Das Ende von Facebook-Fanpages? – Schlussanträge des Generalanwalts

Der Generalanwalt Yves Bot ist am Ende Oktober in seinen Schlussanträgen am Europäischen Gerichtshof (EuGH) zu dem Ergebnis gekommen, dass „die Wirtschaftsakademie für die in der Erhebung von personenbezogenen Daten durch Facebook bestehende Phase der Verarbeitung gemeinsam mit Facebook verantwortlich ist“ (Rn. 42; ECLI:EU:C:2017:796; Rechtssache C- 210/16).

Zu Grunde liegt ein Sachverhalt aus dem Jahr 2011. Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hatte der Wirtschaftsakademie Schleswig-Holstein gegenüber angeordnet ihre Facebook-Fanpage zu deaktivieren. Die Besucher der Facebook-Fanpage sind nicht darüber unterrichtet worden, dass ihre personenbezogenen Daten von Facebook mittels Cookies erhoben werden. Dies stelle einen datenschutzrechtlichen Verstoß dar. Weder das Verwaltungsgericht Schleswig (09.10.2013) noch das Oberverwaltungsgericht Schleswig (04.09.2014) folgten der Ansicht des ULD, dass datenschutzrechtliche Verstöße in der Verantwortung der Wirtschaftsakademie liegen. Das Bundesverwaltungsgericht hat die Revision des ULD ausgesetzt und dem EuGH Rechtsfragen zur Auslegung der maßgeblichen Datenschutzrichtlinie (Richtlinie 95/46/EG) zur Entscheidung vorgelegt (BVerwG, Beschluss vom 25.02.2016 – 1 C 28.14 [ECLI:DE:BverwG:2016:250216B1C28.14.0]). Nun liegen nach der mündlichen Verhandlung die Schlussanträge des Generalanwalts vor. Diese darin enthaltenen Entscheidungsvorschlägen folgt der EuGH häufig – ohne daran gebunden zu sein.

Der Generalanwalt kommt insbesondere zu dem Schluss, dass die Wirtschaftsakademie bzw. Betreiber entsprechender Facebook-Fanpages datenschutzrechtlich (mit-)verantwortlich sind. Die Verantwortlichkeit der Wirtschaftsakademie werde auch nicht dadurch ausgeschlossen, dass sie selbst Nutzerin von Facebook-Tools ist. Eine Mitverantwortlichkeit bei der Erhebung der Nutzerdaten durch Facebook bliebe begründet. Die Wirtschaftsakademie entscheide über die Zwecke und Mittel der Datenverarbeitung, da sie tatsächlichen und rechtlichen Einfluss hierauf ausübe. Der Betreiber einer Facebook-Fanpage ermögliche die Verarbeitung der Daten durch das Eröffnen einer Fanpage und könne ebenso durch das Schließen dieser, das Ende der Datenverarbeitung bestimmen. Durch die Nutzung von Facebook-Insights (Bsp. Besucherstatistiken) nimmt ein Fanpage-Betreiber an dem Entscheidungsprozess über die Verarbeitung von personenbezogenen Daten teil. Als Betreiber einer Facebook-Fanpage steuere die Wirtschaftsakademie durch Festlegen von Kriterien, welche Daten eines Zielpublikums erhoben werden. Der Betreiber einer Facebook-Fanpage kann also nicht einfach die Hände heben und die Verantwortlichkeit auf Facebook abwälzen.

Ein Ausschluss der Verantwortlichkeit kommt auch nicht etwa dadurch zu Stande, dass die Bedingungen zur Datenverarbeitung einseitig durch Facebook gestellt und nicht verhandelt wurden. Der Abschluss des Vertrages wird dadurch nicht weniger freiwillig und eine datenschutzrechtliche Verantwortung für die Datenverarbeitung nicht ausgeschlossen. Der Generalanwalt möchte ein Hin- und Herschieben von Verantwortlichkeit verhindern, denn sonst genüge es im Zweifel, dass „ein Unternehmen die Dienstleistungen eines Dritten nutzt, um sich seinen Verpflichtungen im Bereich des Schutzes personenbezogener Daten zu entziehen“.

Die weiteren Ausführungen des Generalanwalts zum anwendbaren Recht, der Frage des Herkunftslandprinzip oder one-stop-shops werden ab dem 25. Mai 2018 durch die Datenschutz-Grundverordnung (DSGVO) geregelt (Vgl. Rn. 103; ECLI:EU:C:2017:796; Rechtssache C- 210/16). Die Anwendung des deutschen Rechts, die Zuständigkeit des ULDs und die Inanspruchnahme der Wirtschaftsakademie seien in diesem Fall aber nicht zu beanstanden.

Da der Sachverhalt nun bereits einige Jahre alt ist, bleibt abzuwarten welche Folgen eine dem Generalanwalt entsprechende Entscheidung des EuGH für aktuelle Facebook-Fanpages hat. Durch eine solche Entscheidung würden keine datenschutzrechtlichen Verstöße durch Facebook und Fanpage-Betreiber festgestellt, sondern zunächst „lediglich“ eine gemeinsame Verantwortung für die Verarbeitung von personenbezogenen Daten. Ein Fanpage-Betreiber könnte sich dann nicht mehr ohne Weiteres seiner datenschutzrechtlichen Verantwortung entziehen. Inwiefern Facebook und Fanpage-Betreiber inzwischen Informations- und Aufklärungspflichten nachkommen, muss im Einzelfall entschieden werden.

Jurafunk Nr. 134 – Von Safe Harbor zu Privacy Shield: Recap

Am 1. August 2016 soll die Unsicherheit ein Ende haben, die sich daraus ergeben hat, dass der EuGH im Herbst 2015 das „Safe Harbor“-Abkommen für unwirksam erklärt hat. Die Nachfolgeregelung namens „Privacy Shield“ tritt endlich in Kraft. Grund genug für Ihre „Agents of Privacy-S.h.i.e.l.d.“, Henry Krasemann und Stephan Dirks, das Thema in der 134. Folge unseres Kieler Partnerpodcasts zu beleuchten.
Zum Podcast hier entlang bitte.

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit geht gegen Facebooks Klarnamenpflicht vor (Update)

Ob’s ein Abschiedsgeschenk für den frisch geschiedenen Leiter des Unabhängigen Landeszentrums für den Datenschutz in Schleswig-Holstein (ULD) war? Der Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI), Prof. Dr. Johannes Caspar, geht derzeit im Wege der Ordnungsverfügung gegen die Klarnamenpflicht des Sozialen Netzwerks Facebook vor, wie einer Presseinformation seiner Behörde zu entnehmen ist. Ganz neu ist die „Idee“ nicht. (Update: Die Verfügung liegt uns nun im Volltext vor und ist hier abzurufen)

Mehr erfahren

ULD ./. Facebook-Fanpages: Datenschützer unterliegen auch vor dem OVG Schleswig

Eine beinahe unendliche Geschichte neigt sich wohl dem Ende entgegen: Nachdem im November 2013 das Schleswiger Verwaltungsgericht der Klage der Wirtschaftsakademie Schleswig-Holstein gegen die vom unabhängigen Landeszentrum für den Datenschutz (ULD) verfügte Schließung ihrer Facebook-Fanpage stattgegeben hatte, kassierte das ULD heute in der nächsten Instanz, dem Oberverwaltungsgericht, ebenfalls eine Klatsche. Möglicherweise endet damit demnächst auch eine ganze Ära – mit einer nicht wirklich überraschenden Niederlage.

Mehr erfahren

Jurafunk Nr. 111: Piwik und der Datenschutz, Arbeitszeiterfassung, Haftung für Schließanlage

Es ist Jurafunk-Woche! In der bereits 111. Ausgabe unseres Kieler Partner-Podcast geht es zu allererst um Datenschutzfragen, denn das LG Frankfurt hat unlängst zur freien Web-Analytics-Software Piwik geurteilt. Kann ich die Software rechtssicher, in Schleswig-Holstein sagen wir: „ULD-konform“ einsetzen?

Wenn ja, wie? Diese und andere Fragen klärt der Jurafunk Nr. 111.

Mehr erfahren