29.08.2018

EuGH: Betreiber einer Facebook Fanpage sind datenschutzrechtlich mitverantwortlich

Blog

Hintergrund

28.08.2018

 

EuGH: Betreiber einer Facebook Fanpage sind datenschutzrechtlich mitverantwortlich

 

Die Betreiber einer Facebook-Fanpage sind gemeinsam mit Facebook für die Verarbeitung personenbezogener Daten der Besucher ihrer Seite verantwortlich.

  • Urteil vom 5. Juni 2018, Az.: C-210/16
  •  

Hintergrund

Grundlage des Vorabentscheidungsverfahrens ist ein Verwaltungsverfahren der Wirtschaftsakademie Schleswig-Holstein (WSH) gegen das Unabhängige Landeszentrum für Datenschutz (ULD) als Aufsichtsbehörde für den Datenschutz in Schleswig-Holstein, welches bei dem Bundesverwaltungsgericht anhängig ist. Gegenstand bildet die Auslegung der Datenschutzrichtlinie (Art. 2 lit. d, 4 und 28 RL-EG 95/46).

Die WSH betreibt eine Facebook-Fanpage. Eine Facebook-Fanpage ist ein Firmen-Benutzerkonto, das der Präsentation und Werbung dient und das der Besucher zur Reichweitengenerierung „liken“ kann. Die Betreiber einer solchen Seite können mit Hilfe der kostenfreien und nicht abdingbaren Funktion „Facebook
Insight“ anonymisierte statistische Daten, die die Besucher der Seiten betreffen, durch Facebook erhalten. Die Datenerhebung erfolgt mittels Cookies, durch die ein Benutzercode in den jeweiligen Endgeräten der Seitenbesucher für zwei Jahre gespeichert wird. Dieser wird beim Aufrufen der Seite erhoben und verarbeitet.

Da weder durch die WSH noch durch Facebook ein Hinweis auf die Erhebung und Verarbeitung personenbezogener Daten durch die Cookies erfolgte, erließ das ULD einen Bescheid gegenüber der WSH, der die WSH zur Deaktivierung ihrer Fanpage verpflichtete. Die WSH erhob gegen den Bescheid Klage und machte geltend, dass mangels Zurechnung der Verarbeitung der personenbezogenen Daten ihrerseits das ULD direkt gegen Facebook hätte vorgehen müssen.
 

Die Entscheidung

Der Gerichtshof entschied, dass die Aufsichtsbehörde ULD sowohl gegen den Betreiber der Fanpage als auch gegen die in dem Mitgliedsstaat ansässige Gesellschaft von Facebook vorgehen könne, da diese gemeinsam für die Einhaltung des Datenschutzes verantwortlich seien. Unzweifelhaft sei Facebook Inc., bzw. Facebook Ireland (EU), als „Verantwortlicher“ i.S.v. Art. 2 lit. d EG-Richtlinie 95/46 anzusehen. Jedoch könne auch der Betreiber einer auf Facebook unterhaltenen Fanpage mitverantwortlich sein, weil die Nutzung der von Facebook eingerichteten Plattform befreie ihn nicht von den Verpflichtungen des Schutzes personenbezogener Daten. Vielmehr zeichne sich eine Verantwortlichkeit gerade dadurch ab, dass das bloße Aufrufen der Fanpage, Facebook die Möglichkeit verschafft, Cookies zu platzieren, und somit automatisch die Verarbeitung personenbezogener Daten ausgelöst wird. Der Betreiber könne diese Funktion nicht deaktivieren. Allerdings könne der Betreiber unmittelbar auf die Datenauswertung Einfluss nehmen, indem er die Kriterien der Auswertungsstatistiken seiner Seite bestimmt (Paramentierung), und er von Facebook verlangen kann, ihm demografische Daten der Seitenbesucher mitzuteilen. Durch die von ihm so vorgenommene Ausrichtung auf sein Zielpublikum sei er ebenfalls an der Entscheidung über Zweck und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt unabhängig davon, ob er diese nur anonymisiert erhält. Zu beachten sei jedoch, dass die Annahme einer gemeinsamen Verantwortung nicht zwangsläufig eine gleichwertige Verantwortlichkeit zur Folge habe. Die Verantwortlichkeit jedes Akteurs müsse stets nach den Umständen des Einzelfalls beurteilt werden. Weiter stellte der Gerichtshof fest, dass die konzerninterne Aufgabenverteilung bei Facebook nach der die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten in der Union Facebook Irland obliege, unmaßgeblich für die Befugniswahrnehmung des ULD gegenüber Facebook Germany sei. Mithin hätte das ULD sich auch direkt gegen Facebook Germany anstatt gegen die WSH wenden können. Ferner dürfe die deutsche Datenkontrollstelle mangels Prioritätsregelung ohne vorheriges Ersuchen an die irische Kontrollstelle eingreifen und unabhängig von ihr die Rechtmäßigkeit einer Verarbeitung personenbezogener Daten beurteilen.
 

Unser Kommentar

Das Urteil ist zweifelslos auf die nun geltende DSGVO übertragbar. Deshalb sollten die Betreiber bereits jetzt folgende Punkte beachten: Die Besucher einer Fanpage müssen transparent über die erhobenen Daten sowie über den Zweck der Datenerhebung und -verarbeitung informiert werden. Für den Einsatz von Cookies ist zudem eine DSGVO-konforme Einwilligung der Nutzer erforderlich. Auch muss der Bereich der gemeinsamen Verantwortlichkeit zwischen Facebook und dem Betreiber der jeweiligen Facebook-Fanpage gemäß Art. 26 DSGVO durch entsprechende Vereinbarungen genau festgelegt werden, wen welche Verantwortlichkeiten treffen. Facebook hat in der Zwischenzeit seine Mitwirkung angekündigt, denn ohne diese wäre die Erfüllung der rechtlichen Vorgaben für die Betreiber kaum möglich.

 

  

Laura Katharina Kues
Rechtsanwältin
Associate
Luther Rechtsanwaltsgesellschaft mbH
Köln
Telefon +49 221 9937 25711
laura.kues@luther-lawfirm.com