Detail

Datenschutzrechtliche Verantwortlichkeit des Betreibers sog. Fanpages

|   Newsletter 03/2018

(EuGH, Urteil vom 05. Juni 2018 – AZ: C-210/16 -)

Der zitierten Entscheidung des Europäischen Gerichtshofs (EuGH) lag ein Vorabentscheidungsersuchen des Bundesverwaltungsgerichts (BVerwG) zur Auslegung der der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. 1995, L 281, S. 31) zugrunde. 

Ausgangspunkt war ein Rechtsstreit zwischen dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) und der Wirtschaftsakademie Schleswig-Holstein GmbH, einem privatrechtlich organisierten Bildungsunternehmen (Wirtschaftsakademie). Gegenstand dieses Rechtsstreits war die Rechtmäßigkeit einer Anordnung des ULD gegenüber der Wirtschaftsakademie, mit der dieser aufgegeben wurde, eine auf der Website des sozialen Netzwerks Facebook (in Europa betrieben von Facebook Ireland Ltd.) unterhaltene Fanpage, über die die Wirtschaftsakademie Bildungsdienstleistungen anbietet, zu deaktivieren. Zur Begründung führte das ULD an, „dass weder die Wirtschaftsakademie noch Facebook die Besucher der Fanpage darauf hinwiesen, dass Facebook mittels Cookies sie betreffende personenbezogene Daten erhebe und diese Daten danach verarbeite.“ Die Wirtschaftsakademie legte gegen diesen Bescheid Widerspruch ein, mit dem sie im Wesentlichen geltend machte, sie sei nach dem anwendbaren Datenschutzrecht weder für die Datenverarbeitung durch Facebook noch für die von Facebook gesetzten Cookies verantwortlich.

Die gegen diesen Bescheid gerichtete Klage der Wirtschaftsakademie hatte vor dem Verwaltungsgericht (VG) Erfolg, die hiergegen eingelegte Berufung des ULD wurde vom Oberverwaltungsgericht (OVG) als unbegründet zurückgewiesen. Sowohl das VG als auch das OVG stützten ihre Entscheidungen u. a. darauf, dass die Wirtschaftsakademie nicht verantwortliche Stelle i. S. d. § 3 Abs. 7 Bundesdatenschutzgesetz (in der bis zum 24. Mai 2018 gültigen Fassung) sei. Schließlich entscheide allein Facebook über den Zweck und die Mittel der Erhebung und Verarbeitung der im Rahmen der Funktion Facebook Insight genutzten personenbezogenen Daten während die Wirtschaftsakademie selbst nur anonymisierte, statistische Informationen erhalte. Gegen das Berufungsurteil legte das ULD Revision zum BVerwG ein. Das BVerwG wandte sich im Rahmen des Vorabentscheidungsersuchens u. a. in Bezug auf die Auslegung des Begriffs des „für die Verarbeitung Verantwortlichen“ i. S. d. Art. 2 lit. d) der Richtlinie 95/46/EG an den EuGH.
Der EuGH kommt in seiner Entscheidung zu dem Ergebnis, dass der Betreiber einer auf Facebook eingerichteten Fanpage gemeinsam mit Facebook Verantwortlicher im Sinne von Art. 2 lit. d) der Richtlinie 94/46/EG für die Verarbeitung personenbezogener Daten der Besucher seiner Fanpage ist. Diese Ergebnis begründet der EuGH im Wesentlichen damit, „dass der Betreiber einer auf Facebook unterhaltenen Fanpage mit der Einrichtung einer solchen Seite Facebook die Möglichkeit gibt, auf dem Computer oder jedem anderen Gerät der Person, die seine Fanpage besucht hat, Cookies zu platzieren, unabhängig davon, ob diese Person über Facebook-Konto verfügt. […] Folglich trägt der Betreiber einer auf Facebook unterhalten Fanpage zur Verarbeitung der personenbezogenen Daten der Besucher seiner Seite bei.“ Nach Auffassung des EuGH steht der gemeinsamen Verantwortlichkeit des Betreibers der für den Pächter für die Verarbeitung personenbezogener Daten nicht entgegen, dass der Betreiber der Fanpage selbst die von Facebook erstellten Besucherstatistiken ausschließlich in anonymisierter Form erhält, da die Richtlinie 94/46/EG nicht verlangt, "dass bei einer gemeinsamen Verantwortlichkeit mehrerer Betreiber für dieselbe Verarbeitung jeder Zugang zu den betreffenden personenbezogenen Daten hat". 

Auch wenn diese Entscheidung des EuGH die Richtlinie 94/46/EG betrifft, ist sie auf die seit dem 25. Mai 2018 geltende Datenschutz-Grundverordnung (DS-GVO) übertragbar. Schließlich sind die Definitionen des Verantwortlichen in der Richtlinie 95/46/EG und in der DS-GVO identisch. Daher ist der Betreiber einer bei Facebook eingerichteten Fanpage im Lichte der zitierten Entscheidung des EuGH gemeinsam mit Facebook als Verantwortlicher im Sinn von Art. 4 Nr. 7 DS-GVO anzusehen, mit der Folge, dass die Regelungen der DS GVO zu gemeinsam Verantwortlichen Anwendung finden. 

Dies betrifft insbesondere Art. 26 DS GVO, wonach die gemeinsamen Verantwortlichen in einer Vereinbarung in transparenter Form festzulegen haben, wer von Ihnen welche Verpflichtungen gemäß der DS-GVO erfüllt und insbesondere wer welchen Informationspflichten gemäß den Art. 13 und 14 DS-GVO nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortliche nicht bereits durch Rechtsvorschriften festgelegt sind. Facebook hatte zwischenzeitlich eine umfangreiche „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ veröffentlicht (siehe: https://www.facebook.com/legal/terms/page_controller_addendum), in der die Verantwortlichkeiten sowohl von Facebook also von Seitenbetreibern geregelt werden. Des Weiteren greift Art. 82 Abs. 2 Satz 1, Abs. 4 DS-GVO, sodass für den Betreiber einer Fanpage das Risiko besteht, bei einem von Facebook begangenen Verstoßes gegen die Vorschriften der DS-GVO von den betroffenen Personen als Gesamtschuldner auf Schadensersatz in Anspruch genommen zu werden.

FAZIT: Vor dem Hintergrund dieser Entscheidung birgt derzeit bereits der Betrieb einer Fanpage auf Facebook das Risiko, gegen datenschutzrechtliche Vorschriften zu verstoßen. Es bleibt abzuwarten, ob und wann seitens der Aufsichtsbehörden und Gerichte Leitlinien aufgestellt werden, welche Maßnahmen ergriffen werden müssen, um solche Fanpages datenschutzkonform zu betreiben. Insbesondere bleibt abzuwarten, ob die von Facebook veröffentliche Ergänzung als ausreichend angesehen wird.


Für ergänzende Erläuterungen steht Ihnen Herr Rechtsanwalt Patrick Steinhausen gerne zur Verfügung.

Zurück