Das unabhängige Landeszentrum für den Datenschutz Schleswig-Holstein (ULD) gegen die Wirtschaftsakademie Schleswig Holstein (WAK-SH) und (indirekt) die Facebook Fanpages: Ein bisschen habe ich das Gefühl, dass mich dieses Verfahren schon mein halbes Berufsleben lang begleitet. Und wenn ich mal nachrechne ergibt sich relativ schnell: Es begleitet mich tatsächlich schon mein halbes Berufsleben (Aber fragen Sie dazu erst mal den rüstigen ULD-Rentner Thilo Weichert, der die ganze Sache ins Rollen brachte). Am 11.9. folgt nun die wohl finale mündliche Verhandlung vor dem Bundesverwaltungsgericht. Ein schöner Anlass, die Diskussion um die Fanpages noch einmal Revue passieren zu lassen.
Die wohl wichtigste Frage, nämlich die danach, inwieweit neben Facebook auch der Betreiber einer Fanpage selbst verantworlich ist für die Datenverarbeitung, die auf Seiten von Facebook durchgeführt wird, bejaht das Gericht:
Nach alledem ist auf die erste und die zweite Frage zu antworten, dass Art. 2 Buchst. d der Richtlinie 95/46 dahin auszulegen ist, dass der Begriff des „für die Verarbeitung Verantwortlichen“ im Sinne dieser Bestimmung den Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage umfasst.
Allerdings: Der EuGH bejaht ebenfalls die Frage, ob die Datenschutzbehörde – hier: Das ULD – gegen Facebook Germany als Inländische Niederlassung vorgehen konnte, wenn Datenschutzverstöße der Konzernmutter festgestellt wurden. Hieran konnte man zweifeln, da am Hamburger Sitz von Facebook Germany (angeblich) nur der Verkauf von Werbeflächen uns sonstige Marketingaktivitäten entfaltet wurden. Der EuGH stellt hier fest: Das ULD konnte sehr wohl auch gegen diese Niederlassung vorgehen.
Das klingt erst einmal gut, muss allerdings gerade keine gute Nachricht für das ULD sein. Denn das Bundesverwaltungsgericht hatte schon in dem Vorabentscheidungsersuchen darauf hingewiesen, dass:
In dem Fall, dass im Licht dieser Antwort festgestellt werden sollte, dass das ULD die behaupteten Verstöße gegen das Recht auf Schutz der personenbezogenen Daten beenden könne, indem es eine Maßnahme gegen Facebook Germany erlasse, dieser Umstand das Vorliegen eines Ermessensfehlers bezüglich des angefochtenen Bescheids belegen könnte, da dieser dann zu Unrecht gegen die Wirtschaftsakademie erlassen worden wäre.
Mit anderen Worten: Das Bundesverwaltungsgericht könnte sich nun auf den Standpunkt stellen, dass das ULD gegen Facebook selbst vorgehen konnte. Und wenn es dies konnte, dann musste es dies eventuell auch. Und damit könnte das Vorgehen des ULD dann doch wieder rechtswidrig gewesen sein.
Wie geht es jetzt weiter?
Der EuGH hat den Rechtsstreit heute nicht entschieden – sondern nur einzelne Fragen, die das im Moment mit dem eigentlichen Verfahren befasste Gericht, also das Bundesverwaltungsgericht – für maßgeblich hält. Wann dieses nun entscheidet, und noch viel wichtiger: Wie es entscheiden wird, ist heute meiner Ansicht nach nicht viel klarer geworden.
Welche Folgen hat das Urteil sonst noch?
Wie die meisten mitbekommen haben, weil es vom “Anwaltsblatt” bis zur Tagesschau alle wichtigen Medien verbreitet haben, gilt seit 25. Mai die Datenschutz-Grundverordnung (DSGVO). So könnte man also auf die Idee kommen, dass die Entscheidung, die auf der Grundlage des alten Rechts – nämlich der Datenschutzrichtlinie 95/46 EU – ergangen ist, nur noch rechtsgeschichtlichen Wert hat. Dies ist aber nicht der Fall, denn hinsichtlich der Verantwortlichkeit ergeben sich gerade keine Änderungen zwischen altem und neuen Recht. Und das bedeutet wohl, dass jeder Nutzer jedenfalls von beruflich genutzten Social Media Profilen zukünftig für die Datenverarbeitung(sverstöße) des jeweiligen Anbieters (mit)verantwortlich ist. Oder, um es mit den Worten des hochgeschätzten Kollegen Thomas Schwenke zu sagen
(Kleine Einschränkung hierzu: Für private Accounts gilt dies aber jedenfalls “möglicherweise” nicht, da die Anwendung der DSGVO in Bezug auf den Profilinhaber insoweit jedenfalls fraglich ist, so steht das in Art. 2 Abs. 2c DSGVO in Verbindung mit Erwägungsgrund 18).
Es war nun eine Zeit lang nichts vom Jurafunk-Team zu hören – Was man als nette Geste gegenüber dem Podcast-Team der Rechtsbelehrung framen könnte, die damit die Möglichkeit erhielt, den Folgen Vorsprung des Jurafunks etwas zu verkürzen. Aber das würde an der Wahrheit natürlich etwas vorbei gehen, denn wir hatten einfach zuviel anderes (wenn auch nicht Besseres) zu tun. In Folge 149 es wieder einmal um Facebook, die Gerichte und die für das ULD überraschende Aussicht, auch mal einen Prozess in Zusammenhang mit dem sozialen Netzwerk zu “gewinnen”. Außerdem besprechen wir Til Schweigers loses Mundwerk, das PayPal-Urteil des BGH und beginnen eine neue Rubrik im Podcast, die ich soeben “Henrys Wundertüte” getauft habe.
Der Generalanwalt Yves Bot ist am Ende Oktober in seinen Schlussanträgen am Europäischen Gerichtshof (EuGH) zu dem Ergebnis gekommen, dass „die Wirtschaftsakademie für die in der Erhebung von personenbezogenen Daten durch Facebook bestehende Phase der Verarbeitung gemeinsam mit Facebook verantwortlich ist“ (Rn. 42; ECLI:EU:C:2017:796; Rechtssache C- 210/16).
Zu Grunde liegt ein Sachverhalt aus dem Jahr 2011. Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hatte der Wirtschaftsakademie Schleswig-Holstein gegenüber angeordnet ihre Facebook-Fanpage zu deaktivieren. Die Besucher der Facebook-Fanpage sind nicht darüber unterrichtet worden, dass ihre personenbezogenen Daten von Facebook mittels Cookies erhoben werden. Dies stelle einen datenschutzrechtlichen Verstoß dar. Weder das Verwaltungsgericht Schleswig (09.10.2013) noch das Oberverwaltungsgericht Schleswig (04.09.2014) folgten der Ansicht des ULD, dass datenschutzrechtliche Verstöße in der Verantwortung der Wirtschaftsakademie liegen. Das Bundesverwaltungsgericht hat die Revision des ULD ausgesetzt und dem EuGH Rechtsfragen zur Auslegung der maßgeblichen Datenschutzrichtlinie (Richtlinie 95/46/EG) zur Entscheidung vorgelegt (BVerwG, Beschluss vom 25.02.2016 – 1 C 28.14 [ECLI:DE:BverwG:2016:250216B1C28.14.0]). Nun liegen nach der mündlichen Verhandlung die Schlussanträge des Generalanwalts vor. Diese darin enthaltenen Entscheidungsvorschlägen folgt der EuGH häufig – ohne daran gebunden zu sein.
Der Generalanwalt kommt insbesondere zu dem Schluss, dass die Wirtschaftsakademie bzw. Betreiber entsprechender Facebook-Fanpages datenschutzrechtlich (mit-)verantwortlich sind. Die Verantwortlichkeit der Wirtschaftsakademie werde auch nicht dadurch ausgeschlossen, dass sie selbst Nutzerin von Facebook-Tools ist. Eine Mitverantwortlichkeit bei der Erhebung der Nutzerdaten durch Facebook bliebe begründet. Die Wirtschaftsakademie entscheide über die Zwecke und Mittel der Datenverarbeitung, da sie tatsächlichen und rechtlichen Einfluss hierauf ausübe. Der Betreiber einer Facebook-Fanpage ermögliche die Verarbeitung der Daten durch das Eröffnen einer Fanpage und könne ebenso durch das Schließen dieser, das Ende der Datenverarbeitung bestimmen. Durch die Nutzung von Facebook-Insights (Bsp. Besucherstatistiken) nimmt ein Fanpage-Betreiber an dem Entscheidungsprozess über die Verarbeitung von personenbezogenen Daten teil. Als Betreiber einer Facebook-Fanpage steuere die Wirtschaftsakademie durch Festlegen von Kriterien, welche Daten eines Zielpublikums erhoben werden. Der Betreiber einer Facebook-Fanpage kann also nicht einfach die Hände heben und die Verantwortlichkeit auf Facebook abwälzen.
