EuGH, Urt. 5.6.2018 - C-210/16
Gemeinsame Datenschutz-Verantwortlichkeit für Drittinhalte – Facebook-Fanpages
Autor: RA Matthias Bergt, von BOETTICHER Rechtsanwälte, Berlin
Aus: IT-Rechtsberater, Heft 07/2018
Aus: IT-Rechtsberater, Heft 07/2018
Der Betreiber einer Facebook-Fanpage ist datenschutzrechtlich gemeinsamer Verantwortlicher mit Facebook.
EuGH, Urt. v. 5.6.2018 - C-210/16
Vorinstanz: BVerwG, Beschl. v. 25.2.2016 - 1 C 28.14
Vorinstanz: OVG Schleswig-Holstein, Urt. v. 4.9.2014 - 4 LB 20/13
Vorinstanz: VG Schleswig, Urt. v. 9.10.2013 - 8 A 14/12
DSRL Art. 2 lit. d, Art. 4, 28; BDSG a.F. § 3 Abs. 7, § 38 Abs. 5 a.F.
Parametrierung und Statistiken: Facebook ermögliche dem Betreiber der Fanpage eine Parametrierung u.a. entsprechend seinem Zielpublikum, die sich auf die Verarbeitung der personenbezogenen Daten der Besucher der Fanpage und der von Facebook bereitgestellten Statistiken auswirke. Dadurch trage der Fanpage-Betreiber zur Verarbeitung der personenbezogenen Daten der Besucher seiner Seite bei (Rz. 36). Dass der Betreiber der Fanpage nur Zugriff auf anonymisierte Statistiken habe, sei irrelevant. Denn für eine gemeinsame Verantwortlichkeit sei nicht erforderlich, dass jeder der Betreiber Zugang zu den personenbezogenen Daten habe (Rz. 38).
Ermöglichung der Datenverarbeitung durch Facebook: Die bloße Nutzung eines sozialen Netzwerks für sich genommen mache den Nutzer nicht für die durch das soziale Netzwerk vorgenommenen Datenverarbeitungen mitverantwortlich. Doch gebe der Betreiber einer Fanpage mit der Einrichtung einen solchen Seite Facebook die Möglichkeit, auf dem Endgerät der Besucher dieser Seite Cookies zu platzieren, unabhängig davon, ob die Besucher über ein Facebook-Konto verfügten (Rz. 35). In einem solchen Fall erscheine die Verantwortlichkeit des Betreibers der Fanpage hinsichtlich der Verarbeitung der personenbezogenen Daten der Nicht-Facebook-Mitglieder noch höher (Rz. 41).
Kein Ausschluss durch Auslagerung: Die Nutzung einer fremden Plattform wie Facebook befreie den Betreiber einer Fanpage nicht von der Beachtung seiner datenschutzrechtlichen Verpflichtungen (Rz. 40). Eine gemeinsame Verantwortlichkeit müssen nicht zwangsläufig eine gleichwertige Verantwortlichkeit zur Folge haben (Rz. 43).
Zuständigkeit: Facebook besitze mit der Facebook Germany eine Niederlassung in Deutschland (Rz. 55), im Rahmen von deren Tätigkeit die Verarbeitung der personenbezogenen Daten erfolge (Rz. 60), so dass deutsches Recht anwendbar (Rz. 61) und die deutsche Aufsichtsbehörde für ein Vorgehen gegen die Facebook Germany zuständig sei (Rz. 62), und zwar auch dann, wenn die konzerninterne Zuständigkeit für die eigentliche Datenverarbeitung ausschließlich bei einer anderen Konzern-Niederlassung liege (Rz. 64). Eine Bindung an eine Bewertung oder Entscheidung einer anderen – hier der irischen – Aufsichtsbehörde bestehe unter der DSRL nicht (Rz. 73).
EuGH, Urt. v. 5.6.2018 - C-210/16
Vorinstanz: BVerwG, Beschl. v. 25.2.2016 - 1 C 28.14
Vorinstanz: OVG Schleswig-Holstein, Urt. v. 4.9.2014 - 4 LB 20/13
Vorinstanz: VG Schleswig, Urt. v. 9.10.2013 - 8 A 14/12
DSRL Art. 2 lit. d, Art. 4, 28; BDSG a.F. § 3 Abs. 7, § 38 Abs. 5 a.F.
