von JOHANNES MAROSI
Wen können Aufsichtsbehörden und Betroffene bei einer rechtswidrigen Datenverarbeitung in die Pflicht nehmen? Mache ich mich mitverantwortlich, wenn ich fremde Infrastruktur wie Facebook Fanpages für meine Zwecke nutze? Mit diesen Fragen beschäftigte sich der EuGH in der mündlichen Verhandlung am 27. Juni. Der Rechtsstreit „Unabhängiges Landeszentrum für Datenschutz (ULD) Schleswig-Holstein gegen Wirtschaftsakademie Schleswig-Holstein GmbH“ (C-210/16), auch bekannt als „Facebook Fanpages“, ging damit auf die Zielgerade. Kernpunkt des Rechtsstreits ist die Frage, ob ein Fanpage-Betreiber für die Datenschutzverstöße des Plattformbetreibers (hier: Facebook) mitverantwortlich ist. Am 19. September sollen die Schlussanträge vorliegen.
Was lange währt?
Das Besondere an diesem Fall: Das ULD streitet nicht mit Facebook, sondern der Wirtschaftsakademie Schleswig-Holstein. Diese betreibt auf Facebook eine „Fanpage“. Facebook ist seit der Verhandlung vor dem VG Schleswig im Oktober 2013 Beigeladene (https://wp.juwiss.de/103-2013/). Der Rechtsstreit geht ursprünglich auf einen Bescheid des ULD (§ 38 Abs. 5 S. 1 BDSG) aus dem November 2011 zurück, in dem der Wirtschaftsakademie aufgegeben wurde, ihre Fanpage zu deaktivieren. Über das OVG Schleswig-Holstein im September 2014 (https://wp.juwiss.de/109-2014/) ging das Verfahren dann zum BVerwG (https://wp.juwiss.de/24-2016/), welches im Februar 2016 dem EuGH vorlegte. Der Verfahrensgang und vor allem die lange, für „digitale Sachverhalte“ nicht untypische, Dauer sind nicht unerheblich, gerade im Hinblick auf die genaue Sachlage, zu der der Bescheid erging. So war während der Verhandlung unklar, ob Facebook oder der Fanpagebetreiber auf die Datenerhebung durch Cookies hinweist. Mittlerweile geschieht dies durch eine Landing-Page, bei Erlass des Bescheids war dies noch nicht der Fall.
Das ULD macht den Fanpage-Betreiber für Datenschutzverstöße des Plattformbetreibers Facebook mitverantwortlich, da sich dieser bewusst für Facebook entscheidet. Das Datenschutzrecht kennt hierfür den für die Verarbeitung Verantwortlichen, also denjenigen der gem. Art. 2 lit. d) Datenschutzrichtlinie (DSRL) über die Zwecke und Mittel einer Verarbeitung entscheidet. Außerdem gibt es den Auftragsverarbeiter gem. Art. 17 Abs. 3 DSRL, der nur nach Weisung des Verantwortlichen handelt. Es stellt sich die Frage, ob hier a) die Wirtschaftsakademie selbst verantwortlich ist, b) Facebook Auftragsverarbeiter der Wirtschaftsakademie ist (siehe auch Telemedicus-Beitrag), c) die Wirtschaftsakademie und Facebook gemeinsame Verantwortliche sind, d) die Wirtschaftsakademie eine neue zu schaffende Verantwortlichkeit trifft oder e) die Wirtschaftsakademie gar keine Verantwortlichkeit trifft.
Doppelt hält besser
Interessant ist, dass die Rechtssache nicht mit der Vorlage des OLG Düsseldorf in der Sache „Fashion ID GmbH & Co.KG gegen Verbraucherzentrale NRW eV“ (C-40/17) verbunden wurde. Diese Vorlage betrifft einen ähnlichen Sachverhalt: den Einbau eines (Facebook-)Like-Buttons in die eigene Webseite. Der Unterschied hierbei ist, dass bei der Fanpage die fremde Infrastruktur als solche genutzt wird, während bei dem Like-Button ein Teil der fremden Infrastruktur in die eigene integriert wird. In beiden Fällen wird eine Datenverarbeitung durch Facebook ermöglicht, bei der allerdings unklar ist, ob sie bereits die Schwelle zur Verantwortlichkeit, Auftragsverarbeitung oder einer noch zu bestimmenden sonstigen Verantwortlichkeit überschreitet.
Aus den Stellungnahmen
Die Wirtschaftsakademie hat sich in ihrer Stellungnahme auf Art. 11 GrCh (Freiheit der Meinungsäußerung und Informationsfreiheit) berufen. Sie habe keinen Einfluss auf die Datenverarbeitung und die Besucherdatenanalyse werde ihr aufgedrängt. Facebook sei im Hinblick auf eine mögliche Auftragsverarbeitung nicht mit einem Webhoster vergleichbar.
Facebook wollte zudem den Sachverhalt von der Google Spain Entscheidung (näher hierzu Telemedicus-Besprechung) abgegrenzt wissen, da hier eine europäische Niederlassung (Facebook Irland) bestehe, die über die Verarbeitung entscheide. Weiterhin gebe es keine generelle Vermutung dafür, dass die Konzernmutter verantwortlich sei. Demnach soll Facebook Irland (als Tochterfirma), nicht Facebook USA (als Konzernmutter) die Entscheidung über die Verarbeitung treffen.
Hierzu sei kurz angemerkt, dass der Sachverhalt unklar ist. Erfolgt die Datenverarbeitung tatsächlich nicht in Irland, sondern den USA oder jedenfalls außerhalb des Geltungsbereichs der DSRL, oder hat die amerikanische Konzernmutter die Entscheidungskompetenz über die Verarbeitung, ließe sich durchaus eine individuelle Verantwortlichkeit in den einzelnen Mitgliedsstaaten nach Google Spain argumentieren. Dann wäre im vorliegenden Fall für Facebook die Hamburger Datenschutzaufsicht zuständig. Allerdings hat hier das ULD ja die Wirtschaftsakademie und eben nicht Facebook in die Pflicht genommen. Das Vorbringen von Facebook scheint also fehlgeleitet. Das Verfahren erhält hier leichte Züge eines „Satellitenkrieges“ bei dem bereits die „Heimatfront“ vorsorglich verteidigt wird.
Die Bundesregierung hob durch ihren Vertreter hervor, dass eine Fanpage eben nicht mit einer Homepage vergleichbar sei. Auch der Analogie, die das BVerwG aus der sorgfältigen Auswahl des Auftragsverarbeiters gem. Art. 17 Abs. 2 DSRL ziehen will, will sich die Bundesregierung nicht anschließen. Eine weitere Verantwortlichkeit, abseits des für die Verarbeitung Verantwortlichen oder Auftragsverarbeiters, wäre außerhalb des Umsetzungsspielraums der Mitgliedsstaaten. So erlauben Art. 24 (Sanktionen) und Art. 28 (Kontrollstelle) DSRL keine weitergehende Regelung der Verantwortlichkeit, sondern setzen diese eben voraus. Insbesondere da auch das relativ milde Mittel der Verwarnung scheinbar nur an den Verantwortlichen gerichtet werden darf. Irland berief sich im Wesentlichen auf dieselben Argumente wie die Bundesregierung.
In einer kurzen Erwiderungsrunde wies das ULD daraufhin, dass die Fanpage Betreiber letztlich dieselben Anforderungen wie einen regulären Homepage-Betreiber, etwa beim Einsatz von Google Analytics treffen. Dieses Beispiel für Auftragsverarbeiter erwähnt auch ein Arbeitspapier (WP 169) der Art. 29-Datenschutz-Gruppe, dem EU-Gremium der nationalen Datenschutzaufsichten. Auch erfolge keine Beschränkung des freien Datenverkehrs in der EU, da das ULD als deutsche Aufsichtsbehörde einer deutschen Stelle gegenüber tätig wird.
Der belgische Vertreter konzentrierte sich auf die weiteren Vorlagefragen hinsichtlich der Zuständigkeit der Datenschutzaufsicht. Er nannte die Google Spain Entscheidung als Beispiel für Durchsetzungsdefizite. Weiter wurde die Weltimmo Entscheidung als Beispiel für die Zuständigkeit einer dem Mitgliedsstaat augenscheinlich fremden Datenschutzaufsicht genannt. Ebenso wurde auf die Amazon Entscheidung aus dem Juli 2016 hingewiesen, wonach sich anwendbares Recht auch aus der Marktausrichtung des Unternehmens ergeben könne.
Die Richterrunde
Von besonderem Interesse waren die Fragen der Richter. Zunächst wurde geklärt, dass Facebook die Daten unabhängig vom Willen des Fanpage Betreibers erhebt. Von Seiten Facebooks wurde zudem bestätigt, dass eine Deanonymisierung der Insights-Daten nicht möglich sei. Weiter ging es um die technische Möglichkeit Cookies zu löschen und ob danach eine Wiedererkennung des Nutzers beim nächsten Besuch der Webseite möglich wäre. Dies verneinte Facebook für nicht registrierte Nutzer. Schließlich wurde nach Fallgruppen für den gemeinsamen Verantwortlichen gefragt. Hierzu führte die Bundesregierung aus, man könne die gemeinsame Datei der Verfassungsschutzämter darunter fassen.
Dazu sei angemerkt, dass die DSRL für den Bereich der öffentlichen Sicherheit gem. Art. 3 Abs. 2 Spiegelstrich 1 DSRL nicht anwendbar ist. Zudem scheint § 6 Abs. 2 BVerfSchG einer gemeinsamen Entscheidung über Zwecke und Mittel zu widersprechen, indem sie Individualverantwortlichkeit zuweist. Insgesamt legt diese Frage den Finger in eine „offene Wunde“ des Datenschutzrechts: Die gemeinsam für die Verarbeitung Verantwortlichen gem. Art. 2 lit. d) DSRL sind nicht im deutschen Datenschutzrecht umgesetzt; § 3 Abs. 7 BDSG muss europarechtskonform ausgelegt werden. In der Praxis scheint die gemeinsame verantwortliche Stelle keine Rolle zu spielen. Die Literatur scheint einer tatsächliche Gleichberechtigung zu fordern, die in der modernen vernetzten Welt und Dominanz der Plattformen kaum realistisch erscheint. Die Konzeption der Verantwortlichkeit hängt somit immer noch in der Großrechner-Architektur der 70er fest. Damit die gemeinsame Verantwortlichkeit hier zumindest eine Übergangslösung bildet, bedarf es allerdings einer Starthilfe des EuGHs.
Schließlich wurde gefragt, ob sich die gemeinsame Verantwortlichkeit nach der Verhandlungsmacht bei Vertragsschluss bestimmen kann, was die Kommission verneinte. Diese bestimme sich eher nach den Eigenarten der jeweiligen Verarbeitung.
Alles neu macht die DSGVO?
Auch mit Anwendbarkeit der DSGVO ab Mai 2018 wird es zu keinen gravierenden Änderungen im Bereich der Verantwortlichkeit kommen (Art. 4 Nr. 7, 8; Art. 24; Art. 26; Art. 28). Zwar trifft Art. 26 weitergehende Regelungen zu den gemeinsam Verantwortlichen, allerdings setzt Abs. 1 hier bereits die Feststellung voraus, dass es sich um gemeinsam Verantwortliche handelt. Zwar scheint Abs. 2 die gelebte Praxis der (gemeinsamen) Verantwortlichkeit vor das vertraglich Vereinbarte zu setzen, dessen Anwendbarkeit setzt allerdings wiederum die (objektive) Feststellung voraus, dass gemeinsame Verantwortliche vorliegen. Immerhin lässt sich hier Flexibilität der Entscheidungsmachtverteilung, abseits einer starren 50:50 Verteilung, ableiten. Was die präzisen Voraussetzungen für gemeinsame Verantwortlichkeit sind, bleibt aber insgesamt weiter unklar. Eine offensichtlich notwendige Überarbeitung der Konzeption der Verantwortlichkeit im Datenschutzrecht findet sich hier also nicht.
Fazit: Rechtslage wie Sachverhalt bleiben unklar
Insgesamt lässt sich festhalten, dass im ersten Drittel der Verhandlung vor allem die Eingriffskompetenz der Aufsichtsbehörde Thema war. Im Rahmen der Fragerunde durch die Richter schien der Fokus wiederum mehr auf den Umständen der Verarbeitung zu liegen, also Fakten, die eher Relevanz für die Frage der Verantwortlichkeit besitzen. Es fehlte aber an einer genauen Auseinandersetzung mit der Frage, was es genau bedeutet, über Zwecke und Mittel der Verarbeitung zu entscheiden, als Voraussetzung für die Verantwortlichkeit, und inwiefern diese Faktoren kumulativ vorliegen müssen. Ein Arbeitspapier (WP 169) der Art. 29-Datenschutz-Gruppe etwa deutet an, dass bei gemeinsamen Verantwortlichen eine Entscheidungsmacht über Zwecke oder Mittel der Verarbeitung ausreicht. Insgesamt ließen die verschiedenen Stellungnahmen eine Kontroverse erkennen, die bestätigt, dass die momentane Rechtslage nicht zufriedenstellend ist. Denkbar wäre im weiteren Verfahrenslauf, dass das Verfahren nochmal in die Tatsacheninstanz zurückverwiesen wird, um die notwendigen Feststellungen hinsichtlich der Hoheit über die Verarbeitung zu klären. Wie genau der EuGH entscheiden wird, lässt sich kaum erahnen. Der legislative Spielraum scheint eng. Denkbar wäre eine Ausweitung des Begriffs der gemeinsamen Verantwortlichkeit. Abseits dessen ist dem EuGH nach Google Spain aber auch „kreative Rechtsfortbildung“ zuzutrauen.