Der EuGH hat in dem Verfahren Unabhängiges Landeszentrum für Datenschutz (ULD) Schleswig-Holstein gegen Wirtschaftsakademie Schleswig-Holstein GmbH mit Urteil vom 05. Juni 2018 (Az.: C-2010/16) entschieden, dass der Betreiber einer sog. Fanpage auf Facebook zusammen mit Facebook als gemeinsam Verantwortlicher einzustufen ist. Als gemeinsam Verantwortliche müsse nicht jeder Verantwortliche für dieselbe Verarbeitung Zugang zu den betreffenden personenbezogenen Daten haben. Zudem habe eine gemeinsame Verantwortlichkeit nicht zwangsläufig eine gleichwertige Verantwortlichkeit zur Folge. Die Entscheidung hat direkte Auswirkung auf die Betreiber von Fanpages aufgrund der Pflichten gemeinsam Verantwortlicher nach Art. 26 Datenschutz-Grundverordnung (DSGVO).

Administrator of a “fan page” hosted on Facebook and Facebook are joint controller

The ECJ ruled in the case Unabhängiges Landeszentrum für Datenschutz (ULD) Schleswig-Holstein vs Wirtschaftsakademie Schleswig-Holstein GmbH with its decision from 5 June 2018 that an administrator of a so called ‘fan page’ hosted on Facebook must be categorized as a joint controller. For the categorization as joint controller it is not necessary that each controller has access to the personal data concerned for the same processing. Moreover, a joint controllership does not necessarily imply an equal responsibility. The decision has direct implications on the duties of companies operating fan pages due to the obligations of joint controllers under Art. 26 General Data Protection Regulation (GDPR).

Dem Urteil liegt folgender Sachverhalt zu Grunde:

Die Wirtschaftsakademie bietet auf einer sog. “Fanpage” auf Facebook Bildungsdienstleistungen an. Auf dieser Fanpage werden Cookies eingesetzt, die anonymisierte statistische Daten betreffend die Nutzer – unabhängig davon ob diese über ein Facebook-Konto verfügen – sammeln. Solange die Cookies nicht gelöscht werden, bleiben diese für die Dauer von zwei Jahren wirksam. Mit den gesammelten Daten werden durch Facebook Statistiken erstellt und dem Betreiber der Fanpage zum Zwecke der Steuerung der Vermarktung seiner Tätigkeit in anonymisierter Form kostenlos zur Verfügung gestellt.

Dabei hat in dem vor dem EuGH vorgelegtem Fall weder Facebook noch die Wirtschaftsakademie als Betreiberin der Fanpage auf solch eine Funktionsweise der Cookies, auf die Tatsache der Speicherung oder die nachfolgende Datenverarbeitung hingewiesen. Aus diesem Grund ordnete das ULD im Jahre 2011 unter Androhung eines Zwangsgeldes an, die Fanpage zu deaktivieren. Die Wirtschaftsakademie ging gegen diesen Bescheid vor, da sie sich nicht als Verantwortliche sah. Das Verfahren ging bis zum Bundesverwaltungsgericht, das die Frage der Verantwortlichkeit des Betreibers einer Fanpage dem EuGH vorlegte.

Der Gerichtshof führt aus, dass zwar die bloße Nutzung eines Netzwerkes wie Facebook den Benutzer nicht für die von dem Netzwerk vorgenommene Verarbeitung personenbezogener Daten mitverantwortlich mache, im Falle der Einrichtung einer Fanpage der Betreiber damit Facebook jedoch ermögliche, auf dem Gerät des Besuchers der Fanpage Cookies zu platzieren.

Zu dem kann der Betreiber einer Fanpage bei der Einrichtung der Seite gewisse Parameter festsetzen, nach denen die Statistiken durch Facebook erstellt werden sollen (bspw. die Kategorien von Personen, deren Daten erhoben werden sollen). Somit sei der Betreiber der Fanpage an der Entscheidung über die Zwecke und Mittel der Verarbeitung personenbezogener Daten der Besucher der Fanpage beteiligt. Die Tatsache, dass die an den Betreiber weitergegebenen Besucherstatistiken anonymisiert sind, spreche nicht gegen eine gemeinsame Verantwortlichkeit. Für eine gemeinsame Verantwortlichkeit sei es nicht notwendig, dass jeder Verantwortliche Zugang zu den betreffenden personenbezogenen Daten habe. Ferner hat der Gerichtshof festgestellt, dass im Falle der Datenerhebung von Besuchern, die keinen Facebook Account haben, die Verantwortlichkeit des Betreibers der Fanpage höher einzustufen sei, da bereits das bloße Aufrufen der Fanpage die Verarbeitung der personenbezogenen Daten auslöst.

Diese Entscheidung beruht zwar auf den Normen der Richtlinie 95/46/EG, ist jedoch auch in Zeiten der DSGVO relevant, da die Definition der gemeinsam Verantwortlichen nach neuer Rechtslage dieselbe ist (Richtlinie 95/46/EG: “für die Verarbeitung Verantwortlicher” ist die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; DSGVO: „Verantwortlicher“ [ist] die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet).

Die DSGVO sieht in Art. 26 DSGVO konkrete, bußgeldbewehrte, Pflichten für gemeinsame Verantwortliche vor. So müssen diese in einer Vereinbarung in transparenter Form festlegen, wer von ihnen welche Verpflichtungen aus der DSGVO erfüllt. Die wesentlichen Inhalte der Vereinbarung müssen den betroffenen Personen zur Verfügung gestellt werden. Bei gemeinsamer Verantwortlichkeit besteht zudem das Risiko einer gesamtschuldnerischen Haftung auf Schadensersatz gegenüber betroffenen Personen nach Art. 82 Abs. 2 S. 1, Abs. 4 DSGVO.

Aus der Entscheidung geht nicht deutlich hervor, inwieweit die Nutzung der Analysefunktion ausschlaggebend für die Annahme einer gemeinsamen Verantwortlichkeit ist. Je nach Auslegung kann eine gemeinsame Verantwortlichkeit gegebenenfalls entfallen, wenn der Betreiber einer Fanpage diese Funktion schlicht nicht nutzt.

Das Urteil des EuGH hat Auswirkungen über die Fanpage hinaus, da die aufgestellten Grundsätze auch für ähnlich funktionierende Analysefunktionen im Zusammenhand mit Tools und Plattformen gelten. Der Generalanwalt hatte in seinen Schlussanträgen bereits erklärt, dass er hinsichtlich der Verwendung von „Social Plugins“ (im konkreten Fall den „Gefällt mir“-Button von Facebook) ebenfalls von einer gemeinsamen Verantwortlichkeit ausgehe. Diese Frage ist Gegenstand des EuGH-Verfahrens Fashion ID GmbH & Co.KG gegen Verbraucherzentrale NRW eV (Az.: C‑40/17).