Diekmann Rrechtsanwälte

Feldbrunnenstraße 57,   20148 Hamburg   |   +49 (0)40 33 44 36 90

Haben Sie Fragen? Wir helfen gern!

Falls Sie Fragen zu diesem oder einem ähnlichen Thema haben, freuen wir uns über Ihre Kontaktaufnahme mittels des nachstehenden Formulars oder per Email an:

info@diekmann-rechtsanwaelte.de

Sie können uns natürlich auch unter

+49 (40) 33443690 telefonisch erreichen.

  1. * Pflichtfelder

23.02.2017

OLG Düsseldorf legt dem EuGH 6 datenschutzrechtliche Fragen zum facebook Gefällt-Mir-Button vor

Das Oberlandesgericht Düsseldorf hat dem Europäischen Gerichtshof insgesamt sechs datenschutzrechtliche Fragen im Zusammenhang mit der Einbindung des von facebook herausgegebenen Gefällt-mir-Buttons in einem deutschen Online-Shop vorgelegt.

OLG Düsseldorf, Beschluss vom 19.01.2017, Az. I-20 U 40/16


Volltext der Entscheidung:

Oberlandesgericht Düsseldorf

Beschluss

In dem Rechtsstreit



Streithelferin:

Facebook Ireland Limited, vertreten durch den Vorstand Gareth Lambe, Shane Crehan, 4 Grand Canal Square, Dublin 2, Irland,

– Prozessbevollmächtigte:

gegen

Verbraucherzentrale NRW eV., …



Beteiligt:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nord­rhein-Westfalen, Kavalleriestraße 2-4,40213 Düsseldorf

hat der 20. Zivilsenat des Oberlandesgerichts Düsseldorf auf die mündliche Verhandlung vom 29. November 2016 durch … beschlossen:

I.
Das Verfahren wird ausgesetzt.

II.
Das Oberlandesgericht Düsseldorf legt dem Gerichtshof der Europäischen Union folgende Fragen zur Vorabentscheidung vor:

1.
Steht die Regelung in Artikeln 22, 23 und 24 der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezo­gener Daten und zum freien Datenverkehr vom 24. Oktober 1995 (ABI. Nr. L 281/31 vom 23.11.1995) einer nationalen Regelung entgegen, die neben den Einqriffsbefugnissen der Datenschutzbehörden und den Rechtsbehelfsmöglichkeiten des Betroffenen gemeinnützigen Verbänden zur Wahrung der Interessen der Verbraucher die Befugnis einräumt, im Falle von Verletzungen gegen den Verletzer vorzuge­hen?

Falls die Frage 1) verneint wird:

2.
Ist in einem Fall wie dem vorliegenden, bei dem jemand einen Pro­grammcode in seine Webseite einbindet, der den Browser des Benut­zers veranlasst, Inhalte von einem Dritten anzufordern und hierzu per­sonenbezogene Daten an den Dritten zu übermitteln, der Einbindende „für die Verarbeitung Verantwortlicher“ im Sinne von Art. 2 Buchstabe d) der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr vom 24. Oktober 1995 (ABI. Nr. L 281/31 vom 23.11.1995), wenn er selber diesen Datenverarbeitungsvorgang nicht beeinflussen kann?

3.
Falls die Frage 2 zu verneinen ist: Ist Art. 2 Buchstabe d) der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung per­sonenbezogener Daten und zum freien Datenverkehr dahingehend auszulegen, dass er die Haftung und Verantwortlichkeit in dem Sinne abschließend regelt, dass er einer zivilrechtlichen Inanspruchnahme eines Dritten entgegen steht, der zwar nicht „für die Verarbeitung Ver­antwortlicher“ ist, aber die Ursache für den Verarbeitungsvorgang setzt, ohne diesen zu beeinflussen?

