Der Generalanwalt Yves Bot ist am Ende Oktober in seinen Schlussanträgen am Europäischen Gerichtshof (EuGH) zu dem Ergebnis gekommen, dass „die Wirtschaftsakademie für die in der Erhebung von personenbezogenen Daten durch Facebook bestehende Phase der Verarbeitung gemeinsam mit Facebook verantwortlich ist“ (Rn. 42; ECLI:EU:C:2017:796; Rechtssache C- 210/16).
Zu Grunde liegt ein Sachverhalt aus dem Jahr 2011. Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hatte der Wirtschaftsakademie Schleswig-Holstein gegenüber angeordnet ihre Facebook-Fanpage zu deaktivieren. Die Besucher der Facebook-Fanpage sind nicht darüber unterrichtet worden, dass ihre personenbezogenen Daten von Facebook mittels Cookies erhoben werden. Dies stelle einen datenschutzrechtlichen Verstoß dar. Weder das Verwaltungsgericht Schleswig (09.10.2013) noch das Oberverwaltungsgericht Schleswig (04.09.2014) folgten der Ansicht des ULD, dass datenschutzrechtliche Verstöße in der Verantwortung der Wirtschaftsakademie liegen. Das Bundesverwaltungsgericht hat die Revision des ULD ausgesetzt und dem EuGH Rechtsfragen zur Auslegung der maßgeblichen Datenschutzrichtlinie (Richtlinie 95/46/EG) zur Entscheidung vorgelegt (BVerwG, Beschluss vom 25.02.2016 – 1 C 28.14 [ECLI:DE:BverwG:2016:250216B1C28.14.0]). Nun liegen nach der mündlichen Verhandlung die Schlussanträge des Generalanwalts vor. Diese darin enthaltenen Entscheidungsvorschlägen folgt der EuGH häufig – ohne daran gebunden zu sein.
Der Generalanwalt kommt insbesondere zu dem Schluss, dass die Wirtschaftsakademie bzw. Betreiber entsprechender Facebook-Fanpages datenschutzrechtlich (mit-)verantwortlich sind. Die Verantwortlichkeit der Wirtschaftsakademie werde auch nicht dadurch ausgeschlossen, dass sie selbst Nutzerin von Facebook-Tools ist. Eine Mitverantwortlichkeit bei der Erhebung der Nutzerdaten durch Facebook bliebe begründet. Die Wirtschaftsakademie entscheide über die Zwecke und Mittel der Datenverarbeitung, da sie tatsächlichen und rechtlichen Einfluss hierauf ausübe. Der Betreiber einer Facebook-Fanpage ermögliche die Verarbeitung der Daten durch das Eröffnen einer Fanpage und könne ebenso durch das Schließen dieser, das Ende der Datenverarbeitung bestimmen. Durch die Nutzung von Facebook-Insights (Bsp. Besucherstatistiken) nimmt ein Fanpage-Betreiber an dem Entscheidungsprozess über die Verarbeitung von personenbezogenen Daten teil. Als Betreiber einer Facebook-Fanpage steuere die Wirtschaftsakademie durch Festlegen von Kriterien, welche Daten eines Zielpublikums erhoben werden. Der Betreiber einer Facebook-Fanpage kann also nicht einfach die Hände heben und die Verantwortlichkeit auf Facebook abwälzen.
Ein Ausschluss der Verantwortlichkeit kommt auch nicht etwa dadurch zu Stande, dass die Bedingungen zur Datenverarbeitung einseitig durch Facebook gestellt und nicht verhandelt wurden. Der Abschluss des Vertrages wird dadurch nicht weniger freiwillig und eine datenschutzrechtliche Verantwortung für die Datenverarbeitung nicht ausgeschlossen. Der Generalanwalt möchte ein Hin- und Herschieben von Verantwortlichkeit verhindern, denn sonst genüge es im Zweifel, dass „ein Unternehmen die Dienstleistungen eines Dritten nutzt, um sich seinen Verpflichtungen im Bereich des Schutzes personenbezogener Daten zu entziehen“.
Die weiteren Ausführungen des Generalanwalts zum anwendbaren Recht, der Frage des Herkunftslandprinzip oder one-stop-shops werden ab dem 25. Mai 2018 durch die Datenschutz-Grundverordnung (DSGVO) geregelt (Vgl. Rn. 103; ECLI:EU:C:2017:796; Rechtssache C- 210/16). Die Anwendung des deutschen Rechts, die Zuständigkeit des ULDs und die Inanspruchnahme der Wirtschaftsakademie seien in diesem Fall aber nicht zu beanstanden.
Da der Sachverhalt nun bereits einige Jahre alt ist, bleibt abzuwarten welche Folgen eine dem Generalanwalt entsprechende Entscheidung des EuGH für aktuelle Facebook-Fanpages hat. Durch eine solche Entscheidung würden keine datenschutzrechtlichen Verstöße durch Facebook und Fanpage-Betreiber festgestellt, sondern zunächst „lediglich“ eine gemeinsame Verantwortung für die Verarbeitung von personenbezogenen Daten. Ein Fanpage-Betreiber könnte sich dann nicht mehr ohne Weiteres seiner datenschutzrechtlichen Verantwortung entziehen. Inwiefern Facebook und Fanpage-Betreiber inzwischen Informations- und Aufklärungspflichten nachkommen, muss im Einzelfall entschieden werden.