Gemeinsam - aber nicht gleichwertig - verantwortlich
Der Europäische Gerichtshof sieht Betreiber von Facebook Fanpages mitverantwortlich für die Verarbeitung von personenbezogenen Daten ihrer Nutzer - ein Paukenschlag aus Luxemburg. Was bedeutet die Entscheidung?
Worum geht es?
Sind mehrere Stellen an einer Verarbeitung personenbezogener Daten beteiligt, so müssen sie analysieren und dokumentieren, ob sie gemeinsam oder unabhängig voneinander über die Zwecke und Mittel der Datenverarbeitung entscheiden - zumindest ist dies spätestens seit Inkrafttreten der DSGVO so. Facebook Fanpages stellten bisher einen Sonderfall dar, den es diesbezüglich zu konkretisieren galt: Es handelt sich dabei um Benutzerkonten, die bei Facebook von Privatpersonen oder Unternehmen eingerichtet und dazu genutzt werden, sich den übrigen Nutzern und anderen Seitenbesuchern zu präsentieren, Beiträge zu veröffentlichen oder zu vermarkten. Facebook stellt den Nutzern dabei die Funktion Facebook Insight kostenlos zur Verfügung, mit dessen Hilfe anonymisierte Daten über die Seitenbesucher eingesehen werden können. Doch wer ist am Ende für die Datenverarbeitung verantwortlich?
Gestritten haben die Wirtschaftsakademie Schleswig-Holstein GmbH und das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) - im November 2011 hatte das ULD von dem Bildungsträger die Deaktivierung der Fanpage verlangt und etwa 5.000 Euro Bußgeld angedroht, da nach Auffassung der Datenschützer eine Fanpage-Betreiberin für die Verarbeitung personenbezogener Daten durch Facebook und somit auch für eventuelle datenschutzrechtliche Verstöße mitverantwortlich sei. Das ULD hat sich in den ersten beiden Instanzen jedoch nicht durchsetzen können, da nach Ansicht der Gerichte Fanpage-Betreiber nicht dafür verantwortlich gemacht werden können, was Facebook mit den personenbezogenen Daten der Nutzer macht.
Begriffsdefinition: “Verantwortliche Stelle”
Auf Grundlage dieses Verwaltungsrechtsstreits legte das Bundesverwaltungsgericht (BVerwG) dem EuGH unter anderem die Frage vor, ob die klagende Akademie als Fanpage-Betreiberin überhaupt verantwortliche Stelle sein kann. Die Luxemburger Richter hatten also zu klären, ob der Betreiber einer in einem sozialen Netzwerk betriebenen Fanpage in dieser Eigenschaft im Fall von Datenschutzverstößen durch das Netzwerk dafür (mit-) verantwortlich ist. Hierfür war es notwendig, die Begriffsdefinition der “verantwortlichen Stelle” im Sinne des § 3 Nr. 7 Bundesdatenschutzgesetz (BDSG) bzw. Art. 2 lit. d Datenschutzrichtlinie 95/46/EG auszulegen. Die Vorschrift ist zwar mittlerweile außer Kraft getreten, entspricht aber nahezu wortgleich der gerade erst in Kraft getreten Vorschrift des Art. 4 Nr. 7 DSGVO, sodass die Auslegung weiterhin praktisch relevant und nicht nur rechtshistorischer Natur sein dürfte.
Kein Zugang zu Daten und trotzdem verantwortlich?
Nach Art. 2 lit. d Datenschutzrichtlinie 95/46 EG (a.F.) ist Verantwortlicher, wer allein oder gemeinsam mit anderen über Zwecke und Mittel der Datenverarbeitung entscheidet. Der EuGH hat hier bereits in einem Rechtsstreit zwischen Google Spain und Google (Az. C-131/12) zum Schutze der betroffenen Personen ein weites Begriffsverständnis des Verantwortlichen bewiesen. Der EuGH schließt weiterhin aus der Formulierung “allein oder gemeinsam mit anderen”, dass nicht nur eine einzige Stelle, sondern auch mehrere Beteiligte an der Datenverarbeitung zusammenwirken können, wenn sie einen entsprechenden Beitrag leisten. Für die Praxis lassen sich hier drei Prüfungskriterien anführen, um eine entsprechende Beteiligung bestimmen zu können:
1. Ermöglichung der Verarbeitung: Die Stelle muss die Verarbeitung zumindest ermöglichen, muss sich jedoch nicht verarbeiten oder Zugriff auf die Daten haben.
2. Einwirkung auf die Verarbeitung: Außerdem muss die Stelle auf die Verarbeitung einwirken, mithin eine Handlung vornehmen, die sich auf die konkrete Verarbeitung auswirkt.
3. Steuerung oder Förderung der eigenen Tätigkeit: Schließlich muss die Verarbeitung der Steuerung oder Förderung der eigenen Tätigkeit des Verantwortlichen dienen.
In dem vorliegenden Rechtsstreit treffen nach Ansicht des EuGH alle drei Prüfungskriterien auf die klagende Akademie zu. Der bloße Zugriff auf anonyme Besucherstatistiken konnte die Verantwortlichkeit nicht ausschließen. Die Akademie konnte als Fanseiten-Betreiberin mit Hilfe der Funktionen über Facebook Insight die Verarbeitung parametrieren, sodass sie auf die Verarbeitung der Daten einwirken konnte. Schließlich nutzte sie die Nutzerstatistiken, um ihr Informationsangebot zielgerichtet zu gestalten, sodass sie auch den dritten Prüfungspunkt der Steuerung und Förderung eigener Tätigkeiten erfüllte. Der EuGH führt für die gemeinsame Verantwortung weiter aus, dass Fanpage-Betreiber mit Facebook einen Nutzungsvertrag eingingen - durch die Eröffnung der Fanpage werde es Facebook vom Betreiber ermöglicht, Cookies bei Facebook-Nutzern und anderen Besuchern zu speichern und hierdurch umfassende Einblicke in die Nutzung seiner Dienste zu erhalten.
Gemeinsam, aber nicht gleichwertig verantwortlich
Der EuGH qualifizierte die klagende Akademie somit als mit Facebook gemeinsam verantwortlich - und für den Fall der gemeinsamen Verantwortlichkeit knüpft Art. 26 DSGVO bedeutende Folgen: Die betroffene Person kann danach wählen, welchen (gemeinsam) Verantwortlichen sie auf Erfüllung ihrer Rechte aus der DSGVO in Anspruch nehmen möchte. Der EuGH stellt hierbei aber klar, dass die Annahme einer gemeinsamen Verantwortung nicht zwangsläufig zu einer gleichwertigen Verantwortlichkeit der verschiedenen Akteure führe. Die betroffenen Akteure könnten in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß involviert sein, sodass der Grad der Verantwortlichkeit unter Berücksichtigung sämtlicher Umstände des Einzelfalles zu beurteilen sein wird. Die gemeinsamen Verantwortlichen müssten hierzu im Innenverhältnis eine transparente Zuständigkeitsmatrix aufschlüsseln und die Erfüllungszuständigkeiten einander eindeutig zuweisen.
Auswirkungen
Die Entscheidung der Luxemburger Richter betrifft lediglich Fanpages, die zu geschäftlichen Zwecken eingerichtet werden und hat somit keine Auswirkungen auf die Nutzung von sozialen Netzwerken für ausschließlich private Zwecke, sodass auch die bloße Nutzung des sozialen Netzwerks nicht zur Mitverantwortung führt. Für Fanpage-Betreiber, die ihre Fanpage zu geschäftlichen Zwecken nutzen, bedeutet die Entscheidung des EuGH, dass sie insbesondere Informationspflichten, Betroffenenrechten und der Haftung nach der DSGVO unterliegen. Dies kann zu aufsichtsbehördlichen Anordnungen oder wettbewerbsrechtlichen Abmahnungen führen - die Wertungen der Luxemburger Richter müssen aber zunächst in das Revisionsverfahren vor dem BVerwG eingebracht und in einem Urteil umgesetzt werden.
Die Wertungen des EuGH lassen sich zudem auch auf andere soziale Netzwerke wie Instagram, Youtube oder Snapchat übertragen. Für Kai-Uwe Loser, Vorstand des Berufsverbandes der Datenschutzbeauftragten, bringt das Urteil Licht und Schatten zugleich: Der Schutz der betroffenen Personen werde verbessert, aber die Nutzer solcher Anwendungen würden vor nicht leicht und schnell lösbare Herausforderungen gestellt. Zudem habe die Entscheidung aus Luxemburg das Potential, eine massive Veränderung bei der Nutzung von Analyse-Tools im Internet zu bewirken. IT-Fachanwälte gehen in der Prognose sogar noch weiter und vermuten dahinter eine der wichtigsten Entscheidungen im Hinblick auf das Datenschutzrecht, das das Internet in der heutigen Form radikal verändern werde: “Wenn Facebook nicht entscheidend ändert, wie es die personenbezogenen Daten seiner Nutzer verarbeitet, sollte man um Facebook-Fanpages einen großen Bogen machen”, warnt der Berliner IT-Fachanwalt Matthias Bergt.
- Urt. v. 05.06.2018, Az. C-210/16 -