bei curia.europa.eu.
25.05.2018 Die DSGVO wird EU-weit unmittelbar anwendbar.
(Datumsangaben sind Publikationsdaten, nicht Entscheidungsdaten; die angeführte Judikatur ist eine Auswahl)
Disclaimer: Die News sind Zusammenfassungen und ersetzen keine Rechtsberatung. Bitte entnehmen Sie dem RIS ob die Entscheidungen rechtskräftig sind oder fragen Sie bei der entsprechenden Behörde nach.