Europäischer Gerichtshof: Für Datenverarbeitung auf Fanpage sind Betreiber und Facebook verantwortlich - Urteil mit weitreichenden Folgen für Social-Media-Plattformen - C-210/16

05.06.2018 23:54:03, Jürgen Auer, keine Kommentare

Der Europäische Gerichtshof hat mit einer heutigen Entscheidung wohl so etwas wie einen Meilenstein oder eine historische Entscheidung getroffen.

Der Kernsatz: Wenn eine Organisation oder ein Unternehmen auf Facebook eine Fanpage einrichtet, dann sind sowohl die Organisation als auch Facebook die für die Verarbeitung der personenbezogenen Daten Verantwortlichen im Sinne der Rechtslage 2011. Da sich dieser Begriff der "für die Verarbeitung Verantwortlichen" durch die inzwischen geltende Datenschutzgrundverordnung (DSGVO) nicht geändert hat, gilt das auch für die Situation nach der neuen Rechtslage.

Die Tragweite des Urteils wird erst dann so richtig deutlich, wenn man sich die Entscheidungen von Verwaltungs- und Oberverwaltungsgericht ansieht. Beide entschieden genau andersrum: Der Betreiber einer Fanpage sei kein Verantwortlicher. Auch das Bundesverwaltungsgericht tendierte zu dieser verneinenden Position, legte das jedoch dem EuGH vor.
.

„Vorlage zur Vorabentscheidung – Richtlinie 95/46/EG – Personenbezogene Daten – Schutz natürlicher Personen bei der Verarbeitung dieser Daten – Anordnung zur Deaktivierung einer Facebook-Seite (Fanpage), die es ermöglicht, bestimmte Daten bezüglich der Besucher dieser Seite zu erheben und zu verarbeiten – Art. 2 Buchst d – Für die Verarbeitung personenbezogener Daten Verantwortlicher – Art. 4 – Anwendbares nationales Recht – Art. 28 – Nationale Kontrollstellen – Einwirkungsbefugnisse dieser Stellen“

http://curia.europa.eu/juris/document/document.jsf?text=&docid=202543&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=399657

Die Pressemitteilung (PDF, 3 Seiten):

Der Betreiber einer Facebook-Fanpage ist gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich

https://curia.europa.eu/jcms/upload/docs/application/pdf/2018-06/cp180081de.pdf

.
In einem Konflikt, der seit dem 03. November 2011 lief, hatte das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) gegenüber der Wirtschaftsakademie Schleswig-Holstein GmbH angeordnet, die unter https://www.facebook.com/wirtschaftsakademie betriebene Fanpage zu deaktivieren. Grund sei, daß weder die Wirtschaftsakademie noch Facebook die Besucher darüber informieren, daß Facebook mittels Cookies personenbezogene Daten von Besuchern der Fanpage erhebt und diese Daten anschließend verarbeitet.

Dagegen legte die Wirtschaftsakademie Widerspruch ein. Die wesentliche Begründung: Sie sei weder für die Datenverarbeitung durch Facebook noch für die von Facebook gesetzten Cookies verantwortlich.

Das ULD wies diesen Widerspruch mit Bescheid zurück. Die Wirtschaftsakademie leiste

> durch das Einrichten ihrer Fanpage einen aktiven und willentlichen Beitrag zur Erhebung personenbezogener Daten betreffend die Besucher dieser Fanpage durch Facebook [leiste] und von diesen Daten durch die ihr von Facebook zur Verfügung gestellten Statistiken profitiere.

Dagegen klagte die Wirtschaftsakademie vor dem Verwaltungsgericht. Ihr könne die Verarbeitung personenbezogener Daten durch Facebook nicht zugerechnet werden. Sie habe auch Facebook nicht mit einer Auftragsdatenverarbeitung beauftragt. Das ULD hätte direkt gegen Facebook vorgehen müssen.

Die Entscheidung des Verwaltungsgerichts (09. Oktober 2013):

> Das Verwaltungsgericht hob den angefochtenen Bescheid mit Urteil vom 9. Oktober 2013 auf und begründete dies im Wesentlichen damit, dass der Betreiber einer Fanpage bei Facebook keine verantwortliche Stelle im Sinne von § 3 Abs. 7 BDSG sei und die Wirtschaftsakademie daher auch nicht Adressat einer Verfügung nach § 38 Abs. 5 BDSG sein könne.

Vergleicht man das mit der heutigen EuGH-Entscheidung, dann hat der EuGH heute genau gegenteilig entschieden.

Dagegen Berufung des ULD. Das Oberverwaltungsgericht entschied zum einen, daß das Bundesdatenschutzgesetz ein abgestuftes Vorgehen vorsehe, so daß die Abschaltung höchstens am Ende von Maßnahmen, nicht aber am Anfang stehen könne.

> Weiter führte das Oberverwaltungsgericht aus, dass der angefochtene Bescheid auch deswegen rechtswidrig sei, weil eine Anordnung nach § 38 Abs. 5 BDSG nur gegenüber der verantwortlichen Stelle im Sinne von § 3 Abs. 7 BDSG ergehen könne, was die Wirtschaftsakademie aber hinsichtlich der von Facebook erhobenen Daten nicht sei.

Das OVG bestätigte also die Entscheidung des VG. Daraufhin ging das weiter zum Bundesverwaltungsgericht. Auch dieses war der Meinung, daß die Wirtschaftsakademie nicht Verantwortlicher sei (RN 23):

> Das Bundesverwaltungsgericht ist wie das Oberverwaltungsgericht der Ansicht, dass die Wirtschaftsakademie selbst nicht als im Sinne von § 3 Abs. 7 BDSG oder Art. 2 Buchst. d der Richtlinie 95/46 für die Verarbeitung der Daten verantwortlich angesehen werden könne.

Ferner hatte es Zweifel, ob das ULD gegenüber Facebook Germany vorgehen könne. Schließlich war nicht klar, inwiefern die Datenschutzstelle in Irland dafür zuständig sei.

All das führte zu 6 Vorlagenfragen an den Europäischen Gerichtshof, die dieser im Rahmen eines Vorabentscheidungsersuchens beantworten sollte. Frage 1 und 2 führten direkt zum Hauptsatz der Entscheidung. Die Fragen 3 - 6 bezogen sich darauf, wer gegen welche Niederlassung vorgehen könne, wenn die Datenverarbeitung zentral erfolge und wie das Verhältnis zwischen einer deutschen und einer Aufsichtsbehörde in einem anderen EU-Land geregelt sei.

Der zweite Satz aus der PM:

> Die Datenschutzbehörde des Mitgliedstaats, in dem dieser Betreiber seinen Sitz hat, kann nach der Richtlinie 95/46 1 sowohl gegen ihn als auch gegen die in diesem Mitgliedstaat niedergelassene Tochtergesellschaft von Facebook vorgehen.

Die Kurzfassung der Begründung aus der PM:

1. Facebook ist auf jeden Fall verantwortlich für die Verarbeitung personenbezogener Daten.

2.

> Sodann befindet der Gerichtshof, dass ein Betreiber wie die Wirtschaftsakademie als in der Union gemeinsam mit Facebook Ireland für die fragliche Datenverarbeitung verantwortlich anzusehen ist. Ein solcher Betreiber ist nämlich durch die von ihm vorgenommene Parametrierung (u.a. entsprechend seinem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten) an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt.

Und:

> Nach Ansicht des Gerichtshofs kann der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, diesen nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien.

Ähnlich hatte das ULD gegenüber dem Bundesverwaltungsgericht argumentiert (Urteil RN 22):

> Es sieht den Verstoß der Wirtschaftsakademie in der Beauftragung eines ungeeigneten, weil Datenschutzrecht nicht beachtenden Anbieters, hier Facebook Ireland, mit der Erstellung, Bereithaltung und Wartung eines Internetauftritts.

