EuGH: Betreiber von Facebook-Fanpages mitverantwortlich für Datenverarbeitung

05.07.2018

In einem viel beachteten Urteil hat der Gerichtshof der Europäischen Union (EuGH) im letzten Monat entschieden, dass Betreiber von sog. Fanpages gemeinsam mit Facebook datenschutzrechtlich dafür verantwortlich sind, wie Daten erhoben und verarbeitet werden (Az. C-210/16).

Der Entscheidung ging ein langjähriger Rechtsstreit zwischen der Wirtschaftsakademie Schleswig-Holstein, einem im Bildungsbereich tätigen Unternehmen, und der für Schleswig-Holstein zuständigen Datenschutzbehörde voraus. Erstere unterhält eine Fanpage auf Facebook, auf der sie für ihre Bildungsangebote wirbt. Facebook stellt den Betreiber solcher Fanpages anonymisierte Daten über die Besucher der Seiten zur Verfügung. Diese werden mittels Cookies erfasst und zu statistischen Zwecken ausgewertet.

Im Jahre 2011 wies die Datenschutzbehörde die Wirtschaftsakademie dazu an, ihre Fanpage zu deaktivieren. Sie beanstandete, dass Besucher nicht über die Erhebung und Verarbeitung ihrer personenbezogenen Daten aufgeklärt würden. Hiergegen zog die Wirtschaftsakademie vor Gericht. Sie argumentierte, die Datenverarbeitung durch Facebook könne ihr nicht zugerechnet werden. Die Datenschutzbehörde müsse sich daher unmittelbar an Facebook selbst wenden. Nachdem diese Auffassung zunächst in den Vorinstanzen bestätigt wurde, rief das Bundesverwaltungsgericht den EuGH zur Klärung der Auslegung des maßgeblichen europäischen Datenschutzrechts an.

Die Luxemburger Richter stellten zunächst fest, dass die europäische Tochtergesellschaft Facebook Ireland verantwortlich für die Verarbeitung der personenbezogenen Daten der Besucher von Fanpages ist. Schließlich würden die Zwecke und Mittel der Datenverarbeitung in erster Linie durch Facebook bestimmt. Darüber hinaus entschied der Gerichtshof jedoch, dass auch die Betreiber von Fanpages wie die Wirtschaftsakademie nicht von datenschutzrechtlichen Verpflichtungen befreit sind. Vielmehr seien diese gemeinsam mit Facebook Ireland für die fragliche Datenverarbeitung verantwortlich. Dies folge aus dem Umstand, dass die Betreiber spezifische Besucherstatistiken – wie etwa demografische oder geografische Daten – einsehen und ihr Angebot dadurch zielgerichtet gestalten könnten. Insofern seien sie an der Entscheidung über die Zwecke und Mittel der Verarbeitung personenbezogener Daten beteiligt.

Die Auswirkungen dieser Entscheidung sind potentiell weitreichend. Betreiber müssen ihre Besucher nun unter Umständen darüber informieren, welche Daten Facebook erhebt und wie diese verarbeitet werden. Dies dürfte sich praktisch als schwierig erweisen, auch wenn Facebook in einer Stellungnahme vom 15. Juni 2018 den Betreibern in Aussicht stellte, diese bei der Erfüllung der datenschutzrechtlichen Informations- und Transparenzpflichten zu unterstützen.

Der Relevanz der EuGH-Entscheidung steht auch nicht zwingend entgegen, dass sich die Rechtslage infolge der seit dem 25. Mai 2018 wirksamen Datenschutz-Grundverordnung (DSGVO) zwischenzeitlich geändert hat. Für den Rechtsstreit betreffend die Wirtschaftakademie ist zwar das im Jahre 2011 geltende Datenschutzrecht maßgeblich. Allerdings wurden die maßgeblichen Bestimmungen der nunmehr abgelösten Datenschutzrichtlinie weitgehend in die DSGVO übernommen. Dies indiziert, dass das EuGH-Urteil auch im Anwendungsbereich der DSGVO Bestand hat.

Der Fall geht nun zur endgültigen Entscheidung an das Bundesverwaltungsgericht zurück, das seinem Urteil wiederum die Rechtsauffassung des EuGH zugrunde legen muss. Offen bleibt allerdings, ob das Bundesverwaltungsgericht der Argumentation der Wirtschaftsakademie folgt, die auf ein beschränktes Auswahlermessen abzielt. Hiernach müssten sich Datenschutzbehörden trotz der gemeinsamen Verantwortlichkeit vorrangig an Facebook wenden, da die Datenverarbeitung ausschließlich von Facebook durchgeführt wird. Anders als noch 2011 ist der Umweg über die Fanpage-Betreiber für deutsche Datenschützer auch nicht mehr erforderlich. Das EuGH-Urteil ebnet einem solchen direkten Zugriff den Weg; der Gerichtshof entschied, dass die Aufsichtsbehörden der EU-Mitgliedstaaten selbst gegen Facebook vorgehen können, ohne zuvor die Kontrollstelle am europäischen Hauptsitz des Unternehmens in Irland einschalten zu müssen.

Wie das Bundesverwaltungsgerichtet letztlich entscheidet, ist daher genau zu beobachten. Dies gilt umso mehr, als hiervon potentiell nicht nur die Betreiber von Facebook-Fanpages betroffen sind. Vielmehr erscheint das vom EuGH entwickelte Konzept der gemeinsamen Verantwortlichkeit auch für andere Online-Dienste offen, die personenbezogene Daten verarbeiten.

Pressemitteilung des EuGH vom 5. Juni 2018.

Pressemitteilung des Bundesverwaltungsgerichts vom 25. Februar 2016.

Haben sie Fragen? Kontaktieren Sie uns gerne: Pascal Schumacher 
Practice Groups: Datenschutz and Digital Business