Rechtsdatenbank
Welche Fragen Arbeitgeber auch zum Thema Sozialversicherungsrecht bewegen: Die Rechtsdatenbank der AOK liefert die Antworten – einfach, fundiert und topaktuell.
Rechtsdatenbank
Welche Fragen Arbeitgeber auch zum Thema Sozialversicherungsrecht bewegen: Die Rechtsdatenbank der AOK liefert die Antworten – einfach, fundiert und topaktuell.
EuGH 29.07.2019 - C-40/17
EuGH 29.07.2019 - C-40/17 - URTEIL DES GERICHTSHOFS (Zweite Kammer) - 29. Juli 2019 ( *1) - „Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Richtlinie 95/46/EG – Art. 2 Buchst. d – Begriff ‚für die Verarbeitung Verantwortlicher‘ – Betreiber einer Website, der in diese ein Social Plugin eingebunden hat, das die Weitergabe personenbezogener Daten des Besuchers dieser Website an den Anbieter des Plugins erlaubt – Art. 7 Buchst. f – Zulässigkeit der Verarbeitung von Daten – Berücksichtigung des Interesses des Betreibers der Website oder des Interesses des Anbieters des Social Plugins – Art. 2 Buchst. h und Art. 7 Buchst. a – Einwilligung der betroffenen Person – Art. 10 – Information der betroffenen Person – Nationale Regelung, wonach Verbände zur Wahrung von Verbraucherinteressen klagebefugt sind“
Leitsatz
In der Rechtssache C-40/17
betreffend ein Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht vom Oberlandesgericht Düsseldorf (Deutschland) mit Entscheidung vom 19. Januar 2017, beim Gerichtshof eingegangen am 26. Januar 2017, in dem Verfahren
Fashion ID GmbH & Co. KG
gegen
Verbraucherzentrale NRW e. V.,
beteiligt:
Facebook Ireland Ltd,
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen,
erlässt
DER GERICHTSHOF (Zweite Kammer)
unter Mitwirkung des Präsidenten des Gerichtshofs K. Lenaerts in Wahrnehmung der Aufgaben des Präsidenten der Zweiten Kammer, der Richterinnen A. Prechal und C. Toader sowie der Richter A. Rosas (Berichterstatter) und M. Ilešič,
Generalanwalt: M. Bobek,
Kanzler: D. Dittert, Referatsleiter,
aufgrund des schriftlichen Verfahrens und auf die mündliche Verhandlung vom 6. September 2018,
unter Berücksichtigung der Erklärungen
der Fashion ID GmbH & Co. KG, vertreten durch die Rechtsanwälte C.-M. Althaus und J. Nebel,
der Verbraucherzentrale NRW e. V., vertreten durch die Rechtsanwälte K. Kruse, C. Rempe und S. Meyer,
der Facebook Ireland Ltd, vertreten durch die Rechtsanwälte H.-G. Kamann, C. Schwedler und M. Braun sowie I. Perego, avvocatessa,
der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, vertreten durch U. Merger als Bevollmächtigte,
der deutschen Regierung, zunächst vertreten durch T. Henze und J. Möller als Bevollmächtigte, dann durch J. Möller als Bevollmächtigten,
der belgischen Regierung, vertreten durch P. Cottin und L. Van den Broeck als Bevollmächtigte,
der italienischen Regierung, vertreten durch G. Palmieri als Bevollmächtigte im Beistand von P. Gentili, avvocato dello Stato,
der österreichischen Regierung, zunächst vertreten durch C. Pesendorfer als Bevollmächtigte, dann durch G. Kunnert als Bevollmächtigten,
der polnischen Regierung, vertreten durch B. Majczyna als Bevollmächtigten,
der Europäischen Kommission, vertreten durch H. Krämer und H. Kranenborg als Bevollmächtigte,
nach Anhörung der Schlussanträge des Generalanwalts in der Sitzung vom 19. Dezember 2018
folgendes
Entscheidungsgründe
Urteil
Das Vorabentscheidungsersuchen betrifft die Auslegung der Art. 2, 7, 10, 22, 23 und 24 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. 1995, L 281, S. 31).
Dieses Ersuchen ergeht im Rahmen eines Rechtsstreits zwischen der Fashion ID GmbH & Co. KG und der Verbraucherzentrale NRW e. V. wegen eines von Fashion ID in ihre Website eingebundenen Social Plugins der Facebook Ireland Ltd.
Rechtlicher Rahmen
Unionsrecht
Die Richtlinie 95/46 wurde mit Wirkung zum 25. Mai 2018 aufgehoben und durch die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. 2016, L 119, S. 1) ersetzt. Diese Richtlinie ist jedoch in Anbetracht des für den Ausgangsrechtsstreit maßgeblichen Zeitraums auf diesen anwendbar.
Im zehnten Erwägungsgrund der Richtlinie 95/46 heißt es:
„Gegenstand der einzelstaatlichen Rechtsvorschriften über die Verarbeitung personenbezogener Daten ist die Gewährleistung der Achtung der Grundrechte und -freiheiten, insbesondere des auch in Artikel 8 der [am 4. November 1950 in Rom unterzeichneten] Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten und in den allgemeinen Grundsätzen des [Unionsrechts] anerkannten Rechts auf die Privatsphäre. Die Angleichung dieser Rechtsvorschriften darf deshalb nicht zu einer Verringerung des durch diese Rechtsvorschriften garantierten Schutzes führen, sondern muss im Gegenteil darauf abzielen, in der [Union] ein hohes Schutzniveau sicherzustellen.“
Art. 1 der Richtlinie 95/46 sieht vor:
„(1) Die Mitgliedstaaten gewährleisten nach den Bestimmungen dieser Richtlinie den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten.
(2) Die Mitgliedstaaten beschränken oder untersagen nicht den freien Verkehr personenbezogener Daten zwischen Mitgliedstaaten aus Gründen des gemäß Absatz 1 gewährleisteten Schutzes.“
Art. 2 dieser Richtlinie bestimmt:
„Im Sinne dieser Richtlinie bezeichnet der Ausdruck
‚personenbezogene Daten‘ alle Informationen über eine bestimmte oder bestimmbare natürliche Person (‚betroffene Person‘); als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind;
‚Verarbeitung personenbezogener Daten‘ (‚Verarbeitung‘) jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Speichern, die Organisation, die Aufbewahrung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Sperren, Löschen oder Vernichten;
…
‚für die Verarbeitung Verantwortlicher‘ die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sind die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten in einzelstaatlichen oder [unionsrechtlichen] Rechts- und Verwaltungsvorschriften festgelegt, so können der für die Verarbeitung Verantwortliche bzw. die spezifischen Kriterien für seine Benennung durch einzelstaatliche oder [unionsrechtliche] Rechtsvorschriften bestimmt werden;
…
‚Dritter‘ die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, außer der betroffenen Person, dem für die Verarbeitung Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters befugt sind, die Daten zu verarbeiten;
‚Empfänger‘ die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die Daten erhält, gleichgültig, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines einzelnen Untersuchungsauftrags möglicherweise Daten erhalten, gelten jedoch nicht als Empfänger;
‚Einwilligung der betroffenen Person‘ jede Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, dass personenbezogene Daten, die sie betreffen, verarbeitet werden.“
Art. 7 der Richtlinie bestimmt:
„Die Mitgliedstaaten sehen vor, dass die Verarbeitung personenbezogener Daten lediglich erfolgen darf, wenn eine der folgenden Voraussetzungen erfüllt ist:
Die betroffene Person hat ohne jeden Zweifel ihre Einwilligung gegeben;
…
die Verarbeitung ist erforderlich zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person, die gemäß Artikel 1 Absatz 1 geschützt sind, überwiegen.“
In Art. 10 („Information bei der Erhebung personenbezogener Daten bei der betroffenen Person“) der Richtlinie 95/46 heißt es:
„Die Mitgliedstaaten sehen vor, dass die Person, bei der die sie betreffenden Daten erhoben werden, vom für die Verarbeitung Verantwortlichen oder seinem Vertreter zumindest die nachstehenden Informationen erhält, sofern diese ihr noch nicht vorliegen:
Identität des für die Verarbeitung Verantwortlichen und gegebenenfalls seines Vertreters;
Zweckbestimmungen der Verarbeitung, für die die Daten bestimmt sind,
weitere Informationen, beispielsweise betreffend
die Empfänger oder Kategorien von Empfängern,
die Frage, ob die Beantwortung der Fragen obligatorisch oder freiwillig ist, sowie mögliche Folgen einer unterlassenen Beantwortung,
das Bestehen von Auskunfts- und Berichtigungsrechten bezüglich sie betreffender Daten,
sofern sie unter Berücksichtigung der spezifischen Umstände, unter denen die Daten erhoben werden, notwendig sind, um gegenüber der betroffenen Person eine Verarbeitung nach Treu und Glauben zu gewährleisten.“
Art. 22 der Richtlinie 95/46 lautet:
„Unbeschadet des verwaltungsrechtlichen Beschwerdeverfahrens, das vor Beschreiten des Rechtsweges insbesondere bei der in Artikel 28 genannten Kontrollstelle eingeleitet werden kann, sehen die Mitgliedstaaten vor, dass jede Person bei der Verletzung der Rechte, die ihr durch die für die betreffende Verarbeitung geltenden einzelstaatlichen Rechtsvorschriften garantiert sind, bei Gericht einen Rechtsbehelf einlegen kann.“
Art. 23 der Richtlinie bestimmt:
„(1) Die Mitgliedstaaten sehen vor, dass jede Person, der wegen einer rechtswidrigen Verarbeitung oder jeder anderen mit den einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie nicht zu vereinbarenden Handlung ein Schaden entsteht, das Recht hat, von dem für die Verarbeitung Verantwortlichen Schadenersatz zu verlangen.
(2) Der für die Verarbeitung Verantwortliche kann teilweise oder vollständig von seiner Haftung befreit werden, wenn er nachweist, dass der Umstand, durch den der Schaden eingetreten ist, ihm nicht zur Last gelegt werden kann.“
Art. 24 der Richtlinie sieht vor:
„Die Mitgliedstaaten ergreifen geeignete Maßnahmen, um die volle Anwendung der Bestimmungen dieser Richtlinie sicherzustellen, und legen insbesondere die Sanktionen fest, die bei Verstößen gegen die zur Umsetzung dieser Richtlinie erlassenen Vorschriften anzuwenden sind.“
Art. 28 der Richtlinie bestimmt:
„(1) Die Mitgliedstaaten sehen vor, dass eine oder mehrere öffentliche Stellen beauftragt werden, die Anwendung der von den Mitgliedstaaten zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften in ihrem Hoheitsgebiet zu überwachen.
Diese Stellen nehmen die ihnen zugewiesenen Aufgaben in völliger Unabhängigkeit wahr.
…
(3) Jede Kontrollstelle verfügt insbesondere über:
…
das Klagerecht oder eine Anzeigebefugnis bei Verstößen gegen die einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie.
…
(4) Jede Person oder ein sie vertretender Verband kann sich zum Schutz der die Person betreffenden Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten an jede Kontrollstelle mit einer Eingabe wenden. Die betroffene Person ist darüber zu informieren, wie mit der Eingabe verfahren wurde.
…“
Art. 5 Abs. 3 der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) (ABl. 2002, L 201, S. 37) in der durch die Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. November 2009 (ABl. 2009, L 337, S. 11) geänderten Fassung (im Folgenden: Richtlinie 2002/58) sieht vor:
„Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie [95/46] u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.“
Art. 1 Abs. 1 der Richtlinie 2009/22/EG des Europäischen Parlaments und des Rates vom 23. April 2009 über Unterlassungsklagen zum Schutz der Verbraucherinteressen (ABl. 2009, L 110, S. 30) in der durch die Verordnung (EU) Nr. 524/2013 des Europäischen Parlaments und des Rates vom 21. Mai 2013 (ABl. 2013, L 165, S. 1) geänderten Fassung (im Folgenden: Richtlinie 2009/22) bestimmt:
„Ziel dieser Richtlinie ist die Angleichung der Rechts- und Verwaltungsvorschriften der Mitgliedstaaten über Unterlassungsklagen im Sinne des Artikels 2 zum Schutz der Kollektivinteressen der Verbraucher, die unter die in Anhang I aufgeführten Rechtsakte der Union fallen, um so das reibungslose Funktionieren des Binnenmarkts zu gewährleisten.“
Art. 2 dieser Richtlinie sieht vor:
„(1) Die Mitgliedstaaten bestimmen die zuständigen Gerichte oder Verwaltungsbehörden für die Entscheidung über die von qualifizierten Einrichtungen im Sinne des Artikels 3 eingelegten Rechtsbehelfe, die auf Folgendes abzielen können:
eine mit aller gebotenen Eile und gegebenenfalls im Rahmen eines Dringlichkeitsverfahrens ergehende Anordnung der Einstellung oder des Verbots eines Verstoßes;
…“
Art. 7 dieser Richtlinie bestimmt:
„Diese Richtlinie hindert die Mitgliedstaaten nicht daran, Bestimmungen zu erlassen oder beizubehalten, die den qualifizierten Einrichtungen sowie sonstigen betroffenen Personen auf nationaler Ebene weitergehende Rechte zur Klageerhebung einräumen.“
Art. 80 der Verordnung 2016/679 lautet:
„(1) Die betroffene Person hat das Recht, eine Einrichtung, Organisationen oder Vereinigung ohne Gewinnerzielungsabsicht, die ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet ist, deren satzungsmäßige Ziele im öffentlichen Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig ist, zu beauftragen, in ihrem Namen eine Beschwerde einzureichen, in ihrem Namen die in den Artikeln 77, 78 und 79 genannten Rechte wahrzunehmen und das Recht auf Schadensersatz gemäß Artikel 82 in Anspruch zu nehmen, sofern dieses im Recht der Mitgliedstaaten vorgesehen ist.
(2) Die Mitgliedstaaten können vorsehen, dass jede der in Absatz 1 des vorliegenden Artikels genannten Einrichtungen, Organisationen oder Vereinigungen unabhängig von einem Auftrag der betroffenen Person in diesem Mitgliedstaat das Recht hat, bei der gemäß Artikel 77 zuständigen Aufsichtsbehörde eine Beschwerde einzulegen und die in den Artikeln 78 und 79 aufgeführten Rechte in Anspruch zu nehmen, wenn ihres Erachtens die Rechte einer betroffenen Person gemäß dieser Verordnung infolge einer Verarbeitung verletzt worden sind.“
Deutsches Recht
§ 3 Abs. 1 des Gesetzes gegen den unlauteren Wettbewerb in seiner auf den Ausgangsrechtsstreit anwendbaren Fassung (im Folgenden: UWG) lautet:
„Unlautere geschäftliche Handlungen sind unzulässig.“
§ 3a UWG lautet:
„Unlauter handelt, wer einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln, und der Verstoß geeignet ist, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen.“
§ 8 UWG sieht vor:
„(1) Wer eine nach § 3 oder § 7 unzulässige geschäftliche Handlung vornimmt, kann auf Beseitigung und bei Wiederholungsgefahr auf Unterlassung in Anspruch genommen werden. Der Anspruch auf Unterlassung besteht bereits dann, wenn eine derartige Zuwiderhandlung gegen § 3 oder § 7 droht.
…
(3) Die Ansprüche aus Absatz 1 stehen zu:
…
3. qualifizierten Einrichtungen, die nachweisen, dass sie in der Liste der qualifizierten Einrichtungen nach § 4 des Unterlassungsklagegesetzes oder in dem Verzeichnis der Europäischen Kommission nach Artikel 4 Absatz 3 der Richtlinie [2009/22] eingetragen sind;
…“
§ 2 des Unterlassungsklagegesetzes bestimmt:
„(1) Wer in anderer Weise als durch Verwendung oder Empfehlung von Allgemeinen Geschäftsbedingungen Vorschriften zuwiderhandelt, die dem Schutz der Verbraucher dienen (Verbraucherschutzgesetze), kann im Interesse des Verbraucherschutzes auf Unterlassung und Beseitigung in Anspruch genommen werden. …
(2) Verbraucherschutzgesetze im Sinne dieser Vorschrift sind insbesondere
…
11. die Vorschriften, welche die Zulässigkeit regeln
der Erhebung personenbezogener Daten eines Verbrauchers durch einen Unternehmer oder
der Verarbeitung oder der Nutzung personenbezogener Daten, die über einen Verbraucher erhoben wurden, durch einen Unternehmer,
wenn die Daten zu Zwecken der Werbung, der Markt- und Meinungsforschung, des Betreibens einer Auskunftei, des Erstellens von Persönlichkeits- und Nutzungsprofilen, des Adresshandels, des sonstigen Datenhandels oder zu vergleichbaren kommerziellen Zwecken erhoben, verarbeitet oder genutzt werden.“
§ 12 Abs. 1 des Telemediengesetzes (im Folgenden: TMG) lautet:
„Der Diensteanbieter darf personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat.“
§ 13 Abs. 1 TMG sieht vor:
„Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie [95/46] in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist. Bei einem automatisierten Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet, ist der Nutzer zu Beginn dieses Verfahrens zu unterrichten. Der Inhalt der Unterrichtung muss für den Nutzer jederzeit abrufbar sein.“
§ 15 Abs. 1 TMG bestimmt:
„Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten). Nutzungsdaten sind insbesondere
1. Merkmale zur Identifikation des Nutzers,
2. Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung und
3. Angaben über die vom Nutzer in Anspruch genommenen Telemedien.“
Ausgangsverfahren und Vorlagefragen
Fashion ID, ein Online-Händler für Modeartikel, band in ihre Website das Social Plugin „Gefällt mir“ des sozialen Netzwerks Facebook (im Folgenden: „Gefällt mir“-Button von Facebook) ein.
Nach der Vorlageentscheidung ist es eine Eigenart des Internets, dass der Browser des Internetbesuchers Inhalte aus verschiedenen Quellen darstellen kann. So können beispielsweise Fotos, Videos, Newsfeeds sowie auch der vorliegend in Rede stehende „Gefällt mir“-Button von Facebook in eine Website eingebunden und dort dargestellt werden. Will der Betreiber einer Website derartige Drittinhalte einbinden, setzt er auf dieser Website einen Verweis auf den externen Inhalt. Stößt der Browser des Besuchers auf einen derartigen Verweis, fordert er den Inhalt von dem Drittanbieter an und fügt ihn an der gewünschten Stelle in die Darstellung der Website ein. Hierzu übermittelt der Browser dem Server des Drittanbieters die IP-Adresse des Rechners dieses Besuchers sowie die technischen Informationen des Browsers, damit der Server feststellen kann, in welchem Format der Inhalt an welche Adresse auszuliefern ist. Daneben übermittelt der Browser auch Informationen zu dem gewünschten Inhalt. Welche Informationen der Browser übermittelt und was der Drittanbieter mit diesen Informationen macht, insbesondere, ob er diese speichert und auswertet, kann der den Drittinhalt auf seiner Website einbindende Betreiber nicht beeinflussen.
Speziell hinsichtlich des „Gefällt mir“-Buttons von Facebook scheint aus der Vorlageentscheidung hervorzugehen, dass beim Aufrufen der Website von Fashion ID durch einen Besucher aufgrund der Einbindung dieses Buttons in die Website personenbezogene Daten dieses Besuchers an Facebook Ireland übermittelt werden. Offenbar erfolgt diese Übermittlung, ohne dass sich der Besucher dessen bewusst ist und unabhängig davon, ob er Mitglied des sozialen Netzwerks Facebook ist oder den „Gefällt mir“-Button von Facebook anklickt.
Die Verbraucherzentrale NRW, ein gemeinnütziger Verband zur Wahrung von Verbraucherinteressen, wirft Fashion ID vor, personenbezogene Daten der Besucher ihrer Website ohne deren Einwilligung und unter Verstoß gegen die Informationspflichten nach den Vorschriften über den Schutz personenbezogener Daten an Facebook Ireland übermittelt zu haben.
Die Verbraucherzentrale NRW erhob gegen Fashion ID beim Landgericht Düsseldorf (Deutschland) Klage auf Unterlassung dieser Praxis.
Mit Entscheidung vom 9. März 2016 gab das Landgericht Düsseldorf den Anträgen der Verbraucherzentrale NRW teilweise statt, nachdem es dieser eine Klagebefugnis nach § 8 Abs. 3 Nr. 3 UWG zuerkannt hatte.
Fashion ID hat gegen diese Entscheidung beim Oberlandesgericht Düsseldorf (Deutschland), dem vorlegenden Gericht, Berufung eingelegt. Facebook Ireland ist dem Rechtsstreit in der Berufungsinstanz als Streithelferin zur Unterstützung der Anträge von Fashion ID beigetreten. Die Verbraucherzentrale NRW hat ihrerseits Anschlussberufung eingelegt, mit der sie eine Erweiterung der erstinstanzlichen Verurteilung von Fashion ID begehrt.
Vor dem vorlegenden Gericht macht Fashion ID geltend, die Entscheidung des Landgerichts Düsseldorf sei mit der Richtlinie 95/46 unvereinbar.
Zum einen macht Fashion ID geltend, dass die Art. 22 bis 24 der Richtlinie nur für die von der Verarbeitung der personenbezogenen Daten betroffenen Personen und die zuständigen Datenschutzbehörden einen Rechtsweg vorsähen. Folglich sei die von der Verbraucherzentrale NRW erhobene Klage unzulässig, da dieser Verband im Rahmen der Richtlinie 95/46 nicht klagebefugt sei.
Zum anderen ist Fashion ID der Ansicht, das Landgericht Düsseldorf habe zu Unrecht entschieden, dass sie der für die Verarbeitung Verantwortliche im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 sei, denn sie habe weder einen Einfluss auf die vom Browser eines Besuchers ihrer Website übermittelten Daten, noch darauf, ob und gegebenenfalls wie Facebook Ireland diese Daten verwenden werde.
Das vorlegende Gericht hat zunächst Zweifel, ob die Richtlinie 95/46 gemeinnützige Verbände berechtigt, zur Wahrung der Interessen verletzter Personen Klage zu erheben. Art. 24 dieser Richtlinie stehe einer Prozessführungsbefugnis von Verbänden nicht entgegen, da die Mitgliedstaaten nach dem Wortlaut dieser Bestimmung „geeignete Maßnahmen“ zu ergreifen hätten, um die volle Anwendung dieser Richtlinie sicherzustellen. Das vorlegende Gericht ist daher der Ansicht, dass eine nationale Regelung, die es Verbänden erlaube, im Interesse der Verbraucher Klage zu erheben, eine derartige geeignete Maßnahme sein könne.
Es weist darauf hin, dass in Art. 80 Abs. 2 der Verordnung 2016/679, durch die die Richtlinie 95/46 aufgehoben und ersetzt worden sei, eine Verbandsklage ausdrücklich vorgesehen sei. Das spreche dafür, dass die Richtlinie 95/46 einer solchen Klage nicht entgegenstehe.
Das vorlegende Gericht stellt sich auch die Frage, ob der Betreiber einer Website wie Fashion ID, der ein Social Plugin in diese Seite einbindet, das die Erhebung personenbezogener Daten ermöglicht, als für die Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 angesehen werden kann, obwohl er keinen Einfluss auf die Verarbeitung der dem Anbieter dieses Plugins übermittelten Daten hat. Das vorlegende Gericht verweist insoweit auf die dem Urteil vom 5. Juni 2018, Wirtschaftsakademie Schleswig-Holstein (C-210/16, EU:C:2018:388), zugrunde liegende Rechtssache, die eine ähnliche Frage betraf.
Hilfsweise, für den Fall, dass die Fashion ID nicht als für die Verarbeitung Verantwortlicher angesehen werden sollte, fragt das vorlegende Gericht, ob diese Richtlinie den genannten Begriff abschließend regelt, so dass sie einer nationalen Regelung entgegensteht, die eine zivilrechtliche Haftung für das Handeln eines Dritten bei einem Verstoß gegen Datenschutzrechte vorsieht. Nach deutschem Recht komme nämlich grundsätzlich auch eine Haftung von Fashion ID als „Störer“ in Betracht.
Sollte die Fashion ID als für die Verarbeitung Verantwortlicher angesehen werden oder zumindest als „Störer“ für eventuelle Datenschutzverstöße von Facebook Ireland haften, wirft das vorlegende Gericht die Frage auf, ob die Verarbeitung der im Ausgangsverfahren in Rede stehenden personenbezogenen Daten rechtmäßig sei und ob die Pflicht zur Information der betroffenen Person nach Art. 10 der Richtlinie 95/46 von Fashion ID oder von Facebook Ireland zu erfüllen sei.
So fragt sich das vorlegende Gericht zum einen im Hinblick auf die in Art. 7 Buchst. f der Richtlinie 95/46 vorgesehenen Voraussetzungen für die Rechtmäßigkeit der Datenverarbeitung, ob in einer Situation wie der im Ausgangsverfahren in Rede stehenden auf das berechtigte Interesse des Betreibers der Website oder auf das des Anbieters des Social Plugins abzustellen sei.
Zum anderen stellt sich dem vorlegenden Gericht die Frage, wem die Pflichten zur Einholung der Einwilligung und zur Information der von der Verarbeitung personenbezogener Daten betroffenen Personen in einem Fall wie dem des Ausgangsverfahrens obliegen. Das vorlegende Gericht ist der Ansicht, dass die Frage, wem die in Art. 10 der Richtlinie 95/46 vorgesehene Verpflichtung obliege, die betroffenen Personen zu informieren, von besonderer Bedeutung sei, weil jede Einbindung von Drittinhalten in eine Website grundsätzlich zu einer Verarbeitung personenbezogener Daten führe, deren Umfang und Zweck dem Einbindenden, d. h. dem Betreiber der betreffenden Website, jedoch unbekannt seien. Dieser könne deshalb, sofern er hierzu verpflichtet sei, die geschuldete Information nicht geben, weshalb die Annahme, diesen Betreiber treffe die Pflicht zur Information der betroffenen Person, faktisch ein Verbot der Einbindung von Inhalten Dritter zur Folge hätte.
Unter diesen Umständen hat das Oberlandesgericht Düsseldorf beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:
Steht die Regelung in den Art. 22, 23 und 24 der Richtlinie 95/46 einer nationalen Regelung entgegen, die neben den Eingriffsbefugnissen der Datenschutzbehörden und den Rechtsbehelfsmöglichkeiten des Betroffenen gemeinnützigen Verbänden zur Wahrung der Interessen der Verbraucher die Befugnis einräumt, im Falle von Verletzungen gegen den Verletzer vorzugehen?
Falls die erste Frage verneint wird:
Ist in einem Fall wie dem vorliegenden, bei dem jemand einen Programmcode in seine Website einbindet, der den Browser des Benutzers veranlasst, Inhalte von einem Dritten anzufordern und hierzu personenbezogene Daten an den Dritten zu übermitteln, der Einbindende „für die Verarbeitung Verantwortlicher“ im Sinne von Art. 2 Buchst. d der Richtlinie 95/46, wenn er selber diesen Datenverarbeitungsvorgang nicht beeinflussen kann?
Falls die zweite Frage zu verneinen ist: Ist Art. 2 Buchst. d der Richtlinie 95/46 dahin gehend auszulegen, dass er die Haftung und Verantwortlichkeit in dem Sinne abschließend regelt, dass er einer zivilrechtlichen Inanspruchnahme eines Dritten entgegensteht, der zwar nicht „für die Verarbeitung Verantwortlicher“ ist, aber die Ursache für den Verarbeitungsvorgang setzt, ohne diesen zu beeinflussen?
Auf wessen „berechtigte Interessen“ ist in einer Konstellation wie der vorliegenden bei der nach Art. 7 Buchst. f der Richtlinie 95/46 vorzunehmenden Abwägung abzustellen? Auf das Interesse an der Einbindung von Drittinhalten oder auf das Interesse des Dritten?
Wem gegenüber muss die nach Art. 7 Buchst. a und Art. 2 Buchst. h der Richtlinie 95/46 zu erklärende Einwilligung in einer Konstellation wie der vorliegenden erfolgen?
Trifft die Informationspflicht des Art. 10 der Richtlinie 95/46 in einer Situation wie der vorliegenden auch den Betreiber der Website, der den Inhalt eines Dritten eingebunden hat und so die Ursache für die Verarbeitung personenbezogener Daten durch den Dritten setzt?
Zu den Vorlagefragen
Zur ersten Frage
Mit seiner ersten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob die Art. 22 bis 24 der Richtlinie 95/46 dahin auszulegen sind, dass sie einer nationalen Regelung entgegenstehen, die es Verbänden zur Wahrung von Verbraucherinteressen erlaubt, gegen den mutmaßlichen Verletzer von Vorschriften zum Schutz personenbezogener Daten Klage zu erheben.
Vorab ist darauf hinzuweisen, dass nach Art. 22 der Richtlinie 95/46 die Mitgliedstaaten vorsehen, dass jede Person bei der Verletzung der Rechte, die ihr durch die für die betreffende Verarbeitung geltenden einzelstaatlichen Rechtsvorschriften garantiert sind, bei Gericht einen Rechtsbehelf einlegen kann.
Nach Art. 28 Abs. 3 Unterabs. 3 der Richtlinie 95/46 verfügt eine Kontrollstelle, die gemäß Art. 28 Abs. 1 dieser Richtlinie beauftragt wird, die Anwendung der von dem betreffenden Mitgliedstaat zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften in seinem Hoheitsgebiet zu überwachen, insbesondere über das Klagerecht oder eine Anzeigebefugnis bei Verstößen gegen die einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie.
Art. 28 Abs. 4 der Richtlinie 95/46 sieht vor, dass sich ein Verband, der eine betroffene Person im Sinne von Art. 2 Buchst. a dieser Richtlinie vertritt, zum Schutz der die Person betreffenden Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten an eine Kontrollstelle mit einer Eingabe wenden kann.
Keine Bestimmung dieser Richtlinie verpflichtet oder ermächtigt die Mitgliedstaaten jedoch ausdrücklich dazu, in ihrem nationalen Recht die Möglichkeit vorzusehen, dass ein Verband eine solche Person vor Gericht vertritt oder aus eigener Initiative Klage gegen den mutmaßlichen Verletzer von Vorschriften zum Schutz personenbezogener Daten erheben kann.
Das bedeutet allerdings nicht, dass die Richtlinie 95/46 einer nationalen Regelung entgegensteht, die es Verbänden zur Wahrung von Verbraucherinteressen erlaubt, gegen den mutmaßlichen Verletzer solcher Vorschriften Klage zu erheben.
Nach Art. 288 Abs. 3 AEUV sind die Mitgliedstaaten nämlich verpflichtet, bei der Umsetzung einer Richtlinie deren vollständige Wirksamkeit zu gewährleisten, wobei sie aber über einen weiten Wertungsspielraum hinsichtlich der Wahl der Mittel und Wege zu ihrer Durchführung verfügen. Diese Freiheit lässt die Verpflichtung der einzelnen Mitgliedstaaten unberührt, alle erforderlichen Maßnahmen zu ergreifen, um die vollständige Wirksamkeit der Richtlinie entsprechend ihrer Zielsetzung zu gewährleisten (Urteile vom 6. Oktober 2010, Base u. a., C-389/08, EU:C:2010:584‚ Rn. 24 und 25, sowie vom 22. Februar 2018, Porras Guisado, C-103/16, EU:C:2018:99‚ Rn. 57).
Insoweit ist darauf hinzuweisen, dass eines der Ziele, die der Richtlinie 95/46 zugrunde liegen, darin besteht, einen wirksamen und umfassenden Schutz der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere des Rechts auf Privatleben, bei der Verarbeitung personenbezogener Daten zu gewährleisten (vgl. in diesem Sinne Urteile vom 13. Mai 2014, Google Spain und Google, C-131/12,EU:C:2014:317, Rn. 53, sowie vom 27. September 2017, Puškár, C-73/16, EU:C:2017:725, Rn. 38). In ihrem zehnten Erwägungsgrund wird klargestellt, dass die Angleichung der in dem entsprechenden Bereich geltenden nationalen Rechtsvorschriften nicht zu einer Verringerung des durch diese Rechtsvorschriften garantierten Schutzes führen darf, sondern im Gegenteil darauf abzielen muss, in der Union ein hohes Schutzniveau sicherzustellen (Urteile vom 6. November 2003, Lindqvist, C-101/01, EU:C:2003:596, Rn. 95, vom 16. Dezember 2008, Huber, C-524/06, EU:C:2008:724, Rn. 50, und vom 24. November 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C-468/10 und C-469/10, EU:C:2011:777, Rn. 28).
Der Umstand, dass ein Mitgliedstaat in seiner nationalen Regelung die Möglichkeit für einen Verband zur Wahrung von Verbraucherinteressen vorsieht, gegen den mutmaßlichen Verletzer von Vorschriften zum Schutz personenbezogener Daten Klage zu erheben, ist aber keineswegs den Zielen dieser Regelung abträglich, sondern trägt im Gegenteil zu deren Erreichung bei.
Fashion ID und Facebook Ireland machen jedoch geltend, da die Richtlinie 95/46 die nationalen Datenschutzvorschriften vollständig harmonisiert habe, sei jede Klage, die in der Richtlinie nicht ausdrücklich vorgesehen sei, ausgeschlossen. Die Art. 22, 23 und 28 der Richtlinie 95/46 sähen nur die Klage der betroffenen Personen und die der Kontrollstellen für den Datenschutz vor.
Diesem Vorbringen kann indes nicht gefolgt werden.
Die Richtlinie 95/46 führt zwar zu einer grundsätzlich umfassenden Harmonisierung der nationalen Rechtsvorschriften über den Schutz personenbezogener Daten (vgl. in diesem Sinne Urteile vom 24. November 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C-468/10 und C-469/10, EU:C:2011:777, Rn. 29, und vom 7. November 2013, IPI, C-473/12, EU:C:2013:715, Rn. 31).
Daher hat der Gerichtshof entschieden, dass Art. 7 dieser Richtlinie eine erschöpfende und abschließende Liste der Fälle vorsieht, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann, und dass die Mitgliedstaaten weder neue Grundsätze in Bezug auf die Zulässigkeit der Verarbeitung personenbezogener Daten neben diesem Artikel einführen, noch zusätzliche Bedingungen stellen dürfen, die die Tragweite eines der sechs in diesem Artikel vorgesehenen Grundsätze verändern würden (Urteile vom 24. November 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C-468/10 und C-469/10, EU:C:2011:777‚ Rn. 30 und 32, sowie vom 19. Oktober 2016, Breyer, C-582/14, EU:C:2016:779‚ Rn. 57).
Der Gerichtshof hat jedoch auch klargestellt, dass die Richtlinie 95/46 Vorschriften enthält, die verhältnismäßig allgemein gehalten sind, da sie auf eine große Zahl ganz unterschiedlicher Situationen Anwendung finden soll. Diese Vorschriften sind durch eine gewisse Flexibilität gekennzeichnet und überlassen es in vielen Fällen den Mitgliedstaaten, die Einzelheiten zu regeln oder zwischen Optionen zu wählen, so dass die Mitgliedstaaten in vielerlei Hinsicht über einen Handlungsspielraum zur Umsetzung dieser Richtlinie verfügen (vgl. in diesem Sinne Urteile vom 6. November 2003, Lindqvist, C-101/01, EU:C:2003:596, Rn. 83, 84 und 97, sowie vom 24. November 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C-468/10 und C-469/10, EU:C:2011:777, Rn. 35).
Dies gilt für die Art. 22 bis 24 der Richtlinie 95/46, deren Wortlaut, wie der Generalanwalt in Nr. 42 seiner Schlussanträge festgestellt hat, allgemein gehalten ist und die keine umfassende Harmonisierung der nationalen Vorschriften über gerichtliche Rechtsbehelfe, die gegen den mutmaßlichen Verletzer von Vorschriften über den Schutz personenbezogener Daten eingelegt werden können, vornehmen (vgl. entsprechend Urteil vom 26. Oktober 2017, I, C-195/16, EU:C:2017:815, Rn. 57 und 58).
Insbesondere verpflichtet Art. 22 dieser Richtlinie zwar die Mitgliedstaaten, vorzusehen, dass jede Person bei der Verletzung der Rechte, die ihr durch die für die betreffende Verarbeitung personenbezogener Daten geltenden einzelstaatlichen Rechtsvorschriften garantiert sind, bei Gericht einen Rechtsbehelf einlegen kann, doch enthält die Richtlinie keine Bestimmung, die speziell die Voraussetzungen regelt, unter denen dieser Rechtsbehelf ausgeübt werden kann (vgl. in diesem Sinne Urteil vom 27. September 2017, Puškár, C-73/16, EU:C:2017:725, Rn. 54 und 55).
Außerdem bestimmt Art. 24 der Richtlinie 95/46, dass die Mitgliedstaaten „geeignete Maßnahmen“ ergreifen, um die volle Anwendung der Bestimmungen der Richtlinie sicherzustellen, ohne solche Maßnahmen zu definieren. Vorzusehen, dass ein Verband zur Wahrung von Verbraucherinteressen einen gerichtlichen Rechtsbehelf gegen den mutmaßlichen Verletzer von Vorschriften zum Schutz personenbezogener Daten erheben kann, scheint eine geeignete Maßnahme im Sinne dieser Vorschrift darstellen zu können, die, wie in Rn. 51 des vorliegenden Urteils festgestellt wurde, gemäß der Rechtsprechung des Gerichtshofs zur Erreichung der Ziele dieser Richtlinie beiträgt (vgl. hierzu Urteil vom 6. November 2003, Lindqvist, C-101/01, EU:C:2003:596, Rn. 97).
Im Übrigen scheint entgegen dem Vorbringen von Fashion ID der Umstand, dass ein Mitgliedstaat eine solche Möglichkeit in seinem nationalen Recht vorgesehen hat, nicht geeignet, die Unabhängigkeit zu beeinträchtigen, mit der die Kontrollstellen die ihnen zugewiesenen Aufgaben entsprechend den Anforderungen des Art. 28 der Richtlinie 95/46 ausüben müssen, da diese Möglichkeit weder die Entscheidungsfreiheit dieser Kontrollstellen noch ihre Handlungsfreiheit beeinträchtigen kann.
Des Weiteren trifft es zwar zu, dass die Richtlinie 95/46 nicht zu den in Anhang I der Richtlinie 2009/22 aufgeführten Rechtsakten gehört, doch nimmt diese Richtlinie gemäß ihrem Art. 7 insoweit keine abschließende Harmonisierung vor.
Schließlich bedeutet der Umstand, dass die Verordnung 2016/679, die die Richtlinie 95/46 aufgehoben und ersetzt hat und die seit dem 25. Mai 2018 anwendbar ist, es Verbänden zur Wahrung von Verbraucherinteressen ausdrücklich gestattet, gegen den mutmaßlichen Verletzer von Vorschriften zum Schutz personenbezogener Daten gerichtlich vorzugehen, keinesfalls, dass die Mitgliedstaaten ihnen dieses Recht unter der Geltung der Richtlinie 95/46 nicht gewähren könnten, sondern bestätigt vielmehr, dass die im vorliegenden Urteil vorgenommene Auslegung der Richtlinie den Willen des Unionsgesetzgebers widerspiegelt.
Nach alledem ist auf die erste Frage zu antworten, dass die Art. 22 bis 24 der Richtlinie 95/46 dahin auszulegen sind, dass sie einer nationalen Regelung, die es Verbänden zur Wahrung von Verbraucherinteressen erlaubt, gegen den mutmaßlichen Verletzer von Vorschriften zum Schutz personenbezogener Daten Klage zu erheben, nicht entgegenstehen.
Zur zweiten Frage
Mit seiner zweiten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob der Betreiber einer Website wie Fashion ID, der in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, als für die Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 angesehen werden kann, obwohl dieser Betreiber keinen Einfluss auf die Verarbeitung der auf diese Weise an den Anbieter übermittelten Daten hat.
Insoweit ist darauf hinzuweisen, dass entsprechend dem Ziel der Richtlinie 95/46, ein hohes Niveau des Schutzes der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere ihres Privatlebens, bei der Verarbeitung personenbezogener Daten zu gewährleisten, der Begriff des „für die Verarbeitung Verantwortlichen“ in Art. 2 Buchst. d dieser Richtlinie weit definiert ist als natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (vgl. in diesem Sinne Urteil vom 5. Juni 2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388, Rn. 26 und 27).
Wie der Gerichtshof bereits entschieden hat, besteht das Ziel dieser Bestimmung nämlich darin, durch eine weite Definition des Begriffs des „Verantwortlichen“ einen wirksamen und umfassenden Schutz der betroffenen Personen zu gewährleisten (Urteile vom 13. Mai 2014, Google Spain und Google, C-131/12, EU:C:2014:317, Rn. 34, und vom 5. Juni 2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388‚ Rn. 28).
Zudem verweist der Begriff des „für die Verarbeitung Verantwortlichen“, da er sich, wie Art. 2 Buchst. d der Richtlinie 95/46 ausdrücklich vorsieht, auf die Stelle bezieht, die „allein oder gemeinsam mit anderen“ über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, nicht zwingend auf eine einzige Stelle und kann mehrere an dieser Verarbeitung beteiligte Akteure betreffen, wobei dann jeder von ihnen den Datenschutzvorschriften unterliegt (vgl. in diesem Sinne Urteile vom 5. Juni 2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388, Rn. 29, und vom 10. Juli 2018, Jehovan todistajat, C-25/17, EU:C:2018:551, Rn. 65).
Der Gerichtshof hat auch entschieden, dass eine natürliche oder juristische Person, die aus Eigeninteresse auf die Verarbeitung personenbezogener Daten Einfluss nimmt und damit an der Entscheidung über die Zwecke und Mittel dieser Verarbeitung mitwirkt, als für die Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 angesehen werden kann (Urteil vom 10. Juli 2018, Jehovan todistajat, C-25/17, EU:C:2018:551‚ Rn. 68).
Im Übrigen setzt die gemeinsame Verantwortlichkeit mehrerer Akteure für dieselbe Verarbeitung nach dieser Bestimmung nicht voraus, dass jeder von ihnen Zugang zu den betreffenden personenbezogenen Daten hat (vgl. in diesem Sinne Urteile vom 5. Juni 2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388, Rn. 38, und vom 10. Juli 2018, Jehovan todistajat, C-25/17, EU:C:2018:551, Rn. 69).
Da jedoch das Ziel von Art. 2 Buchst. d der Richtlinie 95/46 darin besteht, durch eine weite Definition des Begriffs des „Verantwortlichen“ einen wirksamen und umfassenden Schutz der betroffenen Personen zu gewährleisten, hat das Bestehen einer gemeinsamen Verantwortlichkeit nicht zwangsläufig eine gleichwertige Verantwortlichkeit der verschiedenen Akteure für dieselbe Verarbeitung personenbezogener Daten zur Folge. Vielmehr können diese Akteure in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß einbezogen sein, so dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist (vgl. in diesem Sinne Urteil vom 10. Juli 2018, Jehovan todistajat, C-25/17, EU:C:2018:551, Rn. 66).
Insoweit ist zum einen darauf hinzuweisen, dass Art. 2 Buchst. b der Richtlinie 95/46 die „Verarbeitung personenbezogener Daten“ definiert als „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Speichern, die Organisation, die Aufbewahrung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Sperren, Löschen oder Vernichten“.
Aus dieser Definition geht hervor, dass eine Verarbeitung personenbezogener Daten aus einem oder mehreren Vorgängen bestehen kann, von denen jeder eine der verschiedenen Phasen betrifft, die eine Verarbeitung personenbezogener Daten umfassen kann.
Zum anderen ergibt sich aus der in Rn. 65 des vorliegenden Urteils wiedergegebenen Definition des Begriffs „für die Verarbeitung Verantwortlicher“ in Art. 2 Buchst. d der Richtlinie 95/46, dass, wenn mehrere Akteure gemeinsam die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmen, diese Akteure an dieser Verarbeitung als Verantwortliche beteiligt sind.
Daraus folgt, wie der Generalanwalt in Nr. 101 seiner Schlussanträge im Wesentlichen ausgeführt hat, dass eine natürliche oder juristische Person offenbar nur für Vorgänge der Verarbeitung personenbezogener Daten, über deren Zwecke und Mittel sie – gemeinsam mit anderen – entscheidet, im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 gemeinsam mit anderen verantwortlich sein kann. Dagegen kann, unbeschadet einer etwaigen insoweit im nationalen Recht vorgesehenen zivilrechtlichen Haftung, diese natürliche oder juristische Person für vor- oder nachgelagerte Vorgänge in der Verarbeitungskette, für die sie weder die Zwecke noch die Mittel festlegt, nicht als im Sinne dieser Vorschrift verantwortlich angesehen werden.
Im vorliegenden Fall ergibt sich, vorbehaltlich der Nachprüfung durch das vorlegende Gericht, aus den dem Gerichtshof vorliegenden Akten, dass Fashion ID es dadurch, dass sie den „Gefällt mir“-Button von Facebook Ireland in ihre Website eingebunden hat, offenbar ermöglicht hat, personenbezogene Daten der Besucher ihrer Website zu erhalten. Diese Möglichkeit entsteht ab dem Zeitpunkt des Aufrufens einer solchen Seite, und zwar unabhängig davon, ob diese Besucher Mitglieder des sozialen Netzwerks Facebook sind, ob sie den „Gefällt mir“-Button von Facebook angeklickt haben oder auch ob sie von diesem Vorgang Kenntnis haben.
Unter Berücksichtigung dieser Informationen ist festzustellen, dass die Vorgänge der Verarbeitung personenbezogener Daten, für die Fashion ID gemeinsam mit Facebook Ireland über die Zwecke und Mittel entscheiden kann, im Rahmen der Definition des Begriffs „Verarbeitung personenbezogener Daten“ in Art. 2 Buchst. b der Richtlinie 95/46 das Erheben der personenbezogenen Daten der Besucher ihrer Website und deren Weitergabe durch Übermittlung sind. Dagegen ist nach diesen Informationen auf den ersten Blick ausgeschlossen, dass Fashion ID über die Zwecke und Mittel der Vorgänge der Verarbeitung personenbezogener Daten entscheidet, die Facebook Ireland nach der Übermittlung dieser Daten an sie vorgenommen hat, so dass Fashion ID für diese Vorgänge nicht als verantwortlich im Sinne von Art. 2 Buchst. d angesehen werden kann.
Was die Mittel betrifft, die zum Zweck des Erhebens bestimmter personenbezogener Daten der Besucher ihrer Website und deren Weitergabe durch Übermittlung eingesetzt werden, ergibt sich aus Rn. 75 des vorliegenden Urteils, dass Fashion ID den „Gefällt mir“-Button von Facebook, der Website-Betreibern von Facebook Ireland zur Verfügung gestellt wird, in ihre Website offenbar in dem Wissen eingebunden hat, dass dieser als Werkzeug zum Erheben und zur Übermittlung von personenbezogenen Daten der Besucher dieser Seite dient, unabhängig davon, ob es sich dabei um Mitglieder des sozialen Netzwerks Facebook handelt oder nicht.
Mit der Einbindung eines solchen Social Plugins in ihre Website hat Fashion ID im Übrigen entscheidend das Erheben und die Übermittlung von personenbezogenen Daten der Besucher dieser Seite zugunsten des Anbieters dieses Plugins, im vorliegenden Fall Facebook Ireland, beeinflusst, die ohne Einbindung dieses Plugins nicht erfolgen würden.
Unter diesen Umständen und vorbehaltlich der insoweit vom vorlegenden Gericht vorzunehmenden Nachprüfungen ist davon auszugehen, dass Facebook Ireland und Fashion ID über die Mittel, die dem Erheben personenbezogener Daten der Besucher der Website von Fashion ID und deren Weitergabe durch Übermittlung zugrunde lagen, gemeinsam entschieden haben.
Was die Zwecke dieser Vorgänge der Verarbeitung personenbezogener Daten betrifft, scheint es, dass die Einbindung des „Gefällt mir“-Buttons von Facebook durch Fashion ID in ihre Website ihr ermöglicht, die Werbung für ihre Produkte zu optimieren, indem diese im sozialen Netzwerk Facebook sichtbarer gemacht werden, wenn ein Besucher ihrer Website den Button anklickt. Um in den Genuss dieses wirtschaftlichen Vorteils kommen zu können, der in einer solchen verbesserten Werbung für ihre Produkte besteht, scheint Fashion ID mit der Einbindung eines solchen Buttons in ihre Website zumindest stillschweigend in das Erheben personenbezogener Daten der Besucher ihrer Website und deren Weitergabe durch Übermittlung eingewilligt zu haben. Dabei werden diese Verarbeitungsvorgänge im wirtschaftlichen Interesse sowohl von Fashion ID als auch von Facebook Ireland durchgeführt, für die die Tatsache, über diese Daten für ihre eigenen wirtschaftlichen Zwecke verfügen zu können, die Gegenleistung für den Fashion ID gebotenen Vorteil darstellt.