Ein Unternehmen kann nicht ein ungeeignetes anderes Unternehmen beauftragen und damit die Verantwortung abwälzen.

Ferner stellt das Urteil (Vorlagenfragen 3 + 4) fest, daß das ULD sowohl gegen die Wirtschaftsakademie als auch gegen Facebook Deutschland vorgehen könne. Das gilt auch dann, wenn Facebook Germany nur für den Verkauf von Werbeplätzen, nicht aber für die Erhebung der personenbezogenen Daten (das macht Facebook Irland) zuständig sei. Schließlich (Vorlagenfragen 5 + 6) kann das ULD tätig werden, ohne daß es die Aufsichtsbehörde in Irland einschalten oder anhören muß.

Wichtig bei dem Urteil: Es wurde von der "Großen Kammer" getroffen:

> DER GERICHTSHOF (Große Kammer)
>
> unter Mitwirkung des Präsidenten K. Lenaerts, des Vizepräsidenten A. Tizzano (Berichterstatter), der Kammerpräsidenten M. Ilešič, L. Bay Larsen, T. von Danwitz, A. Rosas, J. Malenovský und E. Levits, der Richter E. Juhász, A. Borg Barthet und F. Biltgen, der Richterin K. Jürimäe sowie der Richter C. Lycourgos, M. Vilaras und E. Regan

Das zeigt die Tragweite dieses Urteils.

In einer Pressemitteilung des ULD

Betreiber von Facebook-Fanpages tragen Datenschutz-Verantwortung!

https://www.datenschutzzentrum.de/artikel/1241-Betreiber-von-Facebook-Fanpages-tragen-Datenschutz-Verantwortung!.html

meint die Landesbeauftragte für Datenschutz Schleswig-Holstein, Marit Hansen, zu dem Urteil:

> „Die Entscheidung hat meine Einschätzung bestätigt, dass es keine Verantwortungslücken im Datenschutz geben kann. Konkret bedeutet dies nun für alle Fanpage-Betreiber, dass zwischen ihnen und Facebook geklärt sein muss, welche Datenschutzpflichten sie selbst zu erfüllen haben und für welche Facebook zuständig ist. Dies gilt insbesondere für die Informationspflichten: Ohne Transparenz, wie die Daten über alle Nutzenden – d. h. Mitglieder und Nicht-Mitglieder von Facebook – verarbeitet werden, funktioniert dies nicht. Bei den Betroffenenrechten, z. B. dem Recht auf Auskunft oder Berichtigung, gilt: Jeder kann diese Rechte sowohl gegenüber dem Fanpage-Betreiber als auch gegenüber Facebook direkt geltend machen.“

Wenn man eine Website betreibt, ist man für die Website verantwortlich. Wenn man die Website faktisch zu Facebook verlagert, dann bleibt man dafür verantwortlich.

Der Bayerische Landesbeauftragte für den Datenschutz, Thomas Petri, verweist darauf, daß auch die öffentlichen Stellen ihren Umgang mit Facebook prüfen müßten:

> Mögliche Vorteile bei der Öffentlichkeitsarbeit rechtfertigen jedenfalls keine Datenschutzverstöße.

Und klar ist auch: Das Urteil gilt offenkundig nicht nur für Facebook, sondern für alle Social-Media-Plattformen. Wer diese für eigene Zwecke verwendet, der ist mitverantwortlich.

Nun ist in Deutschland wieder das Bundesverwaltungsgericht zuständig.Das wird noch eine Weile dauern, bis es da ein rechtskräftiges Urteil geben wird.

Ich gehe allerdings davon aus, daß Facebook nun - im eigenen Interesse - einiges verbessern und dies Betreibern von Fanpages aus dem EU-Raum anbieten wird. Ansonsten läuft Facebook Gefahr, daß diverse Organisationen ihre Fanpages abschalten oder einschlafen lassen werden.

*
* (wird nicht angezeigt)
Die Erläuterungen zum Datenschutz habe ich gelesen und stimme diesen zu.