Now loading.
Please wait.

menu

 DEUTSCH | ENGLISH | 中文 

Sie sind hier: Aktuelles / News  / detail
AktuellesNews   detail

News

EuGH bestätigt gemeinsame Verantwortung von Facebook und Fanpage-Betreibern – Praxisfolgen für den Betrieb von Fanpages

Mandanteninformation Gewerblicher Rechtsschutz - 


Facebook bietet die Möglichkeit, auf bestimmten Seiten im Facebook-Kosmos Informationen über Unternehmen, Personen des öffentlichen Lebens oder bestimmte Tätigkeiten bereitzustellen (sog. "Fanpages"). Insbesondere Unternehmen nutzen diese Möglichkeit gerne, um einen werblichen Auftritt auf Facebook zu betreiben. Dabei werden die Daten der Besucher dieser Seiten durch eine von Facebook bereitgestellte Funktionalität („Insight“) ausgewertet, wobei der Betreiber der Fanpage gewisse Zielgruppen-Voreinstellungen vornehmen kann. Aus datenschutzrechtlicher Sicht war schon länger fraglich, wer in diesem Fall für die personenbezogenen Daten der Nutzenden solcher Fanpages verantwortlich ist: Facebook, der Fanpage-Betreiber oder beide?

In der Rechtssache C‑210/16 – Landeszentrum für Datenschutz Schleswig-Holstein gegen Wirtschaftsakademie Schleswig-Holstein GmbH – hat der EuGH am 5. Juni 2018 diese Frage beantwortet und die gemeinsame datenschutzrechtliche Verantwortung von Facebook und Fanpage-Betreibern für personenbezogene Daten der Fanpage-Besucher festgestellt. Demnach können Fanpage-Betreiber künftig nicht mehr allein auf die datenschutzrechtliche Verantwortung von Facebook verweisen, sondern sind selbst mitverantwortlich für die Einhaltung des Datenschutzes gegenüber den Nutzenden ihrer Fanpage.

 

Das Facebook-Urteil hat folglich unmittelbare Auswirkungen auf die Betreiber von Facebook-Fanpages und ist auch deshalb brisant, weil sich die Begründung des EuGH im Grunde auch auf andere soziale Netzwerke oder Verkaufsplattformen übertragen lässt, je nachdem, wie diese technisch gestaltet sind. Es hat daher potenziell über den Einzelfall hinaus weitreichende Folgen für die derzeit verbreiteten Online-Marketingkonzepte.

 

Auch wenn der Fall, der dem EuGH zur Vorabentscheidung vorlag, nun noch endgültig durch das Bundesverwaltungsgericht (BVerwG) entschieden werden muss, folgen aus ihm bereits jetzt praktische Konsequenzen für Fanpage-Betreiber. Hierzu werden nachfolgend zunächst Hintergrund und Gang des Verfahrens geschildert und die Kernargumente des EuGH kurz erläutert (dazu I). Sodann werden die Ausführungen des EuGH auf die Vorgaben der DSGVO zur gemeinsamen Verantwortung übertragen (dazu II.) und einer kritischen Analyse unterzogen (dazu III). Abschließend wird der weitere Gang des Verfahrens aufgezeigt und beleuchtet, welche Handlungserfordernisse und -optionen für Fanpage-Betreiber nach derzeitigem Sachstand bestehen (dazu IV.).

 

I. Hintergrund des Verfahrens und Argumentation des EuGH

 

  1. Hintergrund

 

Hintergrund des Verfahrens ist eine ins Jahr 2011 zurückgehende Auseinandersetzung der Wirtschaftsakademie Schleswig-Holstein mit dem Landeszentrum für Datenschutz Schleswig-Holstein über die von der Wirtschaftsakademie unter der Adresse www.facebook.com/wirtschaftsakademie unterhaltene Fanpage auf Facebook. Hierbei handelt es sich um ein beliebtes und mittlerweile weit verbreitetes Marketinginstrument, das es den Betreibern ermöglicht, mit Hilfe der Funktion „Facebook Insight“ – die ihnen Facebook als (bislang) nicht abdingbaren Teil des Benutzungsverhältnisses kostenfrei zur Verfügung stellt – anonymisierte statistische Daten der Besucher ihrer Seiten zu erhalten. Diese Daten werden mit Hilfe sog. Cookies gesammelt, die jeweils einen eindeutigen Benutzercode enthalten, der für zwei Jahre aktiv ist und den Facebook auf der Festplatte des Computers oder einem anderen Datenträger der Besucher der Fanpage speichert. Der Benutzercode, der mit den Anmeldungsdaten solcher Nutzer, die bei Facebook registriert sind, verknüpft werden kann, wird beim Aufruf einer Fanpage erhoben und verarbeitet.

 

  1. Verfahrensgang

 

Da weder die Wirtschaftsakademie noch Facebook die Besucher der Fanpage über die Erhebung der personenbezogenen Daten mittels Cookies informierten, ordnete das Landeszentrum für Datenschutz Schleswig-Holstein[1] mit Bescheid vom 3. November 2011 die Deaktivierung der Fanpage an.

 

Die Wirtschaftsakademie legte gegen diesen Bescheid zunächst Widerspruch ein, den sie im Wesentlichen damit begründete, dass sie nach dem anwendbaren Datenschutzrecht weder für die Datenverarbeitung durch Facebook noch für die von Facebook gesetzten Cookies verantwortlich sei.

 

Nach Zurückweisung dieses Widerspruchs durch das Landeszentrum für Datenschutz Schleswig-Holstein, erhob die Wirtschaftsakademie beim VG Schleswig Klage gegen den Bescheid und machte geltend, dass ihr die Verarbeitung der personenbezogenen Daten durch Facebook nicht zugerechnet werden könne und sie Facebook im Übrigen auch nicht mit einer von ihr kontrollierten oder beeinflussbaren Datenverarbeitung beauftragt habe.

 

Das Verwaltungsgericht[2] und Oberveraltungsgericht Schleswig[3] schlossen sich dieser Argumentation jeweils an und stellten fest, dass der Betreiber einer Fanpage bei Facebook keine verantwortliche Stelle i.S.v. § 3 Abs. 7 BDSG und der Datenschutz-RL sei. Auch das als Revisionsinstanz angerufene BVerwG schloss sich dieser Argumentation im Ansatz an, betonte aber zugleich, dass der Begriff der verantwortlichen Stelle i.S.v. § 3 Abs. 7 BDSG im Interesse eines wirksamen Persönlichkeitsschutzes grundsätzlich weit und an den Maßstäben des Europarechts auszulegen sei, und ersuchte daher den EuGH um entsprechende Auslegung der Richtlinie 95/46.[4]

  

  1. Argumentation des EuGH

 

Der EuGH bekräftigte in seinem Urteil vom 5. 6.2018 unter Bezugnahme auf die Entscheidung Google Spain[5] zunächst, dass der Begriff des „Verantwortlichen“ unter Berücksichtigung eines wirksamen und umfassenden Schutzes der betroffenen Person weit verstanden werden müsse. Der Gerichtshof stellte weiter fest, dass ein Fanpage-Betreiber, wie die Wirtschaftsakademie, gemeinsam mit Facebook als Verantwortlicher der Datenverarbeitung anzusehen ist.

 

Dabei bekräftigte der EuGH zunächst, dass natürlich nicht in Zweifel gezogen werden könne, dass Facebook "für die Verarbeitung" der personenbezogenen Daten der Facebook-Nutzer und der Personen, die die auf Facebook unterhaltenen Fanpages besucht haben, als "Verantwortlicher" anzusehen sei. Denn Facebook entscheide in erster Linie über die Zwecke und Mittel der Verarbeitung der Daten. Aber auch der Fanpagebetreiber – hier: die Wirtschaftsakademie – sei gemeinsam mit Facebook für die fragliche Datenverarbeitung verantwortlich: Dieser sei jedenfalls durch die von ihnen vorgenommene Parametrierung (u.a. entsprechend des gewünschten Zielpublikums sowie den Zielen der Steuerung und Förderung seiner Tätigkeiten) an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher der Fanpage (aktiv) beteiligt.

Weiter stellte der EuGH zwar klar, dass allein die Nutzung eines sozialen Netzwerks wie Facebook einen Facebook-Nutzer noch nicht für die von diesem Netzwerk vorgenommene Verarbeitung personenbezogener Daten mitverantwortlich mache. Der Betreiber einer auf Facebook unterhaltenen Fanpage gebe jedoch über die einfache Nutzung des Netzwerks hinaus mit der Einrichtung einer Fanseite Facebook erst die Möglichkeit, auf dem Endgerät des jeweiligen Nutzers der Fanpage Cookies zu platzieren, die sich auf diese Fanpage beziehen – und zwar unabhängig davon, ob diese Person über ein Facebook-Konto verfügt (Rn. 35 des Urteils).

 

Zudem erhalte der Fanpage-Betreiber im Rahmen der sog. "Insight-Funktion" von Facebook demografische Daten über seine Zielgruppe, Informationen über den Lebensstil und die Interessen seiner Zielgruppe und geografische Daten, die ihn darüber informieren, wo spezielle Werbeaktionen durchzuführen oder Veranstaltungen zu organisieren sind und ihm ganz allgemein ermöglichen, sein Informationsangebot so zielgerichtet wie möglich zu gestalten (Rn. 37). Zwar würden diese Informationen dem Betreiber der Fanpage von Facebook nur anonymisiert übermittelt. Aber die Statistik beruhe auf der vorhergehenden Erhebung und Verarbeitung der personenbezogenen Daten der Nutzer der Fanpage durch Facebook.

 

Vor diesem Hintergrund sei der Fanpage-betreiber jedenfalls durch die von ihm vorgenommene Parametrierung an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher der Fanpage beteiligt. Allein der Umstand, dass der Fanpage-Betreiber hierbei die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, könne ihn nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien.

 

 

II. Relevanz des Urteils unter dem geltenden Recht – Die Vorgaben der DSGVO zur gemeinsamen Kontrolle

 

Die Entscheidung des EuGH bezieht sich zwar auf die jüngst durch die DSGVO abgelöste Datenschutz-RL. Allerdings lässt sich die vom EuGH festgestellte Mitverantwortung der Seitenbetreiber zwanglos auf die in der DSGVO festgeschriebenen Rechte der Betroffenen und Pflichten der Verarbeiter übertragen.

 

Die DSGVO berücksichtigt das Konzept der gemeinsamen Verantwortlichkeit mehrerer Personen für eine Datenverarbeitung sogar noch stärker als die Datenschutz-RL: Art. 26 DSGVO enthält eine explizite Regelung der gemeinsamen Verantwortlichkeit ("Joint Control"). Danach gilt diejenige natürliche oder juristische Person als Verantwortliche, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.

 

Wie sich bereits dem Wortlaut des Art. 26 Abs. 1 S.1 DSGVO entnehmen lässt, ist eine gemeinsame Verantwortlichkeit nicht auf zwei beteiligte Stellen beschränkt. Dies bestätigt auch die Einschätzung der Art. 29 Datenschutzgruppe, der zufolge der Begriff „gemeinsam“ unterschiedliche Spielarten und Konstellationen erfasst und nicht zwingend eine vollständig gleichberechtigte Entscheidung und Verantwortungstragung erfordert.[6] Gleichwohl setzt eine gemeinsame Verantwortlichkeit voraus, dass verschiedene Parteien im Zusammenhang mit einer spezifischen Verarbeitung entweder über den Zweck oder die wesentlichen Elemente der Mittel entscheiden, die einen für die Verarbeitung Verantwortlichen kennzeichnen, wobei es auf die tatsächlichen Gegebenheiten des Einzelfalls ankommt.[7]

 

Abzugrenzen ist die gemeinsame Verantwortlichkeit von der Auftragsverarbeitung nach Art. 28 DSGVO. Diese ist im Gegensatz zur gemeinsamen Verantwortlichkeit durch eine strikt hierarchische Aufteilung der Verantwortung zwischen dem (übergeordneten) Verantwortlichen, dem Auftraggeber und dem (untergeordneten) Auftragnehmer, dem Auftragsverarbeiter, geprägt.

 

III. Kritik der EuGH-Entscheidung

 

Stellt man die Feststellungen des EuGH den Vorgaben der DSGVO zur Joint Control gegenüber wird deutlich, dass der EuGH seiner Entscheidung ein sehr weites Verständnis des Begriffs der Mitverantwortlichkeit zugrunde legt. Anknüpfungspunkt des EuGH für die Annahme der Mitverantwortlichkeit ist letztlich allein die durch die Fanpage-Betreiber vorgenommene Parametrierung. Ob sich hiermit tatsächlich eine Beteiligung an der Entscheidung über die Zwecke und insbesondere Mittel der Verarbeitung der personenbezogenen Daten der Besucher der Fanpage begründen lässt, ist jedoch in mehrerlei Hinsicht fraglich: Denn Facebook allein entscheidet darüber, ob diese Parametrierung berücksichtigt wird und wie dies geschieht. Zudem ist bereits eine datenschutzrechtlich relevante Verarbeitung personenbezogener Daten durch den Fanpage-Betreiber fragwürdig, da diesem die Daten der Fanpage-Besucher – wie der EuGH ausdrücklich feststellt – nur anonymisiert übermittelt werden.

 

Darüber hinaus hinterlässt das Urteil zahlreiche brisante offene Fragen. Zunächst bleibt völlig unklar, anhand welcher Kriterien das Vorliegen einer gemeinsamen Verantwortlichkeit künftig zu bestimmen ist. Der EuGH stellt hierzu nur fest, dass eine "gemeinsame" Verantwortung nicht zwangsläufig eine "gleichwertige" Verantwortlichkeit der verschiedenen Akteure zur Folge hat: "Vielmehr können diese Akteure in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß in der Weise einbezogen sein, dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist" (vgl. Rn. 43). Dies sagt indes nichts darüber aus, wie eine gemeinsame Verantwortung im Einzelnen ausgestaltet sein soll. Künftig wird es also sehr entscheidend sein, sich bei der Kooperation mit Dritten den geplanten Sachverhalt datenschutzrechtlich sehr genau anzusehen, um die jeweiligen Verantwortlichkeiten abschätzen und die entsprechenden Vereinbarungen (Auftragsverarbeitungsvertrag oder Vereinbarung über gemeinsame Verantwortlichkeit) treffen zu können.

 

In diesem Zusammenhang stellt sich weiter die Frage, ob und inwieweit sich die Rechtsprechung des EuGH auf andere soziale Netzwerke übertragen lässt: So bieten manche soziale Netzwerke ihren (individuellen) Nutzern statistische Funktionen ähnlich der "Insight-Funktion" automatisch an, auch wenn die Parametrierung dort nicht so deutlich ist wie bei Facebook. Begründet dies ebenfalls eine gemeinsame Verantwortlichkeit der individuellen Nutzer? Unklar ist darüber hinaus, ob die Rechtsprechung auch auf Verkaufsplattformen anwendbar ist, die ihren Nutzern die Gelegenheit geben, eine eigene Seite zu gestalten und den Seitenbesuch statistisch zu überwachen. Hier wird die Beantwortung der Frage nach der Verantwortlichkeit letztlich von der konkreten technischen Ausgestaltung des jeweiligen Angebots im Einzelfall abhängig sein.

 

IV. Ausblick und Handlungsoptionen für Fanpage-Betreiber

 

Das Urteil des EuGH zu Facebook-Fanpages stellt die Betreiber solcher Fanpages vor große Herausforderungen, zumal die Konsequenzen und Reichweite des Urteils derzeit noch nicht absehbar sind.

 

  1. Viele offene Fragen

 

Der EuGH hat in seinem Urteil lediglich die Mitverantwortlichkeit von Fanpage-Betreibern bestätigt, nicht abschließend geklärt ist allerdings, ob Fanpages inhaltlich gegen die einschlägigen Datenschutzgesetze verstoßen. Zudem ist offen, ob die Untersagungsanordnung des Landeszentrums für Datenschutz Schleswig-Holstein einer Verhältnismäßigkeitsprüfung standhält. In diesem Zusammenhang ist insbesondere zu klären, ob Datenschutzbehörden nicht vorrangig gegen Facebook anstatt gegen die Fanpage-Betreiber vorgehen müssen und, ob sich Fanpage-Betreiber durch Nachweis ihrer Bemühungen zur Einholung entsprechender Informationen und Auskünfte von Facebook über den Umfang der Datenverarbeitung der über die Fanpage generierten Daten gegenüber den Datenschutzbehörden exkulpieren können. Fraglich ist zudem, ob die Datenschutzbehörden überhaupt unmittelbar zur Anordnung der Sperrung der Fanpages befugt sind oder ob den Fanpage-Betreