WAK ./. ULD – Finale vor dem Bundesverwaltungsgericht am 11.9. um 11 Uhr

Das unabhängige Landeszentrum für den Datenschutz Schleswig-Holstein (ULD) gegen die Wirtschaftsakademie Schleswig Holstein (WAK-SH) und (indirekt) die Facebook Fanpages: Ein bisschen habe ich das Gefühl, dass mich dieses Verfahren schon mein halbes Berufsleben lang begleitet. Und wenn ich mal nachrechne ergibt sich relativ schnell: Es begleitet mich tatsächlich schon mein halbes Berufsleben (Aber fragen Sie dazu erst mal den rüstigen ULD-Rentner Thilo Weichert, der die ganze Sache ins Rollen brachte). Am 11.9. folgt nun die wohl finale mündliche Verhandlung vor dem Bundesverwaltungsgericht. Ein schöner Anlass, die Diskussion um die Fanpages noch einmal Revue passieren zu lassen.

Mehr erfahren

EuGH entscheidet (vorab) in Sachen ULD ./. WAK SH (“Facebook Fanpages”, EuGH Rechtssache C‑210/16)

Ein bisschen roch es schon danach, nachdem der Generalanwalt beim EuGH, Yves Bot, in Sachen ULD ./. WAK Schleswig-Holstein sein Schlussgutachten vorgelegt hatte. Nun ist es amtlich: Das unabhängige Landeszentrum für den Datenschutz in Schleswig Holstein (ULD) erlangt (zumindest) in einem Teilaspekt einen Etappensieg in dem Rechtsstreit über die Rechtmäßigkeit von Facebook-Fanpages, der bereits seit 2011 andauert und bei dem es um Datenschutzverstöße durch die Facebook-Reichweitenanalyse “Insights” geht. Der EuGH hat am 5.6.18 über verschiedene Vorlagefragen entschieden, auf die es in dem derzeit beim Bundesverwaltungsgericht anhängigen Verfahren ankommt. Allerdings dürften die Sektkorken beim ULD wohl nicht allzu laut knallen.

Die wohl wichtigste Frage, nämlich die danach, inwieweit neben Facebook auch der Betreiber einer Fanpage selbst verantworlich ist für die Datenverarbeitung, die auf Seiten von Facebook durchgeführt wird, bejaht das Gericht:

Nach alledem ist auf die erste und die zweite Frage zu antworten, dass Art. 2 Buchst. d der Richtlinie 95/46 dahin auszulegen ist, dass der Begriff des „für die Verarbeitung Verantwortlichen“ im Sinne dieser Bestimmung den Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage umfasst.

Allerdings: Der EuGH bejaht ebenfalls die Frage, ob die Datenschutzbehörde – hier: Das ULD – gegen Facebook Germany als Inländische Niederlassung vorgehen konnte, wenn Datenschutzverstöße der Konzernmutter festgestellt wurden. Hieran konnte man zweifeln, da am Hamburger Sitz von Facebook Germany (angeblich) nur der Verkauf von Werbeflächen uns sonstige Marketingaktivitäten entfaltet wurden. Der EuGH stellt hier fest: Das ULD konnte sehr wohl auch gegen diese Niederlassung vorgehen.

Das klingt erst einmal gut, muss allerdings gerade keine gute Nachricht für das ULD sein. Denn das Bundesverwaltungsgericht hatte schon in dem Vorabentscheidungsersuchen darauf hingewiesen, dass:

In dem Fall, dass im Licht dieser Antwort festgestellt werden sollte, dass das ULD die behaupteten Verstöße gegen das Recht auf Schutz der personenbezogenen Daten beenden könne, indem es eine Maßnahme gegen Facebook Germany erlasse, dieser Umstand das Vorliegen eines Ermessensfehlers bezüglich des angefochtenen Bescheids belegen könnte, da dieser dann zu Unrecht gegen die Wirtschaftsakademie erlassen worden wäre.

Mit anderen Worten: Das Bundesverwaltungsgericht könnte sich nun auf den Standpunkt stellen, dass das ULD gegen Facebook selbst vorgehen konnte. Und wenn es dies konnte, dann musste es dies eventuell auch. Und damit könnte das Vorgehen des ULD dann doch wieder rechtswidrig gewesen sein.

Wie geht es jetzt weiter?

Der EuGH hat den Rechtsstreit heute nicht entschieden – sondern nur einzelne Fragen, die das im Moment mit dem eigentlichen Verfahren befasste Gericht, also das Bundesverwaltungsgericht – für maßgeblich hält. Wann dieses nun entscheidet, und noch viel wichtiger: Wie es entscheiden wird, ist heute meiner Ansicht nach nicht viel klarer geworden.

Welche Folgen hat das Urteil sonst noch?

Wie die meisten mitbekommen haben, weil es vom “Anwaltsblatt” bis zur Tagesschau alle wichtigen Medien verbreitet haben, gilt seit 25. Mai die Datenschutz-Grundverordnung (DSGVO). So könnte man also auf die Idee kommen, dass die Entscheidung, die auf der Grundlage des alten Rechts – nämlich der Datenschutzrichtlinie 95/46 EU – ergangen ist, nur noch rechtsgeschichtlichen Wert hat. Dies ist aber nicht der Fall, denn hinsichtlich der Verantwortlichkeit ergeben sich gerade keine Änderungen zwischen altem und neuen Recht. Und das bedeutet wohl, dass jeder Nutzer jedenfalls von beruflich genutzten Social Media Profilen zukünftig für die Datenverarbeitung(sverstöße) des jeweiligen Anbieters (mit)verantwortlich ist. Oder, um es mit den Worten des hochgeschätzten Kollegen Thomas Schwenke zu sagen

(Kleine Einschränkung hierzu: Für private Accounts gilt dies aber jedenfalls “möglicherweise” nicht, da die Anwendung der DSGVO in Bezug auf den Profilinhaber insoweit jedenfalls fraglich ist, so steht das in Art. 2 Abs. 2c DSGVO in Verbindung mit Erwägungsgrund 18).

Verweise: