EuGH entscheidet (vorab) in Sachen ULD ./. WAK SH („Facebook Fanpages“, EuGH Rechtssache C‑210/16)

Ein bisschen roch es schon danach, nachdem der Generalanwalt beim EuGH, Yves Bot, in Sachen ULD ./. WAK Schleswig-Holstein sein Schlussgutachten vorgelegt hatte. Nun ist es amtlich: Das unabhängige Landeszentrum für den Datenschutz in Schleswig Holstein (ULD) erlangt (zumindest) in einem Teilaspekt einen Etappensieg in dem Rechtsstreit über die Rechtmäßigkeit von Facebook-Fanpages, der bereits seit 2011 andauert und bei dem es um Datenschutzverstöße durch die Facebook-Reichweitenanalyse „Insights“ geht. Der EuGH hat am 5.6.18 über verschiedene Vorlagefragen entschieden, auf die es in dem derzeit beim Bundesverwaltungsgericht anhängigen Verfahren ankommt. Allerdings dürften die Sektkorken beim ULD wohl nicht allzu laut knallen.

Die wohl wichtigste Frage, nämlich die danach, inwieweit neben Facebook auch der Betreiber einer Fanpage selbst verantworlich ist für die Datenverarbeitung, die auf Seiten von Facebook durchgeführt wird, bejaht das Gericht:

Nach alledem ist auf die erste und die zweite Frage zu antworten, dass Art. 2 Buchst. d der Richtlinie 95/46 dahin auszulegen ist, dass der Begriff des „für die Verarbeitung Verantwortlichen“ im Sinne dieser Bestimmung den Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage umfasst.

Allerdings: Der EuGH bejaht ebenfalls die Frage, ob die Datenschutzbehörde – hier: Das ULD – gegen Facebook Germany als Inländische Niederlassung vorgehen konnte, wenn Datenschutzverstöße der Konzernmutter festgestellt wurden. Hieran konnte man zweifeln, da am Hamburger Sitz von Facebook Germany (angeblich) nur der Verkauf von Werbeflächen uns sonstige Marketingaktivitäten entfaltet wurden. Der EuGH stellt hier fest: Das ULD konnte sehr wohl auch gegen diese Niederlassung vorgehen.

Das klingt erst einmal gut, muss allerdings gerade keine gute Nachricht für das ULD sein. Denn das Bundesverwaltungsgericht hatte schon in dem Vorabentscheidungsersuchen darauf hingewiesen, dass:

In dem Fall, dass im Licht dieser Antwort festgestellt werden sollte, dass das ULD die behaupteten Verstöße gegen das Recht auf Schutz der personenbezogenen Daten beenden könne, indem es eine Maßnahme gegen Facebook Germany erlasse, dieser Umstand das Vorliegen eines Ermessensfehlers bezüglich des angefochtenen Bescheids belegen könnte, da dieser dann zu Unrecht gegen die Wirtschaftsakademie erlassen worden wäre.

Mit anderen Worten: Das Bundesverwaltungsgericht könnte sich nun auf den Standpunkt stellen, dass das ULD gegen Facebook selbst vorgehen konnte. Und wenn es dies konnte, dann musste es dies eventuell auch. Und damit könnte das Vorgehen des ULD dann doch wieder rechtswidrig gewesen sein.

Wie geht es jetzt weiter?

Der EuGH hat den Rechtsstreit heute nicht entschieden – sondern nur einzelne Fragen, die das im Moment mit dem eigentlichen Verfahren befasste Gericht, also das Bundesverwaltungsgericht – für maßgeblich hält. Wann dieses nun entscheidet, und noch viel wichtiger: Wie es entscheiden wird, ist heute meiner Ansicht nach nicht viel klarer geworden.

Welche Folgen hat das Urteil sonst noch?

Wie die meisten mitbekommen haben, weil es vom „Anwaltsblatt“ bis zur Tagesschau alle wichtigen Medien verbreitet haben, gilt seit 25. Mai die Datenschutz-Grundverordnung (DSGVO). So könnte man also auf die Idee kommen, dass die Entscheidung, die auf der Grundlage des alten Rechts – nämlich der Datenschutzrichtlinie 95/46 EU – ergangen ist, nur noch rechtsgeschichtlichen Wert hat. Dies ist aber nicht der Fall, denn hinsichtlich der Verantwortlichkeit ergeben sich gerade keine Änderungen zwischen altem und neuen Recht. Und das bedeutet wohl, dass jeder Nutzer jedenfalls von beruflich genutzten Social Media Profilen zukünftig für die Datenverarbeitung(sverstöße) des jeweiligen Anbieters (mit)verantwortlich ist. Oder, um es mit den Worten des hochgeschätzten Kollegen Thomas Schwenke zu sagen

(Kleine Einschränkung hierzu: Für private Accounts gilt dies aber jedenfalls „möglicherweise“ nicht, da die Anwendung der DSGVO in Bezug auf den Profilinhaber insoweit jedenfalls fraglich ist, so steht das in Art. 2 Abs. 2c DSGVO in Verbindung mit Erwägungsgrund 18).

Verweise:

Jurafunk 149: Ein Bot namens Yves / Schweigen ist Gold / PayPal (Ver-)käuferschutz

Es war nun eine Zeit lang nichts vom Jurafunk-Team zu hören – Was man als nette Geste gegenüber dem Podcast-Team der Rechtsbelehrung framen könnte, die damit die Möglichkeit erhielt, den Folgen Vorsprung des Jurafunks etwas zu verkürzen. Aber das würde an der Wahrheit natürlich etwas vorbei gehen, denn wir hatten einfach zuviel anderes (wenn auch nicht Besseres) zu tun. In Folge 149 es wieder einmal um Facebook, die Gerichte und die für das ULD überraschende Aussicht, auch mal einen Prozess in Zusammenhang mit dem sozialen Netzwerk zu „gewinnen“. Außerdem besprechen wir Til Schweigers loses Mundwerk, das PayPal-Urteil des BGH und beginnen eine neue Rubrik im Podcast, die ich soeben „Henrys Wundertüte“ getauft habe.

Viel Vergnügen!

Mehr erfahren

Das Ende von Facebook-Fanpages? – Schlussanträge des Generalanwalts

Der Generalanwalt Yves Bot ist am Ende Oktober in seinen Schlussanträgen am Europäischen Gerichtshof (EuGH) zu dem Ergebnis gekommen, dass „die Wirtschaftsakademie für die in der Erhebung von personenbezogenen Daten durch Facebook bestehende Phase der Verarbeitung gemeinsam mit Facebook verantwortlich ist“ (Rn. 42; ECLI:EU:C:2017:796; Rechtssache C- 210/16).

Zu Grunde liegt ein Sachverhalt aus dem Jahr 2011. Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hatte der Wirtschaftsakademie Schleswig-Holstein gegenüber angeordnet ihre Facebook-Fanpage zu deaktivieren. Die Besucher der Facebook-Fanpage sind nicht darüber unterrichtet worden, dass ihre personenbezogenen Daten von Facebook mittels Cookies erhoben werden. Dies stelle einen datenschutzrechtlichen Verstoß dar. Weder das Verwaltungsgericht Schleswig (09.10.2013) noch das Oberverwaltungsgericht Schleswig (04.09.2014) folgten der Ansicht des ULD, dass datenschutzrechtliche Verstöße in der Verantwortung der Wirtschaftsakademie liegen. Das Bundesverwaltungsgericht hat die Revision des ULD ausgesetzt und dem EuGH Rechtsfragen zur Auslegung der maßgeblichen Datenschutzrichtlinie (Richtlinie 95/46/EG) zur Entscheidung vorgelegt (BVerwG, Beschluss vom 25.02.2016 – 1 C 28.14 [ECLI:DE:BverwG:2016:250216B1C28.14.0]). Nun liegen nach der mündlichen Verhandlung die Schlussanträge des Generalanwalts vor. Diese darin enthaltenen Entscheidungsvorschlägen folgt der EuGH häufig – ohne daran gebunden zu sein.

Der Generalanwalt kommt insbesondere zu dem Schluss, dass die Wirtschaftsakademie bzw. Betreiber entsprechender Facebook-Fanpages datenschutzrechtlich (mit-)verantwortlich sind. Die Verantwortlichkeit der Wirtschaftsakademie werde auch nicht dadurch ausgeschlossen, dass sie selbst Nutzerin von Facebook-Tools ist. Eine Mitverantwortlichkeit bei der Erhebung der Nutzerdaten durch Facebook bliebe begründet. Die Wirtschaftsakademie entscheide über die Zwecke und Mittel der Datenverarbeitung, da sie tatsächlichen und rechtlichen Einfluss hierauf ausübe. Der Betreiber einer Facebook-Fanpage ermögliche die Verarbeitung der Daten durch das Eröffnen einer Fanpage und könne ebenso durch das Schließen dieser, das Ende der Datenverarbeitung bestimmen. Durch die Nutzung von Facebook-Insights (Bsp. Besucherstatistiken) nimmt ein Fanpage-Betreiber an dem Entscheidungsprozess über die Verarbeitung von personenbezogenen Daten teil. Als Betreiber einer Facebook-Fanpage steuere die Wirtschaftsakademie durch Festlegen von Kriterien, welche Daten eines Zielpublikums erhoben werden. Der Betreiber einer Facebook-Fanpage kann also nicht einfach die Hände heben und die Verantwortlichkeit auf Facebook abwälzen.

Ein Ausschluss der Verantwortlichkeit kommt auch nicht etwa dadurch zu Stande, dass die Bedingungen zur Datenverarbeitung einseitig durch Facebook gestellt und nicht verhandelt wurden. Der Abschluss des Vertrages wird dadurch nicht weniger freiwillig und eine datenschutzrechtliche Verantwortung für die Datenverarbeitung nicht ausgeschlossen. Der Generalanwalt möchte ein Hin- und Herschieben von Verantwortlichkeit verhindern, denn sonst genüge es im Zweifel, dass „ein Unternehmen die Dienstleistungen eines Dritten nutzt, um sich seinen Verpflichtungen im Bereich des Schutzes personenbezogener Daten zu entziehen“.

Die weiteren Ausführungen des Generalanwalts zum anwendbaren Recht, der Frage des Herkunftslandprinzip oder one-stop-shops werden ab dem 25. Mai 2018 durch die Datenschutz-Grundverordnung (DSGVO) geregelt (Vgl. Rn. 103; ECLI:EU:C:2017:796; Rechtssache C- 210/16). Die Anwendung des deutschen Rechts, die Zuständigkeit des ULDs und die Inanspruchnahme der Wirtschaftsakademie seien in diesem Fall aber nicht zu beanstanden.

Da der Sachverhalt nun bereits einige Jahre alt ist, bleibt abzuwarten welche Folgen eine dem Generalanwalt entsprechende Entscheidung des EuGH für aktuelle Facebook-Fanpages hat. Durch eine solche Entscheidung würden keine datenschutzrechtlichen Verstöße durch Facebook und Fanpage-Betreiber festgestellt, sondern zunächst „lediglich“ eine gemeinsame Verantwortung für die Verarbeitung von personenbezogenen Daten. Ein Fanpage-Betreiber könnte sich dann nicht mehr ohne Weiteres seiner datenschutzrechtlichen Verantwortung entziehen. Inwiefern Facebook und Fanpage-Betreiber inzwischen Informations- und Aufklärungspflichten nachkommen, muss im Einzelfall entschieden werden.

Jurafunk Nr. 134 – Von Safe Harbor zu Privacy Shield: Recap

Am 1. August 2016 soll die Unsicherheit ein Ende haben, die sich daraus ergeben hat, dass der EuGH im Herbst 2015 das „Safe Harbor“-Abkommen für unwirksam erklärt hat. Die Nachfolgeregelung namens „Privacy Shield“ tritt endlich in Kraft. Grund genug für Ihre „Agents of Privacy-S.h.i.e.l.d.“, Henry Krasemann und Stephan Dirks, das Thema in der 134. Folge unseres Kieler Partnerpodcasts zu beleuchten.
Zum Podcast hier entlang bitte.

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit geht gegen Facebooks Klarnamenpflicht vor (Update)

Ob’s ein Abschiedsgeschenk für den frisch geschiedenen Leiter des Unabhängigen Landeszentrums für den Datenschutz in Schleswig-Holstein (ULD) war? Der Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI), Prof. Dr. Johannes Caspar, geht derzeit im Wege der Ordnungsverfügung gegen die Klarnamenpflicht des Sozialen Netzwerks Facebook vor, wie einer Presseinformation seiner Behörde zu entnehmen ist. Ganz neu ist die „Idee“ nicht. (Update: Die Verfügung liegt uns nun im Volltext vor und ist hier abzurufen)

Mehr erfahren