Gemeinsame Verantwortlichkeit bei Fanpage - Generator-Datenschutzerklärung.de

Der Europäische Gerichtshof entschied am 05.06.2018, dass der Betreiber einer Facebook-Fanpage gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher verantwortlich sei. Somit seien beide im Falle einer Verletzung des Datenschutzrechts verantwortlich; die zuständige Behörde könne gegen beide vorgehen.

Wer ist verantwortlich?

Beklagte war die Datenschutzbehörde Schleswig-Holstein, Klägerin eine Wirtschaftsakademie. Die Klägerin betrieb u.a. auf Facebook eine eigene Seite (sog. Fanpage). Durch diverse von Facebook bereitgestellte Tools wurden der Klägerin anonymisierte statistische Daten zu ihren Nutzern bereitgestellt. Die Daten wurden mit Hilfe sogenannter Cookies gesammelt. Die Cookies erhielten jeweils einen eindeutigen Benutzercode, der jeweils zwei Jahre aktiv war und den Facebook auf der Festplatte des Besucher-PCs speicherte. Die Beklagte ordnete gegenüber der Klägerin per Bescheid die Deaktivierung der Fanpage an. Denn nach Auffassung der Beklagten wies weder die Klägerin noch Facebook auf die Datenverarbeitung hin. Die Klägerin ging gegen den Bescheid vor. Sie machte geltend, dass sie nicht für die Datenverarbeitung von Facebook verantwortlich sei. Der Rechtsstreit lief durch die Instanzen und landete schließlich vor dem Bundesverwaltungsgericht. Das Gericht ersuchte den EuGH um Auslegung der zugrundeliegenden Richtlinie 95/46.

Weite Definition von „Verantwortlicher“

Der Europäische Gerichtshof wies zunächst darauf hin, dass bei der Verarbeitung personenbezogener Daten ein hohes Schutzniveau für die Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere ihrer Privatsphäre, zu gewährleisten sei. Daher müsse der „für die Verarbeitung Verantwortliche“ weit definiert werden. Dadurch könne ein wirksamer und umfassender Schutz der Betroffenen gewährleistet werden. Aufgrund dessen sei der Verantwortliche jede natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und die Mittel der Datenverarbeitung entscheide.

Auch mehrere können verantwortlich sein

Zudem sei nicht zwingend nur eine einzige Stelle verantwortlich, so das Gericht. Die Verantwortlichkeit könne auch mehrere an der Datenverarbeitung beteiligte Akteure betreffen. In dem Fall unterliege jeder Einzelne den Datenschutzvorschriften. Vorliegend entscheide zwar in erster Linie Facebook über die Zwecke und Mittel der Datenverarbeitung. Allerdings sei auch zu prüfen, ob und inwieweit die Klägerin als Betreiberin einer Fanpage einen Beitrag dazu leiste.

Vertragliche Basis für Betreiben einer Fanpage

Der Gerichtshof stellte fest, dass jeder Fanpagebetreiber mit Facebook einen Vertrag über die Eröffnung einer solchen Seite schließe. Dazu gehören auch Nutzungsbedingungen einschließlich entsprechender Cookie-Richtlinien. Danach platziere Facebook auf dem Computer der Fanpage-Besucher Cookies, welche zwei Jahre wirksam bleiben. Facebook empfange, zeichne auf und verarbeite auch die in den Cookies gespeicherten Informationen. Dies gelte insbesondere, wenn Facebook-Dienste genutzt werden. Dies ermögliche Facebook u.a., sein Werbesystem zu verbessern. Es solle aber auch dem Fanpage-Betreiber ermöglicht werden, seine Tätigkeit zu vermarkten und Kenntnis über die Besucherprofile und die relevanten Inhalte zu erlangen.

Auch Fanpage-Betreiber ist an Datenverarbeitung beteiligt

Der EuGH befand, dass auch der Fanpage-Betreiber an der Entscheidung über die Zwecke und Mittel der Datenverarbeitung beteiligt sei. Mit Hilfe von durch Facebook zur Verfügung gestellten Filtern könne er die Kriterien festlegen, nach denen er seine Statistik erstellen wolle. So könne er sein Zielpublikum festlegen, und die Kategorien von Personen, deren personenbezogene Daten von Facebook ausgewertet werden sollen. Auch könne der Fanpage-Betreiber demografische Daten über seine Zielgruppe erlangen wie Alter, Geschlecht, Beziehungsstatus oder berufliche Situation sowie Informationen über den Lebensstil und die Interessen seiner Zielgruppe. Folglich trage auch er zur Verarbeitung der personenbezogenen Daten seiner Seitenbesucher bei.

Anonyme Datenverarbeitung schadet nicht

Zwar werden die von Facebook erstellten Besucherstatistiken ausschließlich in anonymisierter Form an den Fanpage-Betreiber übermittelt, so der EuGH. Jedoch beruhe die Erstellung dieser Statistiken auf der vorhergehenden Datenerhebung und die von Facebook auf dem PC des Besuchers gesetzten Cookies. Die heranzuziehende Richtlinie 95/46 verlange nicht, dass bei einer gemeinsamen Verantwortlichkeit mehrerer Betreiber jeder für dieselbe Datenverarbeitung Zugang zu den entsprechenden Daten habe. Der Umstand, dass ein Fanpage-Betreiber die Plattform von Facebook und dessen Dienstleistungen nutze, könne diesen nicht von der Beachtung des Datenschutzes befreien.

Datenschutzbehörde Schleswig-Holstein ist zuständig

Der Gerichtshof entschied außerdem, dass die Beklagte von ihren Befugnissen nicht nur gegenüber der Klägerin, sondern auch gegenüber Facebook Germany Gebrauch machen könne. Dies diene dazu, die Datenschutzvorschriften im deutschen Hoheitsgebiet zu gewährleisten. Die Beklagte könne also von sämtlichen Befugnissen Gebrauch machen, über die sie nach der Richtlinie 95/46 verfügt. Unterhalte ein außerhalb der Union ansässiges Unternehmen (wie die amerikanische Gesellschaft Facebook) mehrere Niederlassungen in verschiedenen Mitgliedsstaaten, sei die Kontrollstelle eines Mitgliedstaats auch dann zur Ausübung ihr Befugnisse gegenüber der in diesem Mitgliedstaat gelegenen Niederlassung befugt, wenn diese nach der konzerninternen Aufgabenverteilung (hier Facebook Germany) allein für den Verkauf von Werbeflächen und sonstige Marketingtätigkeiten zuständig sei. Das gelte auch, wenn die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten für das gesamte Gebiet der EU einer in einem anderen Mitgliedstaat gelegenen Niederlassung (hier Facebook Ireland) übertragen sei.

Kein vorheriges Tätigwerden einer anderen Kontrollstelle

Der Gerichtshof befand zudem, dass zuvor keine Kontrollstelle eines anderen Mitgliedstaates (hier Irland als Sitz von Facebook) um ein Eingreifen zu ersuchen sei. Die Rechtmäßigkeit einer solchen Datenverarbeitung sei unabhängig von der Kontrollstelle des Mitgliedstaats (Irland) zu beurteilen. Deren Einwirkungsbefugnisse seien gegenüber der in ihrem Hoheitsgebiet ansässigen Stelle auszuüben. Dies gelte jedenfalls dann, wenn die Kontrollstelle eines Mitgliedsstaates (hier die Beklagte) gegenüber einer im eigenen Hoheitsgebiet ansässigen Stelle (hier die Klägerin) wegen Datenschutzverstöße von dritter Stelle, die ihren Sitz in einem anderen Mitgliedstaat hat (hier Facebook Irland), tätig werde.

Europäischer Gerichtshof, Urteil vom 05.06.2018, Az. C 210/16