EuGH: Gemeinsame datenschutzrechtliche Verantwortlichkeit von Facebook und Fanpagebetreibern

Michael Neuber

Mit Urteil vom 05.Juni 2018 (Az.: C‑210/16) hat der Europäische Gerichtshof (EuGH) entschieden, dass Betreiber von Facebook-Fanpages eine datenschutzrechtliche Mitverantwortung für über die Seite laufende Nutzer-Trackings trifft. Damit entscheidet das Gericht – im Gegensatz zu den deutschen Vorinstanzen – im Sinne der Schlussanträge des Generalanwalts Ives Bot.

Der BVDW hatte kurz darauf bereits eine erste Mitteilung hierzu veröffentlicht. Auch Facebook hat zwischenzeitlich auf das Urteil reagiert und am 15.06.2018 eigene Informationen für Betreiber von Fanpages veröffentlicht.

Hören Sie sich hier einen Radiobeitrag zum Fanpage-Urteil des EuGH vom 07.06.2018 an. Darin werden die Hintergründe, potentielle Auswirkungen auf digitale Angebote und Maßnahmen zur Risikovermeidung besprochen. Zusätzlich können Sie alles hier noch einmal nachlesen:

1. Vorgeschichte

Hintergrund des Verfahrens ist eine Anordnung der schleswig-holsteinischen Datenschutzbehörde (ULD) gegen die Wirtschaftsakademie Schleswig-Holstein aus dem Jahre 2011, mit welchem diese zur Abschaltung (Schließung) ihrer bei Facebook unterhaltenen Fanpage aufgefordert wurde. Dem Verfahren lagen die Regelungen der Datenschutzgesetze (EU-Datenschutzrichtlinie 95/46/EG, BDSG und TMG) vor Inkrafttreten der DSGVO zugrunde.

Das ULD vertrat hier die Auffassung, dass die Wirtschaftsakademie als datenschutzrechtlich verantwortliche Stelle anzusehen sei und daher Nutzer über sämtliche Datenverarbeitungsprozesse der Fanpage aufzuklären habe und auch ein Auftragsverarbeitungsvertrag mit dem Dienstleister (Facebook) abzuschließen sei. Über Fanpages werden unter anderem Nutzungsdaten von Besuchern verarbeitet (Facebook-Insights). Da sich darüber aber kein Hinweis auf der Seite finden ließ, stufte das ULD den Betrieb der Fanpage durch die Wirtschaftsakademie als rechtswidrig ein und untersagte den Weiterbetrieb. Das ULD behalf sich mit der Konstruktion des Betreibers als verantwortliche Stelle, da ihm ein direkter Zugriff auf die in Irland ansässige Facebook-Zentrale verwehrt schien. Aus diesem Grunde hatte die Anordnung auch nicht Facebook gegolten.

Die Wirtschaftsakademie setzte sich gegen die Anordnung und die Argumentation, sie sei für den Betrieb der Fanpage datenschutzrechtlich verantwortlich zunächst erfolgreich vor dem Verwaltungsgericht Schleswig zur Wehr. Mit Urteil vom 09.10.2013 (Az.: 8 A 218/11) stellte das Gericht fest, dass der Betreiber einer Fanpage bei Facebook nicht verantwortliche Stelle i.S.d. § 3 Abs. 7 BDSG sei, da er nicht “gemeinsam mit anderen” über Zwecke und Mittel der Datenverarbeitung (mit-)entscheiden würde. Auf die Berufung des ULD bestätigte das nächsthöhere Oberverwaltungsgericht Schleswig Holstein diese Auffassung mit Urteil 04.09.2014 (Az.: 4 LB 20/13)

Auf Revision, legte das Bundesverwaltungsgericht die sich aus dem Sachverhalt ergebenden Fragen schließlich dem EuGH zur Beantwortung vor (Beschluss v. 25.2.‌2016, Az.: 1 C 28.14). Im Vordergrund standen zunächst die Fragen der datenschutzrechtlichen Verantwortlichkeit dort, wo Unternehmen Dienstleistungen Dritter in Anspruch nehmen. Zusätzlich ging es auch um die Klärung von Zuständigkeiten der verschiedenen Datenschutzaufsichtsbehörden bei grenzüberschreitenden Sachverhalten und die Anwendbarkeit nationaler Datenschutzvorschriften. Der EuGH hatte bereits in den Fällen “Google” und “Weltimmo” festgestellt, dass auf Niederlassungen auch nationales Datenschutzrecht Anwendung finden kann (Urteil v. 01.10.2015, Az.: C‑230/14).

2. Kernaussagen des EuGH

  • Der Begriff des „für die Verarbeitung Verantwortlichen“ im Sinne des Art. 2 Buchst. d der Richtlinie 95/46 (alte Datenschutzrichtlinie) umfasst auch den Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage. Beide sind “gemeinsam” für dort stattfindene Verarbeitungen personenbezogener Daten verantwortlich.
  • Die gemeinsame Veratnwortlichkeit ergibt sich daraus, dass der Betreiber an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt ist.
  • Grund ist, dass die Einrichtung einer Fanpage auf Facebook eine Parametrierung seitens des Betreibers bewirkt, die sich auf die Verarbeitung personenbezogener Daten zum Zweck der Erstellung der aufgrund der Besuche der Fanpage erstellten Statistiken auswirkt. Der Betreiber einer auf Facebook unterhaltenen Fanpage trägt zur Verarbeitung der personenbezogenen Daten der Besucher seiner Seite bei, weil er mit Hilfe von durch Facebook zur Verfügung gestellten Filtern die Kriterien festlegen kann, nach denen diese Statistiken erstellt werden sollen, und sogar die Kategorien von Personen bezeichnen, deren personenbezogene Daten von Facebook ausgewertet werden.
  • Das Bestehen einer gemeinsamen Verantwortlichkeit, bedeutet allerdings keine gleichwertige Verantwortlichkeit der verschiedenen Akteure. Da Betreiber und Anbieter in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß in der Weise einbezogen sein können, ist der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen
  • Die deutsche Landesdatenschutzbehörde (ULD) war befugt, die Rechtmäßigkeit der in Rede stehenden Datenverarbeitung unabhängig von den von der irischen Kontrollstelle vorgenommenen Bewertungen zu beurteilen und ihre Einwirkungsbefugnisse auszuüben, ohne zuvor die Kontrollstelle des anderen Mitgliedstaats um ein Eingreifen zu ersuchen

3. Was jetzt zu tun sein wird

Betreiber müssen nun nicht Panik verfallen oder ihre Fanpage als einzige Lösung sogar komplett löschen. Der EuGH hat sich gemäß der Vorlagenfragen nur zur Verantwortlichkeit beim Betreib einer Fanpage geäußert. Er hat nicht festgestellt, dass diese per se rechtswidrig sind. Facebook und die Betreiber einer Fanpage haben zwar eine gemeinsame, nicht aber eine gleichwertige Verantwortung. Das ist ein wichtiger Unterschied. Alles Weitere muss abgewartet werden. Das einzige, was Betreiber jetzt schon tun können und sollten, ist ein Verweis auf ihrer Fanpage, dass ein Tracking auf der Seite stattfindet. Wie geschrieben, hat Facebook bereits erste Informationen für Betreiber von Fanpages veröffentlicht.

Das Urteil ist vor allem mit Blick auf die nun anstehende Entscheidung des BVerwG zu sehen. Bis dieses nicht den Pflichtenkatalog für die gemeinsame Verantwortlichkeit näher definiert hat, können auch Datenschutzbehörden nichts tun. Auch diese werden das Urteil des BVerwG erst einmal abwarten müssen. Auch die Frage, gegen wen sich ein Bescheid der Landesdatenschutzbehörde richten kann, ist relevant für die Überprüfung des Ermessenspielraums einer Behörde. Das BVerwG hatte darauf hingewiesen, dass, wenn das ULD eine Maßnahme gegen Facebook Germany erlassen könne, dieser Umstand das Vorliegen eines Ermessensfehlers bezüglich des angefochtenen Bescheids belegen könnte, da dieser dann zu Unrecht gegen die Wirtschaftsakademie erlassen worden wäre. Da keine gleichwertige Verantwortlichkeit besteht, könnte dies ebenfalls zugunsten der Betreiber wirken.

Die Aussagen des EuGH gelten zuletzt nicht nur für Fanpages. Sie betreffen alle Angebote, bei denen Nutzer Dienste einer Plattform oder eines Dachdienstes in Anspruch nehmen und über welche personenbezogene Daten verarbeitet werden. Darin liegt das weitaus größere Potential für Veränderungen der Beziehungen zwischen Anbietern und (kommerziellen) Nutzern vielfältigster Online-Angebote.

4. Was noch kommt

Die Entscheidung des EuGH zu Fanpages und der datenschutzrechtlichen Verantwortung Mehrerer wirft ein Licht auf die grundsätzliche , datenschutzrechtliche Bewertung in Mehrparteienverhältnissen. Diesem Themenkomplex wird sich der EuGH auch in nächster Zeit weiter widmen.

Das OLG Düsseldorf hat dem EuGH mit Beschluss vom 19.01.2017 (I-20 U 40/16, 20 U 40/16) Fragen im Zusammenhang mit der Einbindung eines Social Plugins auf einer Webseite vorgelegt. Bei Einbindung des entsprechenden Codes übermittelt der Browser bei Aufruf der Webseite automatisch neben der IP-Adresse und dem sogenannten Browser-String mehrere sogenannte Cookies, Textdateien mit bestimmten Informationen. Anders als im Fall der Fanpages geht es nun um aktive Einbindungen fremden Codes in die eigene Webseite. Etwas, was gerade im Rahmen der werbefinanzierten Online-Angebote heute Gang und Gäbe ist.

Wäre der Webseitenbetreiber als „owner of code“ für alle über die Webseite stattfindenden Datenverarbeitungen voll (mit-)verantwortlich, würde dies eine komplette Neuausrichtung der heute gängigen Auslieferungsmodelle über eingebundene Drittanbieter haben. Die Folgen, insbesondere für dynamische Prozesse, wie sie beispielsweise bei programmatischen Werbeausspielungen üblich sind, wären weitreichend. Automatisierte Prozesse von Drittanbietern könnten nicht mehr unabhängig gesteuert und ausgeführt werden.

Die Vorlage des OLG Düsseldorf geht auch einer weiteren, nicht minder wichtigen Frage nach, die das künftige Auslegungsverständnis bei Datenverarbeitung auf Grundlage eines legitimes Interesses (Art. 6 Abs. 1 f) DSGVO) prägen wird. Geklärt soll werden, ob in Fällen der Einbindung fremder Skripte Dritter, welche die Erhebung personenbezogener Daten über die Webseite ermöglichen, auf das berechtigte Interesse des Webseitenbetreibers oder des Dritten abgestellt werden muss. Ebenso soll beantwortet werden, wem gegenüber eine etwa zu gebende Einwilligung erklärt werden muss.

Diese Entscheidung wird wohl noch weitreichendere Auswirkungen auf die derzeitigen Verarbeitungsszenarien im digitalen Umfeld haben.

 

Kommentar schreiben