Mit Entscheidung vom 5. Juni 2018 hat der Europäische Gerichtshof eine für die Praxis bedeutsame Entscheidung im Datenschutzrecht gefällt, welche zwar noch zur alten Rechtslage und damit zur Auslegung der Datenschutzrichtlinie in Europa ergangen ist, jedoch in den die Entscheidung tragenden Gründen auch im neuen Recht Bestand haben dürfte.
Um was geht es?
Eine in Schleswig Holstein ansässige Organisation hat eine so genannte Fanpage bei Facebook betrieben. Diese beinhaltete ein Benutzungsverhältnis über die kostenfreie Bereitstellung dieser Fanpage durch Facebook und die Berechtigung von Facebook, bestimmte Daten der Nutzer zu sammeln und diese anonymisiert als statistische Daten dem Betreiber der Fanpageseite, also der in Schleswig Holstein ansässigen Organisation, zur Verfügung zu stellen. Facebook hat diese Daten der Nutzer der Fanpage über so genannte Cookies erhalten, die Facebook bei Betreten der Fanpage gesetzt hat. Weder über die Tatsache der Cookies noch über die Speicherung personenbezogener Daten haben Facebook oder die Schleswig-Holsteinische Organisation informiert.
Die Datenschutzaufsichtsbehörde hat dann am 3. November 2011 eine Untersagungsverfügung hinsichtlich des Betriebes der Fanpage erlassen. Die Untersagungsverfügung wurde mit der datenschutzrechtlichen Bewertung begründet, auch die schleswig-holsteinische Organisation sei Verantwortlicher im Sinne des Datenschutzrechtes und müsse damit eigenständig datenschutzrechtliche Pflichten gegenüber den Nutzern der Fanpage erfüllen.
Gegen diesen Bescheid gab es in der deutschen Verwaltungsgerichtsbarkeit ein Klageverfahren. Sowohl das Verwaltungsgericht in erster Instanz als auch das Oberverwaltungsgericht im Berufungsverfahren waren der Auffassung, im datenschutzrechtlichen Sinne als Verantwortlicher sei nur Facebook anzusehen und nicht die deutsche Organisation, die die Fanpage betreibt.
Gegen die Entscheidung des Oberverwaltungsgerichts wurde dann Revision zum Bundesverwaltungsgericht seitens der Datenschutzaufsichtsbehörde eingelegt. Zwar war auch das Oberverwaltungsgericht grundsätzlich der Meinung, die schleswig-holsteinische Organisation sei nicht verantwortliche Stelle im Sinne von § 3 Abs. 7 BDSG alter Fassung und damit auch nicht im Sinne der europäischen Datenschutzrichtlinie. Da jedoch der Europäische Gerichtshof den Persönlichkeitsschutz als datenschutzrechtliches Grundrecht weit auslegt, hat das Bundesverwaltungsgericht dem Europäischen Gerichtshof unter anderem die Frage zu einer so genannten Vorabentscheidung vorgelegt, wer eigentlich als datenschutzrechtlicher Verantwortlicher einer solchen Fanpage anzusehen ist.
Die hierzu unter dem Aktenzeichen C -210/16 vom Europäischen Gerichtshof am 5. Juni 2018 ergangene Entscheidung stellt im Ergebnis fest, dass Facebook und die schleswig-holsteinische Organisation gemeinsam „Verantwortliche“ im Sinne der datenschutzrechtlichen Bestimmungen für den Betrieb der Fanpage sind. Zunächst stellt der EuGH fest, dass bei Nutzen der Fanpage personenbezogene Daten verarbeitet werden, da Facebook die in den Cookies gespeicherten Informationen empfängt, speichert und sodann nutzt. Die Nutzung geschieht einerseits zu eigenen Zwecken, primär für die Werbung. Andererseits wurden die Daten anonymisiert jedoch auch dem Betreiber der Fernpage zur Verfügung gestellt, damit diese Kenntnis von den Profilen der Besucher erlangen und damit die Fanpage weiterentwickeln können.
Dies führt zunächst zwar auf Seiten der schleswig-holsteinischen Organisation nur dazu, dass die Daten der Nutzer der Fanpage quasi als Statistik und mithin anonymisiert zur Verfügung gestellt werden. Der EuGH stellt jedoch fest, dass die Datenschutzrichtlinie bei einer so genannten gemeinsamen Verantwortlichkeit mehrerer Betreiber nicht fordert, dass – wie hier – jeder Betreiber, also Facebook und die schleswig-holsteinische Organisation, auch wirklich Zugang zu den personenbezogenen Daten haben.
Dies war das zunächst systematische Argument des Europäischen Gerichtshofs, neben Facebook auch die schleswig-holsteinische Organisation als verantwortliche Stelle im Sinne der datenschutzrechtlichen Bestimmungen anzusehen.
Eine Verantwortlichkeit des Betreibers der Fanpageseite sah der EuGH auch deshalb als gegeben an, weil die Seite von Personen besucht werden kann, die gar keine Facebook-Nutzer sind und mithin nicht über ein Benutzerkonto bei Facebook verfügen. Wenn hier das bloße Aufrufen dieser Fanpage durch einen Besucher zum Sammeln und Speichern personenbezogener Daten bei diesem führt, verstärke dies noch die Verantwortlichkeit des Betreibers der Fanpage.
Der EuGH stellt fest:
„Unter diesen Umständen trägt die Anerkennung einer gemeinsamen Verantwortlichkeit des Betreibers des sozialen Netzwerks und des Betreibers einer bei diesem Netzwerk unterhaltenen Fanpage im Zusammenhang mit der Verarbeitung personenbezogener Daten der Besucher dieser Fanpage dazu bei, entsprechend den Anforderungen der Richtlinie 95/46 einen umfassenderen Schutz der Rechte sicherzustellen, über die die Personen verfügen, die eine Fanpage besuchen.“ (Textziffer 42 der Entscheidung des EuGH).
Damit ist jede Organisation, die eine Fanpage bei Facebook betreibt für die dortigen Vorgänge datenschutzrechtlich mit verantwortlich. Organisatorisch geschieht dies häufig auch noch dadurch, dass über einen so genannten Social PlugIn die Facebook Fanpage mit der eigenen Website verknüpft wird.
Wenn jetzt nach Inkrafttreten der Datenschutz-Grundverordnung am 25 Mai 2018 eine solche gemeinsame Verantwortlichkeit gegeben ist, trifft die jeweilige Organisation alle Pflichten, die nach der Datenschutz-Grundverordnung den Verantwortlichen obliegen. Dies sind insbesondere Transparenzpflichten, also die Pflicht zum Hinweis darauf, was eigentlich passiert, wenn man eine solche Fanpage besucht. Es müsste also eine Belehrung hierüber sichergestellt sein.
Fazit:
Von daher muss jede Organisation, die solche Fanpages betreibt, jetzt unverzüglich untersuchen, ob die Pflichten als Verantwortlicher hier überhaupt erfüllt werden. Dies dürfte in der Regel nicht der Fall sein. Von daher sollte man zur Vermeidung etwaiger Abmahnungen eine solche Seite vorsorglich stilllegen, bis ein rechtssicherer Zustand in Zusammenarbeit mit Facebook gegeben ist. Es besteht jedenfalls ein Risiko, Datenschutzverstöße zu begehen, wenn jetzt einfach ohne Reaktion die Fanpage weiterbetrieben wird.
Produktempfehlung:
Im NWB Verlag ist ein auf die Tätigkeit von Steuerberatern zugeschnittener Praxisleitfaden zur Umsetzung der DSGVO erschienen: