EuGH: Betreiber einer Facebook-Fanpage haftet gemeinsam mit Facebook für Verarbeitung personenbezogener Daten auf Fanpage

Der Betreiber einer Facebook-Fanpage ist gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich. Die Datenschutzbehörde des Mitgliedstaats, in dem dieser Betreiber seinen Sitz hat, kann nach der Richtlinie 95/461 sowohl gegen ihn als auch gegen die in diesem Mitgliedstaat niedergelassene Tochtergesellschaft von Facebook vorgehen. Dies hat der Gerichtshof der Europäischen Union mit Urteil vom 05.06.2018 entschieden (Az.: C-210/16).

Klägerin sammelte über Fanpage auf Facebook-Seite personenbezogene Daten

Klägerin des Ausgangsverfahrens ist die Wirtschaftsakademie Schleswig-Holstein GmbH. Diese ist ein auf den Bereich Bildung spezialisiertes Unternehmen, das unter anderem über eine Facebook-Adresse Bildungsdienstleistungen anbietet. Die Betreiber von Fanpages können mit Hilfe der Funktion Facebook Insight, die ihnen Facebook als nicht abdingbaren Teil des Benutzungsverhältnisses kostenfrei zur Verfügung stellt, anonymisierte statistische Daten betreffend die Nutzer dieser Seiten erhalten. Diese Daten werden mit Hilfe sogenannter Cookies gesammelt, die jeweils einen eindeutigen Benutzercode enthalten, der für zwei Jahre aktiv ist und den Facebook auf der Festplatte des Computers oder einem anderen Datenträger der Besucher der Fanpage speichert. Der Benutzercode, der mit den Anmeldungsdaten solcher Nutzer, die bei Facebook registriert sind, verknüpft werden kann, wird beim Aufrufen der Fanpages erhoben und verarbeitet.

Datenschutzbehörde ordnete Deaktivierung der klägerischen Fanpage an

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein ordnete gegenüber der Wirtschaftsakademie an, ihre Fanpage zu deaktivieren. Nach dessen Auffassung wiesen nämlich weder die Wirtschaftsakademie noch Facebook die Besucher der Fanpage darauf hin, dass Facebook mittels Cookies sie betreffende personenbezogene Daten erhebt und diese Daten danach verarbeitet. Die Wirtschaftsakademie erhob beim Verwaltungsgericht in Deutschland eine verwaltungsgerichtliche Klage gegen diesen Bescheid und machte geltend, dass ihr die Verarbeitung personenbezogener Daten durch Facebook nicht zugerechnet werden könne und sie Facebook auch nicht mit einer von ihr kontrollierten oder beeinflussbaren Datenverarbeitung beauftragt habe. Daraus leitete die Wirtschaftsakademie ab, dass das Unabhängige Landeszentrum direkt gegen Facebook und nicht gegen sie hätte vorgehen müssen. Das inzwischen mit dem Rechtsstreit befasste Bundesverwaltungsgericht ersuchte den Gerichtshof um Auslegung der Richtlinie 95/46.

EuGH: Klägerin und Facebook gemeinsam für Datenverarbeitung verantwortlich

Der Gerichtshof hat zunächst festgestellt, dass in der vorliegenden Rechtssache nicht in Zweifel gezogen werde, dass die amerikanische Gesellschaft Facebook und, was die Union betrifft, deren irische Tochtergesellschaft Facebook Ireland als “für die Verarbeitung“ der personenbezogenen Daten der Facebook-Nutzer und der Personen, die die auf Facebook unterhaltenen Fanpages besucht haben, “Verantwortliche“ anzusehen seien. Diese Gesellschaften entschieden in erster Linie über die Zwecke und Mittel der Verarbeitung der Daten. Die Wirtschaftsakademie sei aber gemeinsam mit Facebook Ireland für die fragliche Datenverarbeitung als verantwortlich anzusehen, da sie durch die von ihr vorgenommene Parametrierung an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher der Fanpage beteiligt wäre.

Fanpage-Betreiber von Datenschutzverpflichtungen nicht befreit

Der Gerichtshof hat insoweit darauf hingewiesen, dass der Fanpage-Betreiber insbesondere demografische Daten über seine Zielgruppe verlangen könne. Dazu zählten Informationen über den Lebensstil und die Interessen seiner Zielgruppe und geografische Daten, die ihn darüber informieren, wo spezielle Werbeaktionen durchzuführen oder Veranstaltungen zu organisieren sind und ihm ganz allgemein ermöglichen, sein Informationsangebot so zielgerichtet wie möglich zu gestalten. Nach Ansicht des Gerichtshofs könne der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutze, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, diesen nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien.

