Art 2, 22, 23 und 24 der RL 95/46/EG
Datenschutz, Verbraucher, Verantwortlicher, Website, Gefällt-mir-Button, Like-Button
Mit dem gegenständlichen Vorabentscheidungsersuchen des Oberlandesgerichts Düsseldorf (Deutschland) vom 19.1.2017, eingetragen in das Register des Gerichtshofs am 26.1.2017, wird der Gerichtshof um Auslegung der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz- Richtlinie) ersucht. Die Parteien des Ausgangsverfahrens streiten über die Zulässigkeit der Einbindung eines von der Streithelferin der Beklagten oder deren amerikanischer Muttergesellschaft bereitgestellten Plugins, eines „Gefällt-mir-Buttons“, auf der Webseite der Beklagten, eines Online-Händlers für Modeartikel. Von der Beklagten wird im Wesentlichen die Unterlassung der Einbindung des „Gefällt-mir-Buttons“ auf ihrer Homepage verlangt, ohne dass Nutzer der Internetseite zu mit der Verwendung des Buttons verbundenen Datenanwendungen (ua Zugriff auf die IP-Adresse) zugestimmt hätten. Behauptetermaßen würde im Fall der Verwendung des Buttons etwa die mitübermittelte IP-Adresse gespeichert und mit einem bestimmten Benutzer verknüpft. Aus Art 22 der Richtlinie 95/46/EG ergibt sich die Verpflichtung der Mitgliedstaaten, jeder Person die Möglichkeit einzuräumen, bei der Verletzung ihrer Datenschutzrechte letztlich einen Rechtsbehelf bei Gericht einzulegen. Art 23 sieht ergänzend dazu die Pflicht der Mitgliedstaaten vor, jeder von einer rechtswidrigen Datenverarbeitung betroffenen Person verschuldensabhängig einen Schadenersatzanspruch gegenüber dem für die betreffende Verarbeitung Verantwortlichen einzuräumen. Unabhängig davon obliegt es den Mitgliedstaaten gemäß Art 24, die Anwendung der Bestimmungen der Datenschutz-Richtlinie mittels geeigneter Maßnahmen (Sanktionen) sicherzustellen. Vor diesem Hintergrund soll geklärt werden, ob die Regelungen in Art 22, 23 und 24 der Richtlinie 95/46/EG einer nationalen Regelung entgegenstehen, die neben den Eingriffsbefugnissen der Datenschutzbehörde und den Rechtsbehelfsmöglichkeiten des Betroffenen zusätzlich auch gemeinnützigen Verbänden zur Wahrung der Interessen der Verbraucher die Befugnis einräumt, im Falle von Datenschutzverletzungen gegen den Verletzer vorzugehen. Verneinendenfalls ist – neben weiteren Detailfragen – ua zu klären, ob in einem Fall, bei dem jemand einen Programmcode in seine Webseite einbindet, der den Browser des Benutzers veranlasst, Inhalte von einem Dritten anzufordern und hierzu personenbezogene Daten an den Dritten zu übermitteln, der Einbindende „für die Verarbeitung Verantwortlicher“ iSv Art 2 lit d der Richtlinie 95/46/EG ist, wenn er selber diesen Datenverarbeitungsvorgang nicht beeinflussen kann.