EuGH soll datenschutzrechtliche Fragen im Zusammenhang mit der Einbindung des „Gefällt-Mir“-Buttons von Facebook auf Unternehmerseiten klären

Oberlandesgericht Düsseldorf

Beschluss vom 19.01.2017

Az.: I-20 U 40/16

In dem Rechtsstreit

(…)

hat der 20. Zivilsenat des Oberlandesgerichts Düsseldorf auf die mündliche Verhandlung vom 29. November 2016 durch den Vorsitzenden Richter am Oberlandesgericht (…), die Richterin am Oberlandesgericht (…) und den Richter am Oberlandesgericht (…)

beschlossen:

I.

Das Verfahren wird ausgesetzt.

II.

Das Oberlandesgericht Düsseldorf legt dem Gerichtshof der Europäischen Union folgende Fragen zur Vorabentscheidung vor:

1. Steht die Regelung in Artikeln 22, 23 und 24 der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr vom 24. Oktober 1995 (ABI. Nr. L 281/31 vom 23.11.1995) einer nationalen Regelung entgegen, die neben den Eingriffsbefugnissen der Datenschutzbehörden und den Rechtsbehelfsmöglichkeiten des Betroffenen gemeinnützigen Verbänden zur Wahrung der Interessen der Verbraucher die Befugnis einräumt, im Falle von Verletzungen gegen den Verletzer vorzugehen?

Falls die Frage 1) verneint wird:

2. Ist in einem Fall wie dem vorliegenden, bei dem jemand einen Programmcode in seine Webseite einbindet, der den Browser des Benutzers veranlasst, Inhalte von einem Dritten anzufordern und hierzu personenbezogene Daten an den Dritten zu übermitteln, der Einbindende ,,für die Verarbeitung Verantwortlicher“ im Sinne von Art. 2 Buchstabe d) der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr vom 24. Oktober 1995 (ABI. Nr. L 281/31 vom 23.11.1995), wenn er selber diesen Datenverarbeitungsvorgang nicht beeinflussen kann?

3. Falls die Frage 2 zu verneinen ist: Ist Art. 2 Buchstabe d) der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr dahingehend auszulegen, dass er die Haftung und Verantwortlichkeit in dem Sinne abschließend regelt, dass er einer zivilrechtlichen Inanspruchnahme eines Dritten entgegen steht, der zwar nicht „für die Verarbeitung Verantwortlicher“ ist, aber die Ursache für den Verarbeitungsvorgang setzt, ohne diesen zu beeinflussen?

4. Auf wessen „berechtigte Interessen“ ist in einer Konstellation wie der vorliegenden bei der nach Art. 7 Buchstabe f) der Richtlinie 95/46/EG vorzunehmende Abwägung abzustellen? Auf das Interesse an der Einbindung von Drittinhalten oder auf das Interesse des Dritten?

5. Wem gegenüber muss die nach Art. 7 Buchstabe a) und Art. 2 Buchstabe h) der Richtlinie 95/46/EG zu erklärende Einwilligung in einer Konstellation wie der vorliegenden erfolgen?
Trifft die Informationspflicht des Art. 10 der Richtlinie 95/46/EG in einer Situation wie der vorliegenden auch den Betreiber der Webseite, der den Inhalt eines Dritten eingebunden hat und so die Ursache für die Verarbeitung personenbezogener Daten durch den Dritten setzt?

Gründe

A)

Die Parteien streiten über die Zulässigkeit der Einbindung eines von der Streit-helferin der Beklagten oder deren amerikanischer Muttergesellschaft (im Folgen-den Facebook) bereitgestellten‘ Plugins, des sogenannten Facebook-„Gefällt mir“-Buttons, auf der Webseite der Beklagten, eines Online-Händlers für Mode-artikel. Der Kläger, ein gemeinnütziger Verband zur Wahrung der Interessen der Verbraucher, verlangt von der Beklagten, dass diese es‘ unterlässt, im Internet auf der Seite www.fashionid.de das Social Plugin „Gefällt mir“ von Facebook (Facebook Inc. bzw. Facebook Ltd.) zu integrieren,

1. ohne die Nutzer der Internetseite bis zu dem Zeitpunkt, in dem der Anbieter des Plugins beginnt, Zugriff auf die IP-Adresse und den Browser-String des Nutzers zu nehmen, ausdrücklich und unübersehbar die Nutzer der Internetseite über den Zweck der Erhebung und der Verwendung der so übermittelten Daten aufzuklären und/oder

2. ohne die Einwilligung der Nutzer der Internetseite zu dem Zugriff auf die IP-Adresse und den Browserstring durch den Plugin-Anbieter und zu der Datenverwendung einzuholen, jeweils bevor der Zugriff erfolgt, und/oder

3. ohne die Nutzer, die ihre Einwilligung im Sinne des Klageantrags zu 2. erteilt haben über deren jederzeitige Widerruflichkeit mit Wirkung für die Zukunft zu informieren, und/oder

4. zu behaupten „Wenn Sie Nutzer eines sozialen Netzwerks sind und nicht möchten, dass das soziale Netzwerk über unseren Internetauftritt Daten über Sie sammelt und mit ihren bei dem sozialen Netzwerk gespeicherten Nutzer-daten verknüpft, müssen Sie sich vor dem Besuch unseres Internetauftritts bei dem sozialen Netzwerk ausloggen.“

Das Landgericht hat die Beklagte gemäß der Klageanträge zu 1.-3. verurteilt und die Klage hinsichtlich des Klageantrags zu 4. abgewiesen.

Dagegen wendet sich die Beklagte Mit Ihrer Berufung, mit der sie die Abweisung der Klage insgesamt begehrt und der sich der Kläger angeschlossen hat, der eine Verurteilung auch hinsichtlich des Begehrens zu 4. erstrebt. In der Berufungsinstanz ist die Anbieterin des Plugins dem Rechtsstreit auf Seiten der Beklagten beigetreten. Der Senat hat die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein Westfalen an dem Verfahren beteiligt.

Es ist eine Eigenart des World Wide Web, dass der Browser des Benutzers Inhalte aus verschiedenen Quellen darstellen kann. So können zum Beispiel auf einer Seite Fotos, Videos, Newsfeeds und eben auch das hier streitgegenständliche Social-Plugin eingebunden und dargestellt werden. Will der Betreiber einer Webseite derartige Drittinhalte einbinden, setzt er auf seiner Webseite einen Verweis auf den externen. Inhalt. Stößt der Browser des Benutzers auf einen derartigen Verweis, fordert er den Inhalt von dem Drittanbieter an und fügt ihn an der gewünschten Stelle in die Darstellung der Webseite ein. Hierzu muss der Browser dem Server des Drittanbieters übermitteln, unter welcher IP-Adresse er mit dem Internet verbunden ist, zudem technische Informationen des Browsers, damit der Server feststellen kann, in welchem Format der Inhalt an welche Adresse auszuliefern ist. Daneben wird der Browser auch Informationen zu dem gewünschten Inhalt übermitteln. Welche Informationen der Browser übermittelt und was der Drittanbieter mit diesen Informationen macht, insbesondere, ob er diese speichert und auswertet, kann der den Drittinhalt auf seiner Seite einbindende Anbieter nicht beeinflussen.

Hinsichtlich des Facebook-„Gefällt mir“ Buttons übermittelt der Browser bei Einbindung des entsprechenden Codes neben der IP-Adresse und dem sogenannten Browser-String (falls gesetzt) mehrere sogenannte Cookies, Textdateien mit bestimmten Informationen:

– den Session Cookie, der bei eingeloggten Facebookmitgliedern gesetzt ist und der eine eindeutige Zuordnung zu einem bestimmten Nutzerkonto ermöglicht

– den datr-Cookie, der beim ersten Besuch einer Facebook-Seite gesetzt wird und bei Mitgliedern und Nichtmitgliedern eine eindeutige Zuordnung in diesem Fall zu einem bestimmten Browser ermöglicht

– den fr-Cookie, der ebenfalls eine Identifizierung des Nutzers erlaubt, und der beim Besuch einer Facebook-Seite oder einer– nicht näher benannten – Partnerseite gesetzt wird.

Darüber hinaus wird auch die Seite übermittelt, von der aus der Button aufgerufen wurde. Dieser Vorgang ist unabhängig davon, ob der Benutzer den „Gefällt-Mir“-Button anklickt oder nicht.

Der Kläger behauptet, Facebook Inc. oder die Streithelferin der Beklagten würden die übermittelte IP-Adresse und den Browserstring speichern und mit einem bestimmten Benutzer (Mitglied oder Nichtmitglied) verknüpfen.

Die Beklagte erklärt sich hierzu mit Nichtwissen. Die Streithelferin behauptet, die IP-Adresse werde nach Auslieferung des Plugins in eine generische IP-Adresse umgewandelt und nur als solche gespeichert. Eine Zuordnung der IP-Adresse und des Browserstring zu Nutzerkonten finde nicht statt.

B)

Die für die Beurteilung des Rechtstreites maßgeblichen Vorschriften des deutschen Rechts haben folgenden Wortlaut:

§ 8 Abs. 1 und Abs. 3 Nr. 3 des Gesetzes gegen den unlauteren Wettbewerb (UWG):

(1) Wer eine nach § 3 oder § 7 unzulässige geschäftliche Handlung vornimmt, kann auf Beseitigung und bei Wiederholungsgefahr auf Unterlassung in Anspruch genommen werden. Der Anspruch auf Unterlassung besteht bereits dann, wenn eine derartige Zuwiderhandlung gegen § 3 oder § 7 droht.

(3) Die Ansprüche aus Absatz 1 stehen zu:

3. qualifizierten Einrichtungen, die nachweisen, dass sie in der Liste der qualifizierten Einrichtungen nach § 4 des Unterlassungsklagegesetzes oder in dem Verzeichnis der Europäischen Kommission nach Artikel 4 Absatz 3 der Richtlinie 2009/22/EG des Europäischen Parlaments und des Rates vom 23. April 2009 über Unterlassungsklagen zum Schutz der Verbraucherinteressen (ABI. L 110 vom 1. 5. 2009, S. 30) eingetragen sind;

§ 3 Abs. 1 UWG:

(1) Unlautere geschäftliche Handlungen sind unzulässig.

§ 3a UWG:

Unlauter handelt, wer einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln, und der Verstoß geeignet ist, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen.

§ 2 Abs. 1 Satz 1 und Abs. 2 Nr. 11 des Unterlassungsklagegesetzes:

(1) Wer in anderer Weise als durch Verwendung oder Empfehlung von Allgemeinen Geschäftsbedingungen Vorschriften zuwiderhandelt, die dem Schutz der Verbraucher dienen (Verbraucherschutzgesetze), kann im Interesse des Verbraucherschutzes auf Unterlassung und Beseitigung in Anspruch genommen werden.

(2) Verbraucherschutzgesetze im Sinne dieser Vorschrift sind insbesondere

11. die Vorschriften, welche die Zulässigkeit regeln

a) der Erhebung personenbezogener Daten eines Verbrauchers durch einen Unternehmer oder

b) der Verarbeitung oder der Nutzung personenbezogener Daten, die über einen Verbraucher erhoben wurden, durch einen Unternehmer,

wenn die Daten zu Zwecken der Werbung, der Markt- und Meinungsforschung, des Betreibens einer Auskunftei, des Erstellens von Persönlichkeits- und Nutzungsprofilen, des Adresshandels, des sonstigen Datenhandels oder zu vergleichbaren kommerziellen Zwecken erhoben, verarbeitet oder genutzt werden,

§ 2 Abs. 1 Nr. 1 des Telemediengesetzes (TMG):

(1) Im Sinne dieses Gesetzes

1. ist Diensteanbieter jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt; bei audiovisuellen Mediendiensten auf Abruf ist Diensteanbieter jede natürliche oder juristische Person, die die Auswahl und Gestaltung der angebotenen Inhalte wirksam kontrolliert,

§ 12 Abs. 1 TMG:

(1) Der Diensteanbieter darf personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat.

§ 13 Abs. 1 TMG:

(1) Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABI. EG Nr. L 281 S. 31) in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist. Bei einem automatisierten Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet, ist der Nutzer zu Beginn dieses Verfahrens zu unterrichten. Der Inhalt der Unterrichtung muss für den Nutzer jederzeit abrufbar sein.

§ 15 Abs. 1 TMG:

(1) Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten). Nutzungsdaten sind insbesondere

1. Merkmale zur Identifikation des Nutzers,

2. Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung und

3. Angaben über die vom Nutzer in Anspruch genommenen Telemedien.

Der Erfolg der Berufung der Beklagten hängt von der Beantwortung der Vorlage-fragen ab, die die Auslegung der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr vom 24. Oktober 1995 betreffen, die unter anderem durch das Telemediengesetz in. nationales Recht umgesetzt sind. Dabei geht der Senat davon aus, dass jedenfalls durch Facebook beim Aufruf des Plugins personenbezogene Daten erhoben und verarbeitet werden. Die Personenbezogenheit der IP-Adresse als solche kann dahin stehen, da Facebook jedenfalls durch Auswertung der in Randnummer 5 genannte Cookies einen Personenbezug herstellen kann.

Die erste Vorlagefrage betrifft die Klagebefugnis des Klägers. Das Landgericht hat eine Klagebefugnis des Klägers nach § 8 Abs. 3 Nr. 3 UWG bejaht und angenommen, die Datenschutzvorschriften des TMG seien Marktverhaltensvor-schriften im Sinne des § 3a UWG. Dem hält die Beklagte entgegen, dieses Verständnis stehe nicht in Einklang mit der Richtlinie 95/46/EG, die in Art. 22 bis 24 nur ein Vorgehen der Datenschutzbehörden und der Betroffenen vorsehe, Eine Verbandsklage sei dort nicht vorgesehen. Die Richtlinie stelle auch insoweit eine abschließende Regelung dar. Insbesondere die Unabhängigkeit der Datenschutzbehörden stehe einer Verbandsklage entgegen. Aus diesem Grunde komme eine Klagebefugnis auch nicht nach § 2 Abs. 2 Nr. 11 des Unterlassungsklagegesetzes in Betracht, da dieser als nicht richtlinienkonform unanwendbar sei. Träfe dies zu, hätte die Berufung der Beklagten schon deshalb Erfolg, weil der Kläger zur Verfolgung der streitgegenständlichen Ansprüche nicht berechtigt wäre.

Gegen die Annahme, die Richtlinie lasse eine Verbandsklage nicht zu, ’spricht indes, dass nach Art. 24 der Richtlinie die Mitgliedstaaten geeignete Maßnahmen zu ergreifen haben, um die volle Anwendung der Richtlinie‘ sicherzustellen. Es spricht einiges dafür, dass zu derartigen Maßnahmen auch die Einführung einer Verbandsklage im Interesse der Verbraucher gehört. Insoweit ist darauf hinzuweisen, dass nach Art. 80 Abs. 2 der Verordnung 2016/679/EU vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABI. L 519/1 vom 04.05.2016), die ab 25. Mai 2018 an die Stelle der Richtlinie tritt, eine Verbandsklage nunmehr ausdrücklich vorgesehen ist. Es ist deshalb nicht ersichtlich, warum die Richtlinie einer Verbandsklage entgegen stehen sollte.

Ist der Kläger klagebefugt, hängt der Erfolg der Berufung weiter davon ab, ob und in welcher Weise die Beklagte für den hier angestoßenen Datenverarbeitungs-vorgang verantwortlich‘ ist. Der Kläger und ihm folgend das Landgericht hält die Beklagte neben Facebook für unmittelbar verantwortlich, weil sie den Zugriff von Facebook auf die personenbezogenen Daten ermögliche. Es stellt sich damit die Frage, ob die Beklagte (neben Facebook) als „für die Verarbeitung Verantwortlicher“ in Betracht kommt. Zu diesem Begriff hat das deutsche Bundesverwaltungsgericht ebenfalls in einem Vorabentscheidungsersuchen ausgeführt, es sei ein prägendes, unverzichtbares Element des Art. 2 Buchstabe d) der Richtlinie 95/46/EG, dass der Verantwortliche die Möglichkeit habe, über die Zwecke und Mittel der jeweiligen Datenverarbeitung auch entscheiden zu. können. Eine Stelle, die weder einen rechtlichen, noch einen tatsächlichen Einfluss auf die Entscheidung hat, wie personenbezogene Daten verarbeitet werden, könne nicht als für die Verarbeitung Verantwortlicher angesehen werden (BVerwG Beschl. v. 25.02.2016, 1 C 28/14 Rn. 27, beim Gerichtshof anhängig unter C-210/16).

Die gegenteilige Auffassung, allein durch die Einbindung von Dritten bereitgestellter Inhalte werde auch der Einbindende „für die Verarbeitung Verantwortlicher“, macht praktisch datenschutzrechtlich eine derartige Einbindung unmöglich, denn der hierdurch ausgelöste Datenverarbeitungsvorgang ist für den Einbindenden nicht zu kontrollieren.

Ist die Beklagte nicht „für die Verarbeitung Verantwortlicher“, verhilft dies nicht zwingend der Berufung zum Erfolg. In Betracht kommt nach deutschem Recht grundsätzlich auch eine Haftung als sogenannter „Störer“. Danach kann unter Umständen jemand, der selber ein Recht nicht verletzt, aber die Gefahr einer Rechtsverletzung durch Dritte geschaffen oder erhöht hat, verpflichtet sein, das ihm Mögliche und Zumutbare zu unternehmen, um eine Rechtsverletzung zu verhindern. Lehnt man eine eigene Verantwortlichkeit der Beklagten ab, lägen die Voraussetzungen hier vor, denn die Beklagte hat jedenfalls durch die Einbindung des Plugins die Gefahr geschaffen, das Facebook personenbezogene Daten verarbeitet.

Insofern stellt sich hier in zivilrechtlicher Hinsicht die Frage, ob Art. 2 Buchstabe d) insofern abschließend ist, als eine zivilrechtliche Haftung für von Dritten zu verantwortenden Datenschutzverstößen ausgeschlossen ist und die Haftung auf die Verantwortlichen beschränkt ist. Die 3. Vorlagefrage zielt damit auf die gleiche Frage, die in Bezug auf die öffentlich-rechtliche Verantwortung das Bundesverwaltungsgericht in seinem oben Rn. 13 zitierten Beschluss als erste gestellt hat.

Die 4., 5. und 6. Frage sind für die Berufung nur dann relevant, wenn die Beklagte entweder Verantwortlicher im Sinne des Art. 2 Buchstabe d) der Richtlinie 95/46/EG ist oder für eventuelle Verstöße von Facebook jedenfalls als Störer haftet. Dann stellt sich nämlich die Frage, ob die Verarbeitung personenbezogener Daten rechtmäßig ist und ob die Informationspflicht nach Art. 10 der Richtlinie von der Beklagten zu erfüllen ist oder von Facebook.

Dabei geht der Senat davon aus, dass der Begriff „erforderlich“ in § 15 des Telemediengesetzes richtlinienkonform dahin auszulegen ist, dass eine Erhebung und Verarbeitung personenbezogener Daten dann erforderlich ist, wenn der Verantwortliche ein berechtigtes Interesse daran hat und nicht das Interesse und die Grundfreiheiten der betroffenen Person entgegen stehen (Art. 7 Buchstabe f) der Richtlinie 95/46/EG). Dies folgt nach Ansicht des Senats aus den Ausführungen des Gerichtshofes in Randnummern 56, 60 und 62 des Urteils in der Rechtssache C-582 vom 19. Oktober 2016 [ECLI:EU:C:2016:779]. Dies wirft in einer Fallgestaltung wie der vorliegenden die Frage auf, auf wessen berechtigtes Interesse abzustellen ist, das der Beklagten oder das von Faqcebook.

Auch stellt sich die Frage, ob die Beklagte gehalten ist, ihrerseits eine Einwilligung der Nutzer einzuholen, oder ob dies allein Sache von Facebook ist. Insofern geht das landgerichtliche Urteil davon aus, dass eine Einwilligung auch gegenüber der Beklagten erklärt werden muss und eine etwa gegenüber Facebook erklärte Einwilligung nicht ausreicht.

Schließlich ist noch die vom Landgericht bejahte Frage zu klären, wen die Informationspflichten des Art. 10-der Richtlinie 46/95/EG treffen. Dies ist insbesondere deshalb von Bedeutung, weil in allen Fällen, in denen Drittinhalte eingebunden werden, mit einer Datenverarbeitung gerechnet werden muss, deren Umfang und Zweck jedoch dem Einbindenden unbekannt ist, weshalb er – so er dazu verpflichtet ist die geschuldete Information nicht geben kann, weshalb die Annahme, den Einbindenden treffe die Informationspflicht nach Art. 10 faktisch zu einem Verbot der Einbindung von Dritten bereitgestellter Inhalte zur Folge hätte.