Nur wenige Tage nach dem „Datenschutz-D-Day“ am 25.05.2018 hat der Gerichtshof der Europäischen Union (EuGH) am 05.06.2018 ein Urteil mit fundamentaler Bedeutung für Unternehmen in Europa erlassen. Nach der Entscheidung des EuGH sind Betreiber von so genannten „Fanpages“ auf Facebook gemeinsam mit Facebook für die von Facebook durchgeführte Verarbeitung von personenbezogenen Daten der Besucher der „Fanpage“ verantwortlich. Die Entscheidung, die noch nach altem Recht ergangen ist, hat dennoch unmittelbare Auswirkung auf die Haftung von Unternehmen, die „Fanpages“ auf Facebook betreiben und wird voraussichtlich auch Auswirkungen auf die Verantwortung von Nutzern anderer Plattformen und Dienste haben.

Ausgangspunkt des Verfahrens war ein Bescheid des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) vom 03.11.2011, in dem die Aufsichtsbehörde einem privaten Bildungsanbieter, der Wirtschaftsakademie Schleswig-Holstein GmbH, den Betrieb einer Facebook-„Fanpage“ untersagt hatte. Das ULD war der Meinung, dass die Datenverarbeitung durch Facebook rechtswidrig sei und monierte außerdem, dass weder die Wirtschaftsakademie noch Facebook die Betroffenen über die Datenverarbeitung aufgeklärt hatten. Der Streit ging bis zum Bundesverwaltungsgericht (BVerwG), welches dem EuGH einige aus seiner Sicht entscheidungserhebliche Fragen zur Vorabentscheidung vorlegte. Zwei der Vorlagefragen befassten sich mit der möglichen Verantwortung des Seitenbetreibers, die weiteren Fragen betrafen die Zuständigkeit der deutschen Aufsichtsbehörden und deren Bindung an Entscheidungen der Irischen Aufsichtsbehörde.

Nach Feststellung des EuGH erhalten Betreiber von „Fanpages“ über den Dienst „Facebook Insight“ anonymisierte statistische Nutzungsdaten der Besucher der „Fanpage“. Die Datenbasis für diese Statistiken sammelt Facebook über Cookies, die für zwei Jahre auf den Endgeräten der Nutzer gespeichert werden. Betreiber von „Fanpages“ können auf Facebook einstellen, welche Zielgruppen sie primär ansprechen möchten (z. B. nach Alter, Geschlecht, beruflicher Situation, Interessen) und darüber (mit)steuern, wer angesprochen und wessen Daten verarbeitet werden. Nach Auffassung des EuGH (Rz 39) begründet diese Steuerungsmöglichkeit die Mitverantwortung des Betreibers, weil er durch die Einstellungen an der Entscheidung über die Zwecke der Verarbeitung beteiligt ist. Allerdings ist dem Betreiber eine vollständige Deaktivierung der Analysefunktion nicht möglich.

Unscharf bleibt das Urteil in der Frage, ob allein die beschriebene Steuerungsfunktion zu der Mitverantwortung des Seitenbetreibers führt oder ob eine Mitverantwortlichkeit auch dann besteht, wenn keine solche Steuerungsmöglichkeit gegeben ist. Der EuGH leitet seine tragenden Erwägungen mit einem Hinweis darauf ein, dass der Betreiber es Facebook durch die Einrichtung der „Fanpage“ ermöglicht, die Cookies zu setzen (Rz 35). Ob dies allein ausreicht, um eine Mitverantwortung zu begründen, klärt der EuGH ausdrücklich nicht, obwohl das BVerwG auch eine konkrete Frage zur Auswahlverantwortung von Seitenbetreibern formuliert hatte.

Der EuGH führt weiter aus, dass nicht zwingend eine gleichwertige Verantwortung zwischen Facebook und dem Betreiber der „Fanpage“ bestehen muss (Rz 43), sondern dass der Grad der Verantwortung in verschiedenen Phasen und für verschiedene Verarbeitungen durchaus unterschiedlich sein kann. Aufgrund der gesamtschuldnerischen Haftung gemeinsam Verantwortlicher nach der DS-GVO, können jedoch Ansprüche generell gegen jeden der gemeinsam Verantwortlichen geltend gemacht werden, d. h. Betreiber von „Fanpages“ können für die Datensammlung durch Facebook nach der Entscheidung des EuGH voll in Anspruch genommen werden.

Obwohl das Urteil noch auf Grundlage der EU Datenschutz-Richtlinie von 1995 (Richtlinie 95/46/EG, DS-RL) und nicht auf Grundlage der EU Datenschutz-Grundverordnung (DS-GVO) ergangen ist, hat es auch unter Geltung der DS-GVO zentrale Bedeutung, da der Begriff des „Verantwortlichen“ faktisch unverändert aus der DS-RL in die DS-GVO übernommen wurde. Entsprechend kann die Argumentation des EuGH zur (Mit)Verantwortung des Betreibers einer „Fanpage“ auch auf die heutige Rechtslage übertragen werden. Die DS-GVO sieht vor, dass gemeinsam Verantwortliche nach Art. 26 DS-GVO einen Vertrag zur gemeinsamen Verantwortung schließen und darin u.a. regeln, wer konkrete Pflichten gegenüber den Betroffenen übernimmt. Weiterhin bestehen für Verantwortliche alle Pflichten nach der DS-GVO unmittelbar, so dass die Betreiber von „Fanpages“ unter anderem insbesondere die Informationspflichten nach Art. 13, 14 DS-GVO gegenüber den Betroffenen erbringen und Auskunftsverlangen von Betroffenen erfüllen müssen.

Die Entscheidung des EuGH ist in Ihrer Anwendung nicht beschränkt auf den Betrieb von Facebook „Fanpages“, vielmehr stellt die Entscheidung eine Grundsatzentscheidung zum Begriff des Verantwortlichen und zum Anwendungsbereich der gemeinsamen Verantwortung dar. Es ist daher bei der Nutzung von Plattformen und Diensten, die nicht im Wege der Auftragsverarbeitung genutzt werden, jeweils individuell zu prüfen, ob nach der Entscheidung des EuGH eine gemeinsame Verantwortung des Nutzers mit dem Betreiber des Dienstes oder der Plattform anzunehmen ist. Jedenfalls wenn bei einem Nutzer Steuerungsmöglichkeiten für die Datenerhebungen des Anbieters bestehen, wird man zukünftig eine gemeinsame Verantwortung prüfen und in Betracht ziehen müssen.

Praxistipp:

Nach den Erfahrungen mit der Safe-Harbor-Entscheidung des EuGH dürfte mit sofortigen Bußgeldern der Aufsichtsbehörden nicht zu rechnen sein, vielmehr steht zu erwarten, dass die Aufsichtsbehörden den Unternehmen zunächst Gelegenheit geben werden, Ihre Nutzung von „Fanpages“ und anderer Dienste an die nun formulierten Anforderungen des EuGH anzupassen. Akute Gefahr droht voraussichtlich eher von Wettbewerbern und Verbraucherschutzverbänden (Abmahnungen). Ob und wie Facebook auf die Entscheidung reagiert, war heute noch nicht bekannt. Sollte es hier von Facebook kurzfristig keine Lösungsangebote (Vertrag zur gemeinsamen Verantwortung, Transparenz bei der Datenverarbeitung) geben, wird man eine Deaktivierung der „Fanpages“ in Betracht ziehen müssen. Unabhängig davon ist eine Prüfung der übrigen, nicht im Wege der Auftragsverarbeitung genutzten Dienste und Plattformen zu empfehlen, jedenfalls wenn dort Auswertungen des Nutzerverhaltens oder vergleichbare Datenerhebungen von den Nutzern erfolgen. Dies kann auch Tools und Tracker auf Webseiten von Unternehmen betreffen.

Update 07.06.2018

Es ist darauf hinzuweisen, dass der EuGH sich zur Rechtmäßigkeit der von Facebook durchgeführten Datenverarbeitung nicht geäußert hat, diese Frage war nicht Gegenstand des Vorlageverfahrens. Ob und inwieweit die Datenverarbeitung in den aktuellen Datenschutzhinweisen von Facebook ausreichend klar beschrieben ist, hat der EuGH ebenfalls nicht geprüft. Falls dies auf „Fanpages“ aktuell nicht der Fall ist, sollten Betreiber von „Fanpages“ unbedingt klar auf die Datenschutzhinweise von Facebook verlinken (z.B. in der Info-Rubrik).