4.
Auf wessen „berechtigte Interessen“ ist in einer Konstellation wie der vorliegenden bei der nach Art. 7 Buchstabe f) der Richtlinie 95/46/EG vorzunehmenden Abwägung abzustellen? Auf das Interesse an der Einbindung von Drittinhalten oder auf das Interesse des Dritten?

5.
Wem gegenüber muss die nach Art. 7 Buchstabe a) und Art. 2 Buch­stabe h) der Richtlinie 95/46/EG zu erklärende Einwilligung in einer Konstellation wie der vorliegenden erfolgen?

6.
Trifft die Informationspflicht des Art. 10 der Richtlinie 95/46/EG in einer Situation wie der vorliegenden auch den Betreiber der Webseite, der den Inhalt eines Dritten eingebunden hat und so die Ursache für die Verarbeitung personenbezogener Daten durch den Dritten setzt?

Gründe

A)
Die Parteien streiten über die Zulässigkeit der Einbindung eines von der Streit­helferin der Beklagten oder deren amerikanischer Muttergesellschaft (im Folgenden Facebook) bereitgestellten Plugins, des sogenannten Facebook-„Gefällt mir“-Buttons, auf der Webseite der Beklagten, eines Online-Händlers für Mode­artikel. Der Kläger, ein gemeinnütziger Verband zur Wahrung der Interessen der Verbraucher, verlangt von der Beklagten, dass diese es unterlässt, im Internet auf der Seite www…..de das Social Plugin „Gefällt mir“ von Facebook (Fa­cebook Inc. bzw. Facebook Ltd.) zu integrieren,

1. ohne die Nutzer der Internetseite bis zu dem Zeitpunkt, in dem der Anbieter des Plugins beginnt, Zugriff auf die IP-Adresse und den Browser-String des Nutzers zu nehmen, ausdrücklich und unübersehbar die Nutzer der Internet­seite über den Zweck der Erhebung und der Verwendung der so übermittel­ten Daten aufzuklären und/oder

2. ohne die Einwilligung der Nutzer der Internetseite zu dem Zugriff auf die IP­Adresse und den Browserstring durch den Plugin-Anbieter und zu der Datenverwendung einzuholen, jeweils bevor der Zugriff erfolgt, und/oder

3. ohne die Nutzer, die ihre Einwilligung im Sinne des Klageantrags zu 2. erteilt haben, über deren jederzeitige Widerruflichkeit mit Wirkung für die Zukunft zu informieren, und/oder

4. zu behaupten „Wenn Sie Nutzer eines sozialen Netzwerks sind und nicht möchten, dass das soziale Netzwerk über unseren Internetauftritt Daten über Sie sammelt und mit ihren bei dem sozialen Netzwerk gespeicherten Nutzer­daten verknüpft, müssen Sie sich vor dem Besuch unseres Internetauftritts bei dem sozialen Netzwerk ausloggen.“

Das Landgericht hat die Beklagte gemäß der Klageanträge zu 1.-3. verurteilt und die Klage hinsichtlich des Klageantrags zu 4. abgewiesen.

Dagegen wendet sich die Beklagte mit Ihrer Berufung, mit der sie die Abweisung der Klage insgesamt begehrt und der sich der Kläger angeschlossen hat, der eine Verurteilung auch hinsichtlich des Begehrens zu 4. erstrebt. In der Berufungs­instanz ist die Anbieterin des Plugins dem Rechtsstreit auf Seiten der Beklagten beigetreten. Der Senat hat die Landesbeauftragte für Datenschutz und Informa­tionsfreiheit Nordrhein Westfalen an dem Verfahren beteiligt.

Es ist eine Eigenart des World Wide Web, dass der Browser des Benutzers In­halte aus verschiedenen Quellen darstellen kann. So können zum Beispiel auf einer Seite Fotos, Videos, Newsfeeds und eben auch das hier streitgegenständ­liche Social-Plugin eingebunden und dargestellt werden. Will der Betreiber einer Webseite derartige Drittinhalte einbinden, setzt er auf seiner Webseite einen Verweis auf den externen Inhalt. Stößt der Browser des Benutzers auf einen derar­tigen Verweis, fordert er den Inhalt von dem Drittanbieter an und fügt ihn an der gewünschten Stelle in die Darstellung der Webseite ein. Hierzu muss der Brow­ser dem Server des Drittanbieters übermitteln, unter welcher IP-Adresse er mit dem Internet verbunden ist, zudem technische Informationen des Browsers, da­mit der Server feststellen kann, in welchem Format der Inhalt an welche Adresse auszuliefern ist. Daneben wird der Browser auch Informationen zu dem gewünschten Inhalt übermitteln. Welche Informationen der Browser übermittelt und was der Drittanbieter mit diesen Informationen macht, insbesondere, ob er diese speichert und auswertet, kann der den Drittinhalt auf seiner Seite einbindende Anbieter nicht beeinflussen.

Hinsichtlich des Facebook-Gefällt-mir“ Buttons übermittelt der Browser bei Ein­bindung des entsprechenden Codes neben der IP-Adresse und dem sogenann­ten Browser-String (falls gesetzt) mehrere sogenannte Cookies, Textdateien mit bestimmten Informationen:

den Session Cookie, der bei eingeloggten Facebookmitgliedern gesetzt ist und der eine eindeutige Zuordnung zu einem bestimmten Nutzerkonto ermöglicht

den datr-Cookie, der beim ersten Besuch einer Facebook-Seite gesetzt wird und bei Mitgliedern und Nichtmitgliedern eine eindeutige Zuordnung in diesem Fall zu einem bestimmten Browser ermöglicht

den fr-Cookie, der ebenfalls eine Identifizierung des Nutzers erlaubt, und der beim Besuch einer Facebook-Seite oder einer – nicht näher benannten – Partnerseite gesetzt wird.

Darüber hinaus wird auch die Seite übermittelt, von der aus der Button aufgerufen wurde. Dieser Vorgang ist unabhängig davon, ob der Benutzer den „Gefällt-Mir“­-Button anklickt oder nicht.

Der Kläger behauptet, Facebook Inc. oder die Streithelferin der Beklagten wür­den die übermittelte IP-Adresse und den Browserstring speichern und mit einem bestimmten Benutzer (Mitglied oder Nichtmitglied) verknüpfen.

Die Beklagte erklärt sich hierzu mit Nichtwissen. Die Streithelferin behauptet, die IP-Adresse werde nach Auslieferung des Plugins in eine generische IP-Adresse umgewandelt und nur als solche gespeichert. Eine Zuordnung der IP-Adresse und des Browserstring zu Nutzerkonten finde nicht statt.

B)

Die für die Beurteilung des Rechtstreites maßgeblichen Vorschriften des deut­schen Rechts haben folgenden Wortlaut:

§ 8 Abs. 1 und Abs. 3 Nr. 3 des Gesetzes gegen den unlauteren Wettbewerb (UWG):

(1) Wer eine nach § 3 oder § 7 unzulässige geschäftliche Handlung vornimmt, kann auf Beseitigung und bei Wiederholungsgefahr auf Unterlassung in An­spruch genommen werden. Der Anspruch auf Unterlassung besteht bereits dann, wenn eine derartige Zuwiderhandlung gegen § 3 oder § 7 droht.

(3) Die Ansprüche aus Absatz 1 stehen zu:

3. qualifizierten Einrichtungen, die nachweisen, dass sie in der Liste der qualifi­zierten Einrichtungen nach § 4 des Unterlassungsklagegesetzes oder in dem Verzeichnis der Europäischen Kommission nach Artikel 4 Absatz 3 der Richtlinie 2009/22/EG des Europäischen Parlaments und des Rates vom 23. April 2009 über Unterlassungsklagen zum Schutz der Verbraucherinteressen (ABI. L 110 vom 1. 5. 2009, S. 30) eingetragen sind;


§ 3 Abs. 1 UWG:

(1) Unlautere geschäftliche Handlungen sind unzulässig.

§ 3a UWG:

Unlauter handelt, wer einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktleilnehmer das Marktverhalten zu re­geln, und der Verstoß geeignet ist, die Interessen vo.n Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen.

§ 2 Abs. 1 Satz 1 und Abs. 2 Nr. 11 des Unterlassungsklagegesetzes:

(1) Wer in anderer Weise als durch Verwendung oder Empfehlung von Allgemei­nen Geschäftsbedingungen Vorschriften zuwiderhandelt, die dem Schutz der Verbraucher dienen (Verbraucherschutzgesetze), kann im Interesse des Verbraucherschutzes auf Unterlassung und Beseitigung in Anspruch genommen werden.

(2) Verbraucherschutzgesetze im Sinne dieser Vorschrift sind insbesondere

11. die Vorschriften, welche die Zulässigkeit regeln

a) der Erhebung personenbezogener Daten eines Verbrauchers durch einen Un­ternehmer oder

b) der Verarbeitung oder der Nutzung personenbezogener Daten, die über einen Verbraucher erhoben wurden, durch einen Unternehmer, wenn die Daten zu Zwecken der Werbung, der Markt- und Meinungsforschung, des Betreibens einer Auskunftei, des ErstelIens von Persönlichkeits- und Nut­zungsprofilen, des Adresshandels, des sonstigen Datenhandels oder zu vergleichbaren kommerziellen Zwecken erhoben, verarbeitet oder genutzt werden,


§ 2 Abs. 1 Nr. 1 des Telemediengesetzes (TMG):

(1) Im Sinne dieses Gesetzes

1. ist Diensteanbieter jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermit­telt; bei audiovisuellen Mediendiensten auf Abruf ist Diensteanbieter jede natürli­che .oder juristische Person, die die Auswahl und Gestaltung der angebotenen Inhalte wirksam kontrolliert,


§ 12 Abs. 1 TMG:

(1) Der Diensteanbieter darf personenbezogene Daten zur Bereitstellung von Teiemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat.

§ 13 Abs. 1 TMG:


(1) Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des An- . wendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Ver­arbeitung personenbezogener Daten und zum freien Datenverkehr (ABI. EG Nr. L 281 S. 31) in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist. Bei einem automatisierten Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung oder Ver­wendung personenbezogener Daten vorbereitet, ist der Nutzer zu Beginn dieses Verfahrens zu unterrichten. Der Inhalt der Unterrichtung muss für den Nutzer je­derzeit abrufbar sein.

§ 15 Abs. 1 TMG:


(1) Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erhe­ben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten). Nutzungsdaten sind insbesondere

1. Merkmale zur Identifikation des Nutzers,
2. Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung und
3. Angaben über die vom Nutzer in Anspruch genommenen Telemedien.


Der Erfolg der Berufung der Beklagten hängt von der Beantwortung der Vorlage­fragen ab, die die Auslegung der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und um freien Datenver­kehr vom 24. Oktober 1995 betreffen, die unter anderem durch das Telemedien­gesetz in nationales Recht umgesetzt sind. Dabei geht der Senat davon aus, dass jedenfalls durch Facebook beim Aufruf des Plugins personenbezogene Da­ten erhoben und verarbeitet werden. Die Personenbezogenheit der IP-Adresse als solche kann dahin stehen, da Facebook jedenfalls durch Auswertung der in Randnummer 5 genannte Cookies einen Personenbezug herstellen kann.

Die erste Vorlagefrage betrifft die Klagebefugnis des Klägers. Das Landgericht hat eine Klagebefugnis des Klägers nach § 8 Abs. 3 Nr. 3 UWG bejaht und angenommen, die Datenschutzvorschriften des TMG seien Marktverhaltensvor­schriften im Sinne des § 3a UWG. Dem hält die Beklagte entgegen, dieses Verständnis stehe nicht in Einklang mit der Richtlinie 95/46/EG, die in Art. 22 bis 24 nur ein Vorgehen der Datenschutzbehörden und der Betroffenen vorsehe. Eine Verbandsklage sei dort nicht vorgesehen. Die Richtlinie stelle auch insoweit eine abschließende Regelung dar. Insbesondere die Unabhängigkeit der Datenschutzbehörden stehe einer Verbandsklage entgegen. Aus diesem Grunde komme eine Klagebefugnis auch nicht nach § 2 Abs. 2 Nr. 11 des Unterlassungsklagegesetzes in Betracht, da dieser als nicht richtlinienkonform unanwendbar sei. Träfe dies zu, hätte die Berufung der Beklagten schon deshalb Erfolg, weil der Kläger zur Verfolgung der streitgegenständlichen Ansprüche nicht berechtigt wäre.

Gegen die Annahme, die Richtlinie lasse eine Verbandsklage nicht zu, spricht indes, dass nach Art. 24 der Richtlinie die Mitgliedstaaten geeignete Maßnahmen zu ergreifen haben, um die volle Anwendung der Richtlinie sicherzustellen. Es spricht einiges dafür, dass zu derartigen Maßnahmen auch die Einführung einer Verbandsklage im Interesse der Verbraucher gehört. Insoweit ist darauf hinzuweisen, dass nach Art. 80 Abs. 2. der Verordnung 2016/679/EU vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Da­tenschutz-Grundverordnung) (ABI. L 519/1 vom 04.05.2016), die ab 25. Mai 2018 an die Stelle der Richtlinie tritt, eine Verbandsklage nunmehr ausdrücklich vorge­sehen ist. Es ist deshalb nicht ersichtlich, warum die Richtlinie einer Verbands­klage entgegen stehen sollte.

Ist der Kläger klagebefugt, hängt der Erfolg der Berufung weiter davon ab, ob und in welcher Weise die Beklagte für den hier angestoßenen Datenverarbeitungsvorgang verantwortlich ist. Der Kläger und ihm folgend das Landgericht hält die Beklagte neben Facebook für unmittelbar verantwortlich, weil sie den Zugriff von Facebook auf die personenbezogenen Daten ermögliche. Es stellt sich damit die Frage, ob die Beklagte (neben Facebook) als „für die Verarbeitung Verantwortli­cher“ in Betracht kommt. Zu diesem Begriff hat das deutsche Bundesverwal­tungsgericht ebenfalls in einem Vorabentscheidungsersuchen ausgeführt, es sei ein prägendes, unverzichtbares Element des Art. 2 Buchstabe d) der Richtlinie 95/46/EG, dass der Verantwortliche die Möglichkeit habe, über die Zwecke und Mittel der jeweiligen Datenverarbeitung auch entscheiden zu können. Eine Stelle, die weder einen rechtlichen, noch einen tatsächlichen Einfluss auf die Entschei­dung hat, wie personenbezogene Daten verarbeitet werden, könne nicht als für die Verarbeitung Verantwortlicher angesehen werden (BVerwG Beschl. v. 25.02.2016,1 C 28/14 Rn. 27, beim Gerichtshof anhängig unter C-210/16).

Die gegenteilige Auffassung, allein durch die Einbindung von Dritten bereitge­stellter Inhalte werde auch der Einbindende „für die Verarbeitung Verantwortlicher“, macht praktisch datenschutzrechtlich eine derartige Einbindung unmög­lich, denn der hierdurch ausgelöste Datenverarbeitungsvorgang ist für den Ein­bindenden nicht zu kontrollieren.

Ist die Beklagte nicht „für die Verarbeitung Verantwortlicher“, verhilft dies nicht zwingend der Berufung zum Erfolg. In Betracht kommt nach deutschem Recht grundsätzlich auch eine Haftung als sogenannter „Störer“. Danach kann unter Umständen jemand, der selber ein Recht nicht verletzt, aber die Gefahr einer Rechtsverletzung durch Dritte geschaffen oder erhöht hat, verpflichtet sein, das ihm Mögliche und Zumutbare zu unternehmen, um eine Rechtsverletzung zu verhindern. Lehnt man eine eigene Verantwortlichkeit der Beklagten ab, lägen die Voraussetzungen hier vor, denn die Beklagte hat jedenfalls durch die Einbindung des Plugins die Gefahr geschaffen, das Facebook personenbezogene Daten ver­arbeitet.

Insofern stellt sich hier in zivilrechtlicher Hinsicht die Frage, ob Art. 2 Buchstabe d) insofern abschließend ist, als eine zivilrechtliche Haftung für von Dritten zu verantwortenden Datenschutzverstößen ausgeschlossen ist und die Haftung auf die Verantwortlichen beschränkt ist. Die 3. Vorlagefrage zielt damit auf die gleiche Frage, die in Bezug auf die öffentlich-rechtliche Verantwortung das Bundes­verwaltungsgericht in seinem oben Rn. 13 zitierten Beschluss als erste gestellt hat.

Die 4., 5. und 6. Frage sind für die Berufung nur dann relevant, wenn die Beklagte entweder Verantwortlicher im Sinne des Art. 2 Buchstabe d) der Richtlinie 95/46/EG ist oder für eventuelle Verstöße von Facebook jedenfalls als Störer haftet. Dann stellt sich nämlich die Frage, ob die Verarbeitung personenbezoge­ner Daten rechtmäßig ist und ob die Informationspflicht nach Art. 10 der Richtlinie von der Beklagten zu erfüllen ist oder von Facebook.

Dabei geht der Senat davon aus, dass der Begriff „erforderlich“ in § 15 des Tele­mediengesetzes richtlinienkonform dahin auszulegen ist, dass eine Erhebung und Verarbeitung personenbezogener Daten dann erforderlich ist, wenn der Ver­antwortliche ein berechtigtes Interesse daran hat und nicht das Interesse und die Grundfreiheiten der betroffenen Person entgegen stehen (Art. 7 Buchstabe f) der Richtlinie 95/46/EG). Dies folgt nach Ansicht des Senats aus den Ausführungen des Gerichtshofes in Randnummern 56, 60 und 62 des Urteils in der Rechtssache C-582 vom 19. Oktober 2016 (ECLI:EU:C:2016:779]. Dies wirft in einer Fallgestaltung wie der vorliegenden die Frage auf, auf wessen berechtigtes Interesse abzustellen ist, das der Beklagten oder das von Facebook.

Auch stellt sich die Frage, ob die Beklagte gehalten ist, ihrerseits eine Einwilli­gung der Nutzer einzuholen, oder ob dies allein Sache von Facebook ist. Insofern geht das landgerichtliche Urteil davon aus, dass eine Einwilligung auch gegen­über der Beklagten erklärt werden muss und eine etwa gegenüber Facebook er­klärte Einwilligung nicht ausreicht.

Schließlich ist noch die vom Landgericht bejahte Frage zu klären, wen die Infor­mationspflichten des Art. 10 der Richtlinie 46/95/EG treffen. Dies ist insbeson­dere deshalb von Bedeutung, weil in allen Fällen, in denen Drittinhalte eingebun­den werden, mit einer Datenverarbeitung gerechnet werden muss, deren Umfang und Zweck jedoch dem Einbindenden unbekannt ist, weshalb er – so er dazu verpflichtet ist – die geschuldete Information nicht geben kann, weshalb die An­nahme, den Einbindenden treffe die Informationspflicht nach Art. 10 faktisch zu einem Verbot der Einbindung von Dritten bereit gestellter Inhalte zur Folge hätte.