hackescher markt

Datenschutzrechtliche Verantwortung trägt Betreiber einer face­book-Fanpage

Die gera­de erst in Kraft getre­te­ne Datenschutzgrundverordnung bekommt ihre ers­ten Zähne. Nach der Entscheidung des EuGH vom 05.06.2018 – C-210/16 – liegt die daten­schutz­recht­li­che Verantwortung für die Unterhaltung einer face­book-Fanpage, ins­be­son­de­re für die Verarbeitung der per­so­nen­be­zo­ge­nen Daten ihrer Besucher, gemein­sam mit dem in den USA ansäs­si­gen Unternehmen face­book Inc. bei dem Betreiber der Fanseite.

EuGH, Urt. v. 5. 6. 2018 – C-210/16

EuGH, Pressemitteilung 81/18 vom 05.06.2018 zum Urteil vom 05.06.2018 – C-210/16:

Leitsatz: „Der Betreiber einer Facebook-Fanpage ist gemein­sam mit Facebook für die Verarbeitung der per­so­nen­be­zo­ge­nen Daten der Besucher sei­ner Seite ver­ant­wort­lich. Die Datenschutzbehörde des Mitgliedstaats, in dem die­ser Betreiber sei­nen Sitz hat, kann nach der Richtlinie 95/46 sowohl gegen ihn als auch gegen die in die­sem Mitgliedstaat nie­der­ge­las­se­ne Tochtergesellschaft von Facebook vor­ge­hen.”

Sachverhalt

»Die Wirtschaftsakademie Schleswig-Holstein ist ein auf den Bereich Bildung spe­zia­li­sier­tes Unternehmen. Sie bie­tet u. a. über eine auf Facebook unter­hal­te­ne Fanpage Bildungsdienstleistungen an. Die Betreiber von Fanpages wie die Wirtschaftsakademie kön­nen mit Hilfe der Funktion Facebook Insight, die ihnen Facebook als nicht abding­ba­ren Teil des Benutzungsverhältnisses kos­ten­frei zur Verfügung stellt, anony­mi­sier­te sta­tis­ti­sche Daten betref­fend die Nutzer die­ser Seiten erhal­ten. Diese Daten wer­den mit Hilfe sog. Cookies gesam­melt, die jeweils einen ein­deu­ti­gen Benutzercode ent­hal­ten, der für zwei Jahre aktiv ist und den Facebook auf der Festplatte des Computers oder einem ande­ren Datenträger der Besucher der Fanpage spei­chert. Der Benutzercode, der mit den Anmeldungsdaten sol­cher Nutzer, die bei Facebook regis­triert sind, ver­knüpft wer­den kann, wird beim Aufrufen der Fanpages erho­ben und ver­ar­bei­tet.

Mit Bescheid vom 3. November 2011 ord­ne­te das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein – als nach der Richtlinie 95/46 für die Überwachung der Anwendung der von Deutschland zur Umsetzung die­ser Richtlinie erlas­se­nen Vorschriften im Gebiet des Bundeslandes Schleswig-Holstein zustän­di­ge Kontrollstelle – gegen­über der Wirtschaftsakademie an, ihre Fanpage zu deak­ti­vie­ren. Nach Auffassung des Unabhängigen Landeszentrums für Datenschutz wie­sen näm­lich weder die Wirtschaftsakademie noch Facebook die Besucher der Fanpage dar­auf hin, dass Facebook mit­tels Cookies sie betref­fen­de per­so­nen­be­zo­ge­ne Daten erhebt und die­se Daten danach ver­ar­bei­tet.

Die Wirtschaftsakademie erhob beim Verwaltungsgericht in Deutschland eine ver­wal­tungs­ge­richt­li­che Klage gegen die­sen Bescheid und mach­te gel­tend, dass ihr die Verarbeitung per­so­nen­be­zo­ge­ner Daten durch Facebook nicht zuge­rech­net wer­den kön­ne und sie Facebook auch nicht mit einer von ihr kon­trol­lier­ten oder beein­fluss­ba­ren Datenverarbeitung beauf­tragt habe. Daraus lei­te­te die Wirtschaftsakademie ab, dass das Unabhängige Landeszentrum direkt gegen Facebook und nicht gegen sie hät­te vor­ge­hen müs­sen.

Vor die­sem Hintergrund ersucht das Bundesverwaltungsgericht (Deutschland) den Gerichtshof um Auslegung der Richtlinie 95/46.«

Aus den Gründen

»In sei­nem Urteil vom 05.06.2018 stellt der Gerichtshof zunächst fest, dass in der vor­lie­gen­den Rechtssache nicht in Zweifel gezo­gen wird, dass die ame­ri­ka­ni­sche Gesellschaft Facebook und, was die Union betrifft, deren iri­sche Tochtergesellschaft Facebook Ireland als „für die Verarbeitung” der per­so­nen­be­zo­ge­nen Daten der Facebook-Nutzer und der Personen, die die auf Facebook unter­hal­te­nen Fanpages besucht haben, „Verantwortliche” anzu­se­hen sind. Denn die­se Gesellschaften ent­schei­den in ers­ter Linie über die Zwecke und Mittel der Verarbeitung die­ser Daten.