Daher kann, vorbehaltlich der vom vorlegenden Gericht vorzunehmenden Nachprüfung, davon ausgegangen werden, dass Fashion ID und Facebook Ireland gemeinsam über die Zwecke der Vorgänge des Erhebens der im Ausgangsverfahren in Rede stehenden personenbezogenen Daten und der Weitergabe durch Übermittlung entscheiden.
Darüber hinaus steht, wie aus der in Rn. 69 des vorliegenden Urteils angeführten Rechtsprechung hervorgeht, der Umstand, dass der Betreiber einer Website wie Fashion ID zu den personenbezogenen Daten, die erhoben und dem Anbieter des Social Plugins übermittelt werden, mit dem sie gemeinsam über die Zwecke und Mittel der Verarbeitung dieser Daten entscheidet, nicht selbst Zugang hat, seiner Einstufung als „für die Verarbeitung Verantwortlicher“ im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 nicht entgegen.
Im Übrigen ist darauf hinzuweisen, dass eine Website wie die von Fashion ID sowohl von Personen besucht wird, die Mitglieder des sozialen Netzwerks Facebook sind und somit über ein Konto bei diesem sozialen Netzwerk verfügen, als auch von Personen, die kein solches Konto haben. In letzterem Fall erscheint die Verantwortlichkeit des Betreibers einer Website, wie im vorliegenden Fall Fashion ID, hinsichtlich der Verarbeitung der personenbezogenen Daten dieser Personen noch höher, da das bloße Aufrufen einer solchen Website, die den „Gefällt mir“-Button von Facebook enthält, offenbar automatisch die Verarbeitung ihrer personenbezogenen Daten durch Facebook Ireland auslöst (vgl. in diesem Sinne Urteil vom 5. Juni 2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388, Rn. 41).
Folglich ist Fashion ID für die Vorgänge des Erhebens personenbezogener Daten der Besucher ihrer Website und deren Weitergabe durch Übermittlung gemeinsam mit Facebook Ireland als verantwortlich im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 anzusehen.
Nach alledem ist auf die zweite Frage zu antworten, dass der Betreiber einer Website wie Fashion ID, der in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, als für die Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 angesehen werden kann. Diese Verantwortlichkeit ist jedoch auf den Vorgang oder die Vorgänge der Datenverarbeitung beschränkt, für den bzw. für die er tatsächlich über die Zwecke und Mittel entscheidet, d. h. das Erheben der in Rede stehenden Daten und deren Weitergabe durch Übermittlung.
Zur dritten Frage
In Anbetracht der Antwort auf die zweite Frage braucht die dritte Frage nicht beantwortet zu werden.
Zur vierten Frage
Mit seiner vierten Frage möchte das vorlegende Gericht wissen, ob in einer Situation wie der im Ausgangsverfahren in Rede stehenden, in der der Betreiber einer Website in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten an diesen Anbieter zu übermitteln, bei der Anwendung von Art. 7 Buchst. f der Richtlinie 95/46 auf das berechtigte Interesse dieses Betreibers oder das berechtigte Interesse des genannten Anbieters abzustellen ist.
Vorab ist darauf hinzuweisen, dass diese Frage nach Ansicht der Kommission für die Entscheidung des Ausgangsrechtsstreits unerheblich ist, da die von Art. 5 Abs. 3 der Richtlinie 2002/58 verlangte Einwilligung der betroffenen Personen nicht eingeholt wurde.
Hierzu ist festzustellen, dass nach Art. 5 Abs. 3 der Richtlinie 2002/58 die Mitgliedstaaten sicherstellen müssen, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46 u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.
Es ist Sache des vorlegenden Gerichts, nachzuprüfen, ob in einer Situation wie der im Ausgangsverfahren in Rede stehenden der Anbieter eines Social Plugins, wie im vorliegenden Fall Facebook Ireland, Zugriff auf Informationen hat, die im Endgerät des Besuchers der Website des Betreibers gespeichert sind, wie die Kommission geltend macht.
Unter diesen Umständen und da das vorlegende Gericht offenbar davon ausgeht, dass im vorliegenden Fall die Facebook Ireland übermittelten Daten personenbezogene Daten im Sinne der Richtlinie 95/46 sind, die sich im Übrigen nicht notwendigerweise auf Informationen beschränken, die im Endgerät gespeichert sind, was vom vorlegenden Gericht zu verifizieren sein wird, können die Erwägungen der Kommission die Erheblichkeit der vierten Vorlagefrage, die sich auf die etwaige Zulässigkeit der Verarbeitung der Daten im vorliegenden Fall bezieht, für die Entscheidung des Ausgangsrechtsstreits nicht in Frage stellen, wie dies auch der Generalanwalt in Nr. 115 seiner Schlussanträge festgestellt hat.
Folglich ist zu prüfen, welches berechtigte Interesse für die Anwendung von Art. 7 Buchst. f dieser Richtlinie auf die Verarbeitung dieser Daten zu berücksichtigen ist.
Hierzu ist vorab darauf hinzuweisen, dass gemäß den Bestimmungen des Kapitels II („Allgemeine Bedingungen für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten“) der Richtlinie 95/46 jede Verarbeitung personenbezogener Daten – vorbehaltlich der in Art. 13 zugelassenen Ausnahmen – u. a. einem der in Art. 7 der Richtlinie angeführten Grundsätze in Bezug auf die Zulässigkeit der Verarbeitung von Daten genügen muss (vgl. in diesem Sinne Urteile vom 13. Mai 2014, Google Spain und Google, C-131/12, EU:C:2014:317, Rn. 71, sowie vom 1. Oktober 2015, Bara u. a., C-201/14, EU:C:2015:638, Rn. 30).
Nach Art. 7 Buchst. f der Richtlinie 95/46, um dessen Auslegung das vorlegende Gericht ersucht, ist die Verarbeitung personenbezogener Daten zulässig, wenn sie zur Verwirklichung des berechtigten Interesses erforderlich ist, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person, die gemäß Art. 1 Abs. 1 der Richtlinie 95/46 geschützt sind, überwiegen.
Art. 7 Buchst. f enthält somit für die Zulässigkeit der Verarbeitung personenbezogener Daten drei kumulative Voraussetzungen: 1. berechtigtes Interesse, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, 2. Erforderlichkeit der Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses und 3. kein Überwiegen der Grundrechte und Grundfreiheiten der betroffenen Person (Urteil vom 4. Mai 2017, Rīgas satiksme, C-13/16, EU:C:2017:336, Rn. 28).
Da angesichts der Antwort auf die zweite Frage in einer Situation wie der im Ausgangsverfahren in Rede stehenden der Betreiber einer Website, der in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, gemeinsam mit diesem Anbieter als für die Vorgänge der Verarbeitung – d. h. das Erheben und die Weitergabe durch Übermittlung – von personenbezogenen Daten der Besucher seiner Website Verantwortlicher angesehen werden kann, ist es erforderlich, dass jeder dieser Verantwortlichen mit diesen Verarbeitungsvorgängen ein berechtigtes Interesse im Sinne von Art. 7 Buchst. f der Richtlinie 95/46 wahrnimmt, damit diese Vorgänge für jeden Einzelnen von ihnen gerechtfertigt sind.
Demnach ist auf die vierte Frage zu antworten, dass es in einer Situation wie der im Ausgangsverfahren in Rede stehenden, in der der Betreiber einer Website in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, erforderlich ist, dass der Betreiber und der Anbieter mit diesen Verarbeitungsvorgängen jeweils ein berechtigtes Interesse im Sinne von Art. 7 Buchst. f der Richtlinie 95/46 wahrnehmen, damit diese Vorgänge für jeden Einzelnen von ihnen gerechtfertigt sind.
Zur fünften und zur sechsten Frage
Mit seiner fünften und seiner sechsten Frage, die zusammen zu prüfen sind, möchte das vorlegende Gericht zum einen wissen, ob Art. 2 Buchst. h und Art. 7 Buchst. a der Richtlinie 95/46 dahin auszulegen sind, dass in einer Situation wie der des Ausgangsverfahrens, in der der Betreiber einer Website in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, die nach diesen Vorschriften zu erklärende Einwilligung von dem Betreiber oder dem Anbieter einzuholen ist, und zum anderen, ob Art. 10 dieser Richtlinie dahin auszulegen ist, dass in einem solchen Fall die in dieser Vorschrift vorgesehene Informationspflicht den Betreiber trifft.
Wie sich aus der Antwort auf die zweite Frage ergibt, kann der Betreiber einer Website, der in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten dieses Besuchers an diesen Anbieter zu übermitteln, als für die Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 angesehen werden. Dabei ist diese Verantwortlichkeit jedoch auf den Vorgang oder die Vorgänge der Datenverarbeitung beschränkt, für den bzw. für die er tatsächlich über die Zwecke und Mittel entscheidet.
Daher müssen die Verpflichtungen, die nach der Richtlinie 95/46 diesem für die Verarbeitung Verantwortlichen obliegen, wie etwa die Verpflichtung, die Einwilligung der betroffenen Person gemäß Art. 2 Buchst. h und Art. 7 Buchst. a dieser Richtlinie einzuholen, sowie die Informationspflicht nach Art. 10 der Richtlinie den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten betreffen, für den bzw. für die er tatsächlich über die Zwecke und Mittel entscheidet.
Wenn im vorliegenden Fall der Betreiber einer Website, der in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, gemeinsam mit diesem Anbieter als für die Vorgänge des Erhebens personenbezogener Daten dieses Besuchers und deren Weitergabe durch Übermittlung verantwortlich angesehen werden kann, betrifft seine Verpflichtung, die Einwilligung der betroffenen Person gemäß Art. 2 Buchst. h und Art. 7 Buchst. a dieser Richtlinie einzuholen, sowie seine Informationspflicht nach Art. 10 der Richtlinie nur diese Vorgänge. Dagegen erstrecken sich diese Verpflichtungen nicht auf Vorgänge der Verarbeitung personenbezogener Daten, die andere, diesen Vorgängen vor- oder nachgelagerte Phasen betreffen, die die Verarbeitung der in Rede stehenden personenbezogenen Daten gegebenenfalls mit sich bringt.
Was die Einwilligung nach Art. 2 Buchst. h und Art. 7 Buchst. a der Richtlinie 95/46 betrifft, so muss diese vor dem Erheben der Daten der betroffenen Person und deren Weitergabe durch Übermittlung erklärt werden. Daher obliegt es dem Betreiber der Website und nicht dem Anbieter des Social Plugins, diese Einwilligung einzuholen, da der Verarbeitungsprozess der personenbezogenen Daten dadurch ausgelöst wird, dass ein Besucher diese Website aufruft. Wie der Generalanwalt in Nr. 132 seiner Schlussanträge ausgeführt hat, entspräche es nämlich nicht einer wirksamen und rechtzeitigen Wahrung der Rechte der betroffenen Person, wenn die Einwilligung lediglich gegenüber dem gemeinsam für die Verarbeitung Verantwortlichen erklärt würde, der erst zu einem späteren Zeitpunkt beteiligt ist, also gegenüber dem Anbieter dieses Plugins. Die Einwilligung, die dem Betreiber gegenüber zu erklären ist, betrifft jedoch nur den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten, für den bzw. für die er tatsächlich über die Zwecke und Mittel entscheidet.
Das Gleiche gilt für die Informationspflicht nach Art. 10 der Richtlinie 95/46.
Aus dem Wortlaut dieser Bestimmung ergibt sich, dass der für die Verarbeitung Verantwortliche oder sein Vertreter der Person, bei der die Daten erhoben werden, mindestens die in dieser Bestimmung genannten Informationen geben muss. Es scheint somit, dass der für die Verarbeitung Verantwortliche diese Information sofort zu geben hat, d. h. zum Zeitpunkt des Erhebens der Daten (vgl. in diesem Sinne Urteile vom 7. Mai 2009, Rijkeboer, C-553/07, EU:C:2009:293, Rn. 68, und vom 7. November 2013, IPI, C-473/12, EU:C:2013:715, Rn. 23).
Daraus folgt, dass in einer Situation wie der im Ausgangsverfahren in Rede stehenden auch die Informationspflicht gemäß Art. 10 der Richtlinie 95/46 den Betreiber der Website trifft, wobei dieser die betroffene Person jedoch nur in Bezug auf den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten informieren muss, für den bzw. für die dieser Betreiber tatsächlich über die Zwecke und Mittel entscheidet.
Nach alledem ist auf die fünfte und die sechste Frage zu antworten, dass Art. 2 Buchst. h und Art. 7 Buchst. a der Richtlinie 95/46 dahin auszulegen sind, dass in einer Situation wie der des Ausgangsverfahrens, in der der Betreiber einer Website in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, die nach diesen Vorschriften zu erklärende Einwilligung von dem Betreiber nur in Bezug auf den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten einzuholen ist, für den bzw. für die dieser Betreiber tatsächlich über die Zwecke und Mittel entscheidet. Darüber hinaus ist Art. 10 dieser Richtlinie dahin auszulegen, dass in einer solchen Situation auch die in dieser Bestimmung vorgesehene Informationspflicht den Betreiber trifft, wobei dieser die betroffene Person jedoch nur in Bezug auf den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten informieren muss, für den bzw. für die dieser Betreiber tatsächlich über die Zwecke und Mittel entscheidet.
Kosten
Für die Parteien des Ausgangsverfahrens ist das Verfahren ein Zwischenstreit in dem bei dem vorlegenden Gericht anhängigen Rechtsstreit; die Kostenentscheidung ist daher Sache dieses Gerichts. Die Auslagen anderer Beteiligter für die Abgabe von Erklärungen vor dem Gerichtshof sind nicht erstattungsfähig.
Gründe
Aus diesen Gründen hat der Gerichtshof (Zweite Kammer) für Recht erkannt:
Die Art. 22 bis 24 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sind dahin auszulegen, dass sie einer nationalen Regelung, die es Verbänden zur Wahrung von Verbraucherinteressen erlaubt, gegen den mutmaßlichen Verletzer von Vorschriften zum Schutz personenbezogener Daten Klage zu erheben, nicht entgegenstehen.
Der Betreiber einer Website wie die Fashion ID GmbH & Co. KG, der in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, kann als für die Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 angesehen werden. Diese Verantwortlichkeit ist jedoch auf den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten beschränkt, für den bzw. für die er tatsächlich über die Zwecke und Mittel entscheidet, d. h. das Erheben der in Rede stehenden Daten und deren Weitergabe durch Übermittlung.
In einer Situation wie der im Ausgangsverfahren in Rede stehenden, in der der Betreiber einer Website in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, ist es erforderlich, dass der Betreiber und der Anbieter mit diesen Verarbeitungsvorgängen jeweils ein berechtigtes Interesse im Sinne von Art. 7 Buchst. f der Richtlinie 95/46 wahrnehmen, damit diese Vorgänge für jeden Einzelnen von ihnen gerechtfertigt sind.
Art. 2 Buchst. h und Art. 7 Buchst. a der Richtlinie 95/46 sind dahin auszulegen, dass in einer Situation wie der des Ausgangsverfahrens, in der der Betreiber einer Website in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, die nach diesen Vorschriften zu erklärende Einwilligung von dem Betreiber nur in Bezug auf den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten einzuholen ist, für den bzw. für die dieser Betreiber tatsächlich über die Zwecke und Mittel entscheidet. Darüber hinaus ist Art. 10 dieser Richtlinie dahin auszulegen, dass in einer solchen Situation auch die in dieser Bestimmung vorgesehene Informationspflicht den Betreiber trifft, wobei dieser die betroffene Person jedoch nur in Bezug auf den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten informieren muss, für den bzw. für die dieser Betreiber tatsächlich über die Zwecke und Mittel entscheidet.
Lenaerts
Prechal
Toader
Rosas
Ilešič
Verkündet in öffentlicher Sitzung in Luxemburg am 29. Juli 2019.
Der Kanzler
A. Calot Escobar
Der Präsident
K. Lenaerts
( *1)Verfahrenssprache: Deutsch.
Kontakt zur AOK Rheinland-Pfalz/Saarland
Persönlicher Ansprechpartner