Das Problem
Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) monierte, dass es bei der Nutzung von Facebook-Fanpages keine Information über das Setzen von Cookies und die nachfolgende Datenverarbeitung gab. Da nach vormaliger Ansicht nur die irische Datenschutzaufsicht für die Datenverarbeitung durch die Facebook Ireland Ltd. zuständig war (anders nunmehr EuGH v. 13.5.2014 – C-131/12, CR 2014, 460 = ITRB 2014, 150), erließ das ULD gegen die Wirtschaftsakademie Schleswig-Holstein die Anordnung nach § 38 Abs. 5 BDSG a.F., die Facebook-Fanpage abzuschalten. VG und OVG verneinten eine datenschutzrechtliche Verantwortlichkeit der Wirtschaftsakademie. Das BVerwG sah dies genauso, legte die Frage sowie weitere Fragen hinsichtlich der Zuständigkeit des ULD und einer eventuellen Bindungswirkung der Rechtsauffassung der irischen Datenschutzaufsicht aber gem. Art. 267 AEUV dem EuGH vor.Die Entscheidung des Gerichts
Der EuGH stellt fest, dass der Fanpage-Betreiber gemeinsam mit Facebook für die Verarbeitung Verantwortlicher i.S.v. Art. 2 lit. d DSRL ist. Im Interesse eines wirksamen und umfassenden Schutzes der betroffenen Personen sei der Begriff des Verantwortlichen weit definiert (Rz. 28). Zwar würden in erster Linie die Facebook Inc. und die Facebook Ireland Ltd. über die Zwecke und Mittel der Verarbeitung entscheiden (Rz. 30). Doch leiste der Betreiber der Fanpage einen Beitrag zur Entscheidung über die Zwecke und Mittel und sei somit ebenfalls für die Verarbeitung Verantwortlicher (Rz. 31 ff.).Parametrierung und Statistiken: Facebook ermögliche dem Betreiber der Fanpage eine Parametrierung u.a. entsprechend seinem Zielpublikum, die sich auf die Verarbeitung der personenbezogenen Daten der Besucher der Fanpage und der von Facebook bereitgestellten Statistiken auswirke. Dadurch trage der Fanpage-Betreiber zur Verarbeitung der personenbezogenen Daten der Besucher seiner Seite bei (Rz. 36). Dass der Betreiber der Fanpage nur Zugriff auf anonymisierte Statistiken habe, sei irrelevant. Denn für eine gemeinsame Verantwortlichkeit sei nicht erforderlich, dass jeder der Betreiber Zugang zu den personenbezogenen Daten habe (Rz. 38).
Ermöglichung der Datenverarbeitung durch Facebook: Die bloße Nutzung eines sozialen Netzwerks für sich genommen mache den Nutzer nicht für die durch das soziale Netzwerk vorgenommenen Datenverarbeitungen mitverantwortlich. Doch gebe der Betreiber einer Fanpage mit der Einrichtung einen solchen Seite Facebook die Möglichkeit, auf dem Endgerät der Besucher dieser Seite Cookies zu platzieren, unabhängig davon, ob die Besucher über ein Facebook-Konto verfügten (Rz. 35). In einem solchen Fall erscheine die Verantwortlichkeit des Betreibers der Fanpage hinsichtlich der Verarbeitung der personenbezogenen Daten der Nicht-Facebook-Mitglieder noch höher (Rz. 41).
Kein Ausschluss durch Auslagerung: Die Nutzung einer fremden Plattform wie Facebook befreie den Betreiber einer Fanpage nicht von der Beachtung seiner datenschutzrechtlichen Verpflichtungen (Rz. 40). Eine gemeinsame Verantwortlichkeit müssen nicht zwangsläufig eine gleichwertige Verantwortlichkeit zur Folge haben (Rz. 43).
Zuständigkeit: Facebook besitze mit der Facebook Germany eine Niederlassung in Deutschland (Rz. 55), im Rahmen von deren Tätigkeit die Verarbeitung der personenbezogenen Daten erfolge (Rz. 60), so dass deutsches Recht anwendbar (Rz. 61) und die deutsche Aufsichtsbehörde für ein Vorgehen gegen die Facebook Germany zuständig sei (Rz. 62), und zwar auch dann, wenn die konzerninterne Zuständigkeit für die eigentliche Datenverarbeitung ausschließlich bei einer anderen Konzern-Niederlassung liege (Rz. 64). Eine Bindung an eine Bewertung oder Entscheidung einer anderen – hier der irischen – Aufsichtsbehörde bestehe unter der DSRL nicht (Rz. 73).