Sodann befin­det der Gerichtshof, dass ein Betreiber wie die Wirtschaftsakademie als in der Union gemein­sam mit Facebook Ireland für die frag­li­che Datenverarbeitung ver­ant­wort­lich anzu­se­hen ist.

Ein sol­cher Betreiber ist näm­lich durch die von ihm vor­ge­nom­me­ne Parametrierung (u. a. ent­spre­chend sei­nem Zielpublikum sowie den Zielen der Steuerung oder Förderung sei­ner Tätigkeiten) an der Entscheidung über die Zwecke und Mittel der Verarbeitung der per­so­nen­be­zo­ge­nen Daten der Besucher sei­ner Fanpage betei­ligt. Der Gerichtshof weist inso­weit dar­auf hin, dass der Fanpage-Betreiber ins­be­son­de­re demo­gra­fi­sche Daten über sei­ne Zielgruppe – und damit die Verarbeitung die­ser Daten – ver­lan­gen kann (u. a. Tendenzen in den Bereichen Alter, Geschlecht, Beziehungsstatus und beruf­li­che Situation), Informationen über den Lebensstil und die Interessen sei­ner Zielgruppe (ein­schließ­lich Informationen über die Käufe und das Online-Kaufverhalten der Besucher sei­ner Seite sowie über die Kategorien von Waren oder Dienstleistungen, die sie am meis­ten inter­es­sie­ren) und geo­gra­fi­sche Daten, die ihn dar­über infor­mie­ren, wo spe­zi­el­le Werbeaktionen durch­zu­füh­ren oder Veranstaltungen zu orga­ni­sie­ren sind und ihm ganz all­ge­mein ermög­li­chen, sein Informationsangebot so ziel­ge­rich­tet wie mög­lich zu gestal­ten.

Nach Ansicht des Gerichtshofs kann der Umstand, dass ein Betreiber einer Fanpage die von Facebook ein­ge­rich­te­te Plattform nutzt, um die dazu­ge­hö­ri­gen Dienstleistungen in Anspruch zu neh­men, die­sen nicht von der Beachtung sei­ner Verpflichtungen im Bereich des Schutzes per­so­nen­be­zo­ge­ner Daten befrei­en.

Der Gerichtshof betont, dass die Anerkennung einer gemein­sa­men Verantwortlichkeit des Betreibers des sozia­len Netzwerks und des Betreibers einer bei die­sem Netzwerk unter­hal­te­nen Fanpage im Zusammenhang mit der Verarbeitung per­so­nen­be­zo­ge­ner Daten der Besucher die­ser Fanpage dazu bei­trägt, ent­spre­chend den Anforderungen der Richtlinie 95/46 einen umfas­sen­de­ren Schutz der Rechte sicher­zu­stel­len, über die die Personen ver­fü­gen, die eine Fanpage besu­chen.

Des Weiteren stellt der Gerichtshof fest, dass das Unabhängige Landeszentrum zustän­dig war, zur Gewährleistung der Einhaltung der Vorschriften zum Schutz per­so­nen­be­zo­ge­ner Daten im deut­schen Hoheitsgebiet von sämt­li­chen Befugnissen, über die es nach den deut­schen Bestimmungen zur Umsetzung der Richtlinie 95/46 ver­fügt, nicht nur gegen­über der Wirtschaftsakademie, son­dern auch gegen­über Facebook Germany Gebrauch zu machen.

Wenn ein außer­halb der Union ansäs­si­ges Unternehmen (wie die ame­ri­ka­ni­sche Gesellschaft Facebook) meh­re­re Niederlassungen in ver­schie­de­nen Mitgliedstaaten unter­hält, ist die Kontrollstelle eines Mitgliedstaats näm­lich auch dann zur Ausübung der ihr durch die Richtlinie 95/46 über­tra­ge­nen Befugnisse gegen­über einer im Hoheitsgebiet die­ses Mitgliedstaats gele­ge­nen Niederlassung die­ses Unternehmens befugt, wenn nach der kon­zern­in­ter­nen Aufgabenverteilung zum einen die­se Niederlassung (hier Facebook Germany) allein für den Verkauf von Werbeflächen und sons­ti­ge Marketingtätigkeiten im Hoheitsgebiet des betref­fen­den Mitgliedstaats zustän­dig ist, und zum ande­ren die aus­schließ­li­che Verantwortung für die Erhebung und Verarbeitung per­so­nen­be­zo­ge­ner Daten für das gesam­te Gebiet der Union einer in einem ande­ren Mitgliedstaat gele­ge­nen Niederlassung (hier Facebook Ireland) obliegt.

Weiter führt der Gerichtshof aus, dass dann, wenn die Kontrollstelle eines Mitgliedstaats (hier das Unabhängige Landeszentrum in Deutschland) beab­sich­tigt, gegen­über einer im Hoheitsgebiet die­ses Mitgliedstaats ansäs­si­gen Stelle (hier die Wirtschaftsakademie) wegen Verstößen gegen die Vorschriften über den Schutz per­so­nen­be­zo­ge­ner Daten, die von einem Dritten began­gen wur­den, der für die Verarbeitung die­ser Daten ver­ant­wort­lich ist und sei­nen Sitz in einem ande­ren Mitgliedstaat hat (hier Facebook Ireland), die Einwirkungsbefugnisse nach der Richtlinie 95/46 aus­zu­üben, die­se Kontrollstelle zustän­dig ist, die Rechtmäßigkeit einer sol­chen Datenverarbeitung unab­hän­gig von der Kontrollstelle des letzt­ge­nann­ten Mitgliedstaats (Irland) zu beur­tei­len und ihre Einwirkungsbefugnisse gegen­über der in ihrem Hoheitsgebiet ansäs­si­gen Stelle aus­zu­üben, ohne zuvor die Kontrollstelle des ande­ren Mitgliedstaats um ein Eingreifen zu ersu­chen

Fazit

Die zitier­te Entscheidung hat ganz erheb­li­che Tragweite für all die­je­ni­gen Unternehmen, die anstel­le oder neben ihrem eige­nen Internetauftritt, bei­spiels­wei­se zur Erhöhung der Reichweite, auch eine Seite auf dem sozia­len Netzwerk face­book betrei­ben. Die Folgen für Seiten auf ande­ren Social-Media-Plattformen wie Twitter, Instagram, Xing usw. bleibt abzu­war­ten. Es liegt jedoch nahe, dass die Grundsätze der vor­be­zeich­ne­ten Vorabentscheidung des EuGH zur daten­schutz­recht­li­chen Verantwortlichkeit auch auf die­se Seiten über­tra­gen wer­den kön­nen.

Da die Möglichkeit zur Einstellung einer Datenschutzerklärung auf einer face­book-Fanseite oder ein schlich­ter Link auf die Datenschutzerklärung der eige­nen Internetseite, wie auch bei allen ande­ren Social-Media-Plattformen, soweit ersicht­lich, (noch) nicht ange­bo­ten wird, soll­te, wenn nicht sogar die vor­über­ge­hend gänz­li­che Abschaltung sol­cher Seiten bis zur Eröffnung einer der­ar­ti­gen Möglichkeit erwo­gen wird, wenigs­tens ein Hinweis über die Einbeziehung der face­book-Fanseite in die eige­ne Datenschutzerklärung erfol­gen.

Auch dies dürf­te aller­dings solan­ge nicht ganz unpro­ble­ma­tisch sein, solan­ge sich face­book nicht umfas­send zu Art, Umfang und Zweck der auf einer face­book-Fanseite erfass­te­nen per­so­nen­be­zo­ge­nen Daten äußert, da ent­spre­chen­de Angaben in die eige­ne Datenschutzerklärung nach der neu­en DS-GVO mit auf­zu­neh­men sind. Hilfreich dürf­te in jedem Fall sein, die Funktion »Insight« auf face­book-Fanseiten zu deak­ti­vie­ren, wenn kein Advertising über die Fanseite geschal­tet wird. Denn gera­de wegen der für den Betrieb einer face­book-Fanseite ehe­mals unab­ding­ba­ren Aktivierung die­ser Funktion kam es zu der gericht­li­chen Auseinandersetzung.

Dr. Andreas Daniel

Dr. Andreas Daniel

Dr. Andreas Daniel ist Rechtsanwalt, Fachanwalt für Handels- und Gesellschaftsrecht sowie Fachanwalt für Steuerrecht in Berlin. Er ist bei der Rechtsanwaltskammer in Berlin seit 1997 zugelassen und Gründer der auf das Wirtschaftsrecht spezialisierten Rechtsanwaltskanzlei daniellegal. Nach dem Abitur in Leverkusen (1986), Grundwehrdienst bei der Marine in Eckernförde, Flensburg und Kiel (1986-1987) sowie dem Studium der Rechtswissenschaften an der Universität Trier (1987-1993) schloss sich dort zunächst eine zweijährige wissenschaftliche Tätigkeit als Mitarbeiter am Lehrstuhl für Öffentliches Recht, Sozialrecht und Rechtsphilosophie bei Herrn Prof. Dr. Peter Krause an (1993-1995). Nach dem Referendariat (1995-1997) legte er in Berlin sein Zweites Juristisches Staatsexamen ab und promovierte 2001 an der rechtswissenschaftlichen Fakultät der Universität Trier zum Doktor der Rechte.