EuGH-Urteil zu Facebook-Fanpages: Mitgefangen, mitgehangen?

von JONAS BOTTA

Wer die Verarbeitung personenbezogener Daten allein oder gemeinsam verantwortet, muss Sorge für ihre Rechtmäßigkeit tragen. Ein fundamentaler Grundsatz des Datenschutzrechts mit weitreichenden Folgen. Nun hat der EuGH entschieden, dass der Betreiber einer Facebook-Fanpage mitverantwortlich für die Datenverarbeitung durch das soziale Netzwerk selbst sei (Rs. C-216/10). Die ersten Reaktionen hierauf waren wenig überraschend: Während Wirtschaftsvertreter Kritik übten, begrüßten Datenschützer die Entscheidung. Doch welche Maßstäbe gelten zukünftig für eine datenschutzrechtliche Mitverantwortlichkeit und in welchem Verhältnis steht das Urteil zur DSGVO?

Von Schleswig nach Luxemburg: Der lange Weg durch die Instanzen

Dem Urteil des EuGH ging ein jahrelanger Rechtsstreit zwischen dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) und der Wirtschaftsakademie Schleswig-Holstein voraus. Grund war eine Anordnung des ULD (gemäß § 38 Abs. 5 Satz 2 BDSG a. F.) aus dem Jahr 2011 gegen die Wirtschaftsakademie, die es letzterer untersagte, eine Facebook-Fanpage zu betreiben, da sie mitverantwortlich für die Datenschutzverstöße des sozialen Netzwerks sei. Anstoß hierfür war insbesondere die (bis heute bestehende) Möglichkeit des Fanpage-Betreibers, mittels der Funktion Facebook Insights anonymisierte Besucherstatistiken zu erhalten.

Nach den diese Anordnung aufhebenden Urteilen des VG Schleswig und des OVG Schleswig-Holstein, legte das BVerwG 2016 dem EuGH mehrere Fragen zur Klärung vor: Neben der Zuständigkeit der ULD als Aufsichtsbehörde, insbesondere die Frage nach einer bestehenden gemeinsamen Verantwortlichkeit zwischen Facebook und einem Fanpage-Betreiber (vgl. Schulz/Hofmann, Weg frei für Facebook-Fanseiten, JuWissBlog v. 10.10.2013; Marosi, Fanpages vor dem EuGH, JuWissBlog v. 25.7.2017).

Mitverantwortlichkeit des Facebook-Fanpage-Betreibers

Nachdem bereits der zuständige Generalanwalt Ende 2017 eine Mitverantwortlichkeit des Fanpage-Betreibers für die Datenverarbeitung angenommen hatte (Rs. 210/16, Rn. 77), urteilte auch der EuGH im Juni 2018 entsprechend. Der Gerichtshof stützt seine Entscheidung maßgeblich darauf, dass die (gemeinsame) Verantwortlichkeit (nach Art. 2 lit. d DSRL) zur Verwirklichung eines hohen Datenschutzniveaus in der Union möglichst weit auszulegen sei (Rn. 28 mit Verweis auf die Rechtssache „Google Spain/Google“ [Rs. 131/12, Rn. 34]).

Verantwortlich sei grundsätzlich jeder, der „allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheide[…]“ (Rn. 29). Dies sei zwar bei der Datenverarbeitung durch Facebook (d. h. die Cookie-Platzierung auf den Geräten der Fanpage-Besucher) vorrangig das soziale Netzwerk selbst, aber der Fanpage-Betreiber ermögliche diese überhaupt erst (Rn. 35). Zudem beteilige er sich durch die Vorauswahl der Filter für die Besucherstatistik (bspw. nach Alter, Geschlecht oder Berufsstatus) an der Entscheidung über die Verarbeitungszwecke und -mittel (Rn. 39). Dass die von Facebook erstellten Statistiken anonymisiert sind und der Fanpage-Betreiber selbst keinen Zugriff auf die personenbezogenen Besucherdaten hat, sei hingegen unerheblich (Rn. 38). Es gelte vielmehr, dass die Inanspruchnahme einer Plattform wie Facebook den Fanpage-Betreiber nicht von einer datenschutzrechtlichen Verantwortung entbinde (Rn. 40). Dies diene der Verwirklichung eines umfassenden Betroffenenschutzes (Rn. 42).

In Folge bloßer Mitursächlichkeit für die Datenverarbeitung?

Doch hat der EuGH mit seinem Urteil die Maßstäbe für das Bestehen einer gemeinsamen Verantwortlichkeit tatsächlich gänzlich aufgeweicht? Bislang war es die wohl überwiegende Ansicht, dass es zumindest einer tatsächlichen Einflussnahme auf die Datenverarbeitung bedürfe, um eine Mitverantwortlichkeit anzunehmen (Martini/Fritzsche, Mitverantwortung in sozialen Netzwerken, NVwZ-Extra 21/2015, S. 5).

Aus dem vorliegenden EuGH-Urteil könnte man hingegen schlussfolgern, dass bereits die bloße Mitursächlichkeit ausreichend sei. Doch auch der EuGH nimmt eine gemeinsame Verantwortlichkeit nicht allein deswegen an, weil der Fanpage-Betreiber die Datenverarbeitung durch die Seiteneinrichtung lediglich ermöglicht habe, sondern weil er durch die Parametrierung einen faktischen Einfluss auf die Datenverarbeitung ausgeübt habe. Die bloße Mitursächlichkeit für die Datenverarbeitung ist daher auch weiterhin keine ausreichende Voraussetzung für eine Mitverantwortlichkeit. Nichtsdestotrotz hat der Gerichtshof damit äußerst niedrige Anforderungen an das Vorliegen einer rein tatsächlichen Einflussnahme aufgestellt. Denn auch der EuGH kann nicht negieren, dass allein der Plattformbetreiber die Hoheit über die personenbezogenen Besucherdaten innehat und potenzielle Datenschutzverstöße zudem i. d. R. ausschließlich aus seiner Sphäre und nicht der des Fanpage-Betreibers stammen. Angesichts dessen wäre die Argumentation des EuGH in sich geschlossener gewesen, wenn er schon die bloße Mitursächlichkeit als ausreichend angesehen hätte, anstatt sich (de facto zur Rettung der überkommenen Definition der Verantwortlichkeit) auf die Filterauswahl zu stützen (vgl. Marosi, Who Controls a Facebook Page?, VerfBlog v. 6.6.2018). Denn auch diese ermöglicht nur eine äußerst begrenzte Einwirkungsmöglichkeit.

Zukünftig kann sich grundsätzlich niemand mehr darauf berufen, dass er mangels umfassender Kontrollrechte oder in Folge eines fehlenden Zugriffsrechts auf die personenbezogenen Daten, nicht für deren Verarbeitung (mit-)verantwortlich sei. Insoweit gehören die Zeiten der „verantwortungsfreien“ Plattformnutzung der Vergangenheit an.

Mitverantwortlichkeit nach der DSGVO

Dem EuGH-Urteil mag noch die DSRL zugrunde liegen (im Gegensatz zu den Schlussanträgen des Generalanwalts wird auch kein Bezug auf die DSGVO genommen [vgl. Rs. 210/16, Rn. 103]), doch seine Folgen reichen in die neue Ära des Datenschutzes weiter. Denn der unionale Gesetzgeber hat sich zwar für eine gesonderte Vorschrift zur gemeinsamen Verantwortlichkeit entschieden (Art. 26 DSGVO), diese unterscheidet sich aber nicht wesentlich von der bisherigen Rechtslage (vgl. Art. 4 Nr. 7 bzw. Art. 26 Abs. 1 S. 1 DSGVO mit Art. 2 lit. d DSRL bzw. Rn. 29).

Sind der Fanpage-Betreiber und Facebook aber auch nach der DSGVO gemeinsam Verantwortliche, kann der Betroffene seine Rechte aus den Art. 15 ff. DSGVO gegenüber beiden umfassend geltend machen (Art. 26 Abs. 3 DSGVO). In diesem Kontext erfährt die Aussage des EuGH, dass es keiner gleichwertigen Verantwortlichkeit bedürfe, eine ganz neue Sprengkraft für das Innenverhältnis gemeinsam Verantwortlicher (Rn. 43).

Aus der Mitverantwortlichkeit resultiert zudem das Erfordernis einer Vereinbarung, aus welcher der betroffene Fanpage-Besucher erfahren kann, welcher der beiden Mitverantwortlichen welche datenschutzrechtlichen Aufgaben zu erfüllen hat (Art. 26 Abs. 1 S. 2 DSGVO). Muss nun also jeder Fanpage-Betreiber eine individuelle Vereinbarung mit dem sozialen Netzwerk schließen? Eine Vorgabe, deren Realisierung äußerst praxisfern erscheint. Ein Bestandsschutz für vor dem 25.5.2018 begründete gemeinsame Verantwortlichkeiten findet sich in der DSGVO aber nicht. De facto ist der datenschutzkonforme Fanpage-Betrieb daher davon abhängig, welche Maßnahmen Facebook ergreift.

Anderenfalls drohen für Verstöße gegen Art. 26 DSGVO grundsätzlich Bußgelder i. H. v. bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (Art. 83 Abs. 4 lit. a DSGVO). Das Vorgehen einer Datenschutzaufsichtsbehörde gegen einzelne Fanpage-Betreiber muss jedoch verhältnismäßig sein.

Altbekannte Zuständigkeitsprobleme?

Während nun Gewissheit darüber besteht, dass ein unmittelbares Vorgehen der ULD gegen Facebook Germany nach alter Rechtslage möglich war (Rn. 64), ist dieses zukünftig aber erneut fraglich. Denn Art. 56 DSGVO führt das Konzept des One-Stop-Shop ein, nach welchem bei grenzüberschreitenden Datenverarbeitungsvorgängen grundsätzlich allein die Aufsichtsbehörde der Hauptniederlassung oder der einzigen Niederlassung des Unternehmens in der Union (sog. federführende Aufsichtsbehörde) zuständig ist (s. auch OVG Hamburg, Beschl. v. 26.2.2018, Az. 5 Bs 93/17). Im Falle Facebooks wäre dies der irische Data Protection Commissioner. Eine Ausnahme hiervon besteht nur, wenn die bei einer anderen Aufsichtsbehörde eingereichte Beschwerde allein mit der Niederlassung in ihrem Zuständigkeitsbereich zusammenhinge oder nur Bürger ihres Mitgliedstaates beeinträchtigt wären (Art. 56 Abs. 2 DSGVO). Voraussetzungen, die bei der Datenverarbeitung durch das soziale Netzwerk wohl nicht vorliegen.

Unklar ist aber, was aus der gemeinsamen Verantwortlichkeit Facebooks mit der Wirtschaftsakademie für die Zuständigkeit der ULD folgt (dazu bereits Piltz, DSGVO: Zerschießt die „gemeinsame Verantwortlichkeit“ das Konzept der „federführenden Behörde“?, De Lege Data v. 27.10.2017). Man könnte annehmen, dass die ULD in Folge dieser weiterhin dazu berechtigt wäre, gegen Facebook als Mitverantwortlichen vorzugehen. Die DSGVO sieht jedoch weder die Existenz mehrerer federführender Aufsichtsbehörden noch einen Lösungsmechanismus für dieses Zuständigkeitsproblem vor. Ein Ansatz könnte der Vorschlag der Artikel-29-Datenschutzgruppe (WP 244 DE, S. 8 f.) sein, wonach Mitverantwortliche eine Vereinbarung über eine gemeinsame Hauptniederlassung schließen sollen.

Ausblick

Offen ist weiterhin, ob das BVerwG im Ergebnis ebenfalls zugunsten der ULD entscheiden wird. Denn einerseits ist zu klären, inwieweit Facebook tatsächlich nachweisbar gegen damaliges Datenschutzrecht verstoßen hat und andererseits ist zu prüfen, ob die Wirtschaftsakademie der richtige Adressat der staatlichen Anordnung gewesen ist.

Mit Spannung ist zudem das EuGH-Urteil in der Rechtssache „Fashion ID“ (Rs. 40/17) zu erwarten, in welchem ein Webseitenbetreiber einen Facebook-Like-Button in seinen Online-Auftritt integriert hat. Mangels Parametrierung müsste der EuGH in diesem Falle eine Mitverantwortlichkeit des Webseitenbetreibers für die Datenverarbeitung durch das soziale Netzwerk ablehnen (Hanloser, EuGH: Facebook Fanpages – gemeinsam Verantwortliche ohne gleichwertige Verantwortlichkeit?, beck-blog v. 6.6.2018). Anderenfalls wäre die bloße Mitursächlichkeit bald tatsächlich hinreichendes Kriterium für eine datenschutzrechtliche Mitverantwortlichkeit.

Zitiervorschlag: Botta, EuGH-Urteil zu Facebook-Fanpages: Mitgefangen, mitgehangen?, JuWissBlog Nr. 65/2018 v. 26.06.2018, https://www.juwiss.de/65-2018/

Creative Commons Lizenzvertrag
Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung – Nicht kommerziell – Keine Bearbeitungen 4.0 International Lizenz.

, , , , ,
Nächster Beitrag
„Versprochen ist versprochen und wird…“: Probleme mit der (Un)Verbindlichkeit diplomatischer Zusicherungen
Vorheriger Beitrag
Die vollständige Netzentgeltbefreiung stromintensiver Unternehmen verstößt gegen Beihilfenrecht

Ähnliche Beiträge

von ANNA SCHIMKE Jüngst hat der EuGH entschieden, dass Google unter bestimmten Umständen dazu verpflichtet ist, Daten aus den Suchergebnissen zu entfernen, die rechtmäßig auf Webseiten Dritter veröffentlicht wurden. Das Stichwort zum Urteil lautet ‚Recht auf Vergessenwerden‘. Inhalt des Rechts auf Vergessenwerden Das Recht auf Vergessenwerden wird in der Regel…
Weiterlesen
von JOHANNA DECHER Im Schatten der Fußballeuropameisterschaft verabschiedete der Bundestag am 24.06.2016 im Eilverfahren ein neues Anti-Terror-Paket. Auch dieses steht in der scharfen Kritik der Opposition und zivilgesellschaftlicher Vereinigungen und wird voraussichtlich den Weg zum BVerfG finden. Für die Beurteilung der Verfassungsmäßigkeit der Maßnahmen werden auch die Grundsätze relevant sein,…
Weiterlesen

Lowered Expectations

Etwas Erwartungsmanagement zum OMT-Verfahren von DANIEL BENRATH Im Rahmen des OMT-Verfahrens ist Ruhe in die Diskussion um das Verhältnis von BVerfG und EuGH eingekehrt. Angesichts mitunter geradezu apokalyptischer wie auch messianischer Erwartungen eines offenen Bruchs ist damit zu rechnen, dass diese Diskussion wieder Fahrt aufnehmen wird. Wesentlich für die Erwartungen…
Weiterlesen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte füllen Sie dieses Feld aus
Bitte füllen Sie dieses Feld aus
Bitte gib eine gültige E-Mail-Adresse ein.

Menü