Der EuGH hat mit heutigem Urteil entschieden, dass der Betreiber einer Facebook-Fanpage gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich ist (Rs. C-210-16). Die Entscheidung betrifft die Facebookseiten (Fanpages), die man als Fan „liken“ kann, die keine privaten Facebook-Profile darstellen. Der EuGH sieht sowohl den Betreiber einer solchen Fanpage als auch Facebook in der Verantwortlichkeit, den Schutz personenbezogener Daten zu beachten.
Die zuständige öffentliche Stelle kann damit zur Einhaltung der Datenschutz-Vorschriften gegen beide Verantwortliche vorgehen. Dies hatte das OVG Schleswig (Urteil v. 04.09.2014, Az. 4 LB 20/13) im Ausgangsverfahren anders gesehen und die Verantwortlichkeit für den Betreiber der Fanpage verneint. Es hat aber in diesem Verfahren die Revision zugelassen, so dass es zu den Vorlagefragen durch das Bundesverwaltungsgericht (Beschluss vom 25.02.2016, Az. BVerwG 1 C 28.14) gekommen ist.
Hintergrund der Entscheidung ist ein Verwaltungsverfahren des Landeszentrums für Datenschutz gegen die Wirtschaftsakademie Schleswig-Holstein. Diese bietet u. a. über Facebook eine Fanpage für ihre Bildungsdienstleistungen an. Das Bundesverwaltungsgericht hat sich mit der Frage, wer die datenschutzrechtliche Verantwortlichkeit für die beim Aufruf einer Facebook-Fanpage erhobenen Nutzerdaten trägt, an den EuGH gewandt.
Der EuGH sah, wie schon Generalanwalt Bot in seinen Schlussanträgen, die Verantwortlichkeit nicht nur bei Facebook, sondern auch beim Betreiber der Fanpage. Die Betreiber von Fanpages könnten mit Hilfe der Funktion Facebook Insight, die ihnen Facebook als nicht abdingbaren Teil des Benutzungsverhältnisses kostenfrei zur Verfügung stelle, anonymisierte statistische Daten in Bezug auf die Nutzer dieser Seiten erhalten. Diese Daten würden mit Hilfe von Cookies gesammelt, die jeweils einen eindeutigen Benutzercode enthielten, der für zwei Jahre aktiv sei und den Facebook auf der Festplatte des Computers oder einem anderen Datenträger der Besucher der Fanpage speichere. Der Benutzercode, der mit den Anmeldungsdaten solcher Nutzer, die bei Facebook registriert seien, verknüpft werden könne, werde beim Aufrufen der Fanpages erhoben und verarbeitet.
Da weder die Wirtschaftsakademie noch Facebook die Besucher der Fanpage darauf hingewiesen hatten, dass Facebook mittels Cookies personenbezogene Daten erhebe und diese Daten danach verarbeite, erließ das Landeszentrum für Datenschutz Schleswig-Holstein einen Bescheid gegenüber der Wirtschaftsakademie, der die Deaktivierung der Seite vorsah.
Die Wirtschaftsakademie war der Auffassung, dass ihr die Verarbeitung personenbezogener Daten durch Facebook nicht zugerechnet werden könne und sie Facebook auch nicht mit einer von ihr kontrollierten oder beeinflussbaren Datenverarbeitung beauftragt habe.
Das sieht der Gerichtshof anders. Der Betreiber einer Fanpage sei durch die von ihm vorgenommene Parametrierung an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt.
Er bestimme z. B. durch die Ausrichtung der Facebookseite sein Zielpublikum und könne gerade auch demografische Daten über seine Zielgruppe – und damit die Verarbeitung dieser Daten – verlangen (u. a. Tendenzen in den Bereichen Alter, Geschlecht, Beziehungsstatus und berufliche Situation).
Die Ausführungen des EuGH zur Verantwortlichkeit sind auch mit der neuen EU-Datenschutz-Grundverordnung (DS-GVO) noch aktuell, da der Begriff des „Verantwortlichen“ wortgleich mit der Definition aus der alten Datenschutz-RL 95/46/EG ist.
Update v. 07.06.2018
Die Datenschutzkonferenz – DSK hat zu dieser Entscheidung eine Entschließung veröffentlicht (vgl. News v. 07.06.2018 >>). Die deutschen Aufsichtsbehörden weisen danach darauf hin, dass aufgrund des Urteils des EuGHs dringender Handlungsbedarf für die Betreiber von Fanpages besteht.
Weiterführende Informationen
Pressemitteilung Nr. 81/18 v. 05.06.2018 des EuGH >>
Urteil des EuGH v. 05.06.2018, Rs. C‑210/16 – Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein / Wirtschaftsakademie Schleswig-Holstein GmbH aus der EU-Rechtsprechungsdatenbank curia.europa >> us der EU-Rechtsprechungsdatenbank curia.europa
Beschluss des Bundesverwaltungsgerichts v. 25.02.2016, Az. 1 C 28.14 >> aus der Rechtsprechungsdatenbank des Bundesverwaltungsgerichts
Urteil des OVG Schleswig v. 04.09.2014, Az. 4 LB 20/13 >>
cb/cki
Weitere aktuelle Nachrichten
-
Wettbewerbszentrale setzt Werbekennzeichnung im Influencer-Marketing durch
-
OLG Hamm: Unternehmen haftet für Fehler in Google Shopping-Anzeige
-
BMJ veröffentlicht Diskussionsentwurf zur Umsetzung der EmpCo-Richtlinie – Werbung mit Green Claims wird reguliert
-
Wettbewerbszentrale beanstandet Verlängerung einer zeitlich begrenzten Rabattaktion eines Online-Möbelhändlers als wettbewerbswidrig
-
BGH schafft Klarheit: Verkauf von Dekoartikeln durch Gartencenter an Sonntagen ist zulässig