Ein Ausschluss der Verantwortlichkeit kommt auch nicht etwa dadurch zu Stande, dass die Bedingungen zur Datenverarbeitung einseitig durch Facebook gestellt und nicht verhandelt wurden. Der Abschluss des Vertrages wird dadurch nicht weniger freiwillig und eine datenschutzrechtliche Verantwortung für die Datenverarbeitung nicht ausgeschlossen. Der Generalanwalt möchte ein Hin- und Herschieben von Verantwortlichkeit verhindern, denn sonst genüge es im Zweifel, dass „ein Unternehmen die Dienstleistungen eines Dritten nutzt, um sich seinen Verpflichtungen im Bereich des Schutzes personenbezogener Daten zu entziehen“.
Die weiteren Ausführungen des Generalanwalts zum anwendbaren Recht, der Frage des Herkunftslandprinzip oder one-stop-shops werden ab dem 25. Mai 2018 durch die Datenschutz-Grundverordnung (DSGVO) geregelt (Vgl. Rn. 103; ECLI:EU:C:2017:796; Rechtssache C- 210/16). Die Anwendung des deutschen Rechts, die Zuständigkeit des ULDs und die Inanspruchnahme der Wirtschaftsakademie seien in diesem Fall aber nicht zu beanstanden.
Da der Sachverhalt nun bereits einige Jahre alt ist, bleibt abzuwarten welche Folgen eine dem Generalanwalt entsprechende Entscheidung des EuGH für aktuelle Facebook-Fanpages hat. Durch eine solche Entscheidung würden keine datenschutzrechtlichen Verstöße durch Facebook und Fanpage-Betreiber festgestellt, sondern zunächst „lediglich“ eine gemeinsame Verantwortung für die Verarbeitung von personenbezogenen Daten. Ein Fanpage-Betreiber könnte sich dann nicht mehr ohne Weiteres seiner datenschutzrechtlichen Verantwortung entziehen. Inwiefern Facebook und Fanpage-Betreiber inzwischen Informations- und Aufklärungspflichten nachkommen, muss im Einzelfall entschieden werden.
Am 1. August 2016 soll die Unsicherheit ein Ende haben, die sich daraus ergeben hat, dass der EuGH im Herbst 2015 das “Safe Harbor”-Abkommen für unwirksam erklärt hat. Die Nachfolgeregelung namens “Privacy Shield” tritt endlich in Kraft. Grund genug für Ihre “Agents of Privacy-S.h.i.e.l.d.”, Henry Krasemann und Stephan Dirks, das Thema in der 134. Folge unseres Kieler Partnerpodcasts zu beleuchten. Zum Podcast hier entlang bitte.
Es war nun eine Zeit lang nichts vom Jurafunk-Team zu hören – Was man als nette Geste gegenüber dem Podcast-Team der Rechtsbelehrung framen könnte, die damit die Möglichkeit erhielt, den Folgen Vorsprung des Jurafunks etwas zu verkürzen. Aber das würde an der Wahrheit natürlich etwas vorbei gehen, denn wir hatten einfach zuviel anderes (wenn auch nicht Besseres) zu tun. In Folge 149 es wieder einmal um Facebook, die Gerichte und die für das ULD überraschende Aussicht, auch mal einen Prozess in Zusammenhang mit dem sozialen Netzwerk zu “gewinnen”. Außerdem besprechen wir Til Schweigers loses Mundwerk, das PayPal-Urteil des BGH und beginnen eine neue Rubrik im Podcast, die ich soeben “Henrys Wundertüte” getauft habe.