Unabhängiges Landeszentrum hätte auch gegen Facebook-Deutschland vorgehen können

Der Gerichtshof hat betont, dass die Anerkennung einer gemeinsamen Verantwortlichkeit des Betreibers des sozialen Netzwerks und des Betreibers einer bei diesem Netzwerk unterhaltenen Fanpage im Zusammenhang mit der Verarbeitung personenbezogener Daten der Besucher dieser Fanpage dazu beitrage, entsprechend den Anforderungen der Richtlinie 95/46 einen umfassenderen Schutz der Rechte sicherzustellen, über die die Personen verfügten, die eine Fanpage besuchen. Des Weiteren hat der Gerichtshof festgestellt, dass das Unabhängige Landeszentrum zuständig gewesen sei, zur Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten im deutschen Hoheitsgebiet von sämtlichen Befugnissen, über die es nach den deutschen Bestimmungen zur Umsetzung der Richtlinie 95/46 verfügte, nicht nur gegenüber der Wirtschaftsakademie, sondern auch gegenüber Facebook Germany Gebrauch zu machen.

Konzerninterne Aufgabenverteilung bei Facebook unmaßgeblich

Wenn ein außerhalb der Union ansässiges Unternehmen mehrere Niederlassungen in verschiedenen Mitgliedstaaten unterhalte, sei die Kontrollstelle eines Mitgliedstaats auch dann zur Ausübung der ihr durch die Richtlinie 95/463 übertragenen Befugnisse gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats gelegenen Niederlassung dieses Unternehmens befugt, wenn nach der konzerninternen Aufgabenverteilung zum einen diese Niederlassung (hier Facebook Germany) allein für den Verkauf von Werbeflächen und sonstige Marketingtätigkeiten im Hoheitsgebiet des betreffenden Mitgliedstaats zuständig sei, und zum anderen die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten für das gesamte Gebiet der Union einer in einem anderen Mitgliedstaat gelegenen Niederlassung (hier Facebook Ireland) obliege.

Unabhängiges Landeszentrum dürfte ohne Ersuchen an irische Kontrollbehörden eingreifen

Weiter hat der Gerichtshof ausgeführt, dass dann, wenn die Kontrollstelle eines Mitgliedstaats beabsichtige, gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats ansässigen Stelle wegen Verstößen gegen die Vorschriften über den Schutz personenbezogener Daten, die von einem Dritten begangen wurden, der für die Verarbeitung dieser Daten verantwortlich ist und seinen Sitz in einem anderen Mitgliedstaat hat (hier Facebook Ireland), die Einwirkungsbefugnisse nach der Richtlinie 95/464 auszuüben, diese Kontrollstelle zuständig sei, die Rechtmäßigkeit einer solchen Datenverarbeitung unabhängig von der Kontrollstelle des letztgenannten Mitgliedstaats (Irland) zu beurteilen und ihre Einwirkungsbefugnisse gegenüber der in ihrem Hoheitsgebiet ansässigen Stelle auszuüben, ohne zuvor die Kontrollstelle des anderen Mitgliedstaats um ein Eingreifen zu ersuchen.

EuGH, Urteil vom 05.06.2018 - C-210/16

Redaktion beck-aktuell, 5. Juni 2018.

Weiterführende Links

Zum Thema im Internet

Die Entscheidung des EuGH in der Rechtssache C-210/16 finden Sie im Volltext auf den Internetseiten der europäischen Justiz.

Aus der Datenbank beck-online

Martini/Fritzsche, Mitverantwortung in sozialen Netzwerken, NVwZ 2015, 1497

Weichert, Informationstechnische Arbeitsteilung und datenschutzrechtliche Verantwortung - Plädoyer für eine Mitverantwortlichkeit bei der Verarbeitung von Nutzungsdaten, ZD 2014, 605

Pieper/Krügel, VG Schleswig: Facebook-Fanpage-Betreiber sind datenschutzrechtlich nicht verantwortlich, ZD-Aktuell 2013, 03831

BVerwG, Datenschutzrechtliche Verantwortlichkeit einer Facebook-Fanpage, BeckRS 2016, 44371

Aus dem Nachrichtenarchiv

BVerwG: EuGH soll zur datenschutzrechtlichen Verantwortlichkeit für Facebook-Fanpage entscheiden, Meldung der beck-aktuell-Redaktion vom 26.02.2016, becklink 2002552

Streit um Facebook-Fanpages: Schleswig-Holsteins Datenschutzaufsicht geht in Revision, Meldung der beck-aktuell-Redaktion vom 30.09.2014, becklink 1034856

OVG Schleswig, Anordnung zur Abschaltung einer Facebook-Fanpage rechtswidrig, Meldung der beck-aktuell-Redaktion vom 05.09.2014, becklink 1034454

Datenschützer legt Berufung ein: Sind Facebook-Fanseiten-Betreiber für Verarbeitung von Nutzerdaten datenschutzrechtlich mitverantwortlich?, Meldung der beck-aktuell-Redaktion vom 04.11.2013, becklink 1029437

Internet Explorer: Unsere Empfehlung

×
Sie nutzen noch den Interenet Explorer 11 (IE11) und wir empfehlen Ihnen, bis zum 15. Juni 2022 auf den neuen Browser „Microsoft Edge“ oder eine aktuelle Version eines anderen gängigen Internet-Browsers (Firefox, Chrome, usw.) umzusteigen. Wir folgen damit den Empfehlungen des Unternehmens Microsoft, das ebenfalls schrittweise begonnen hat, die Unterstützung dieser Browserversion einzustellen. Bei Fragen wenden Sie sich bitte an unsere Hotline unter der Telefonnummer 089-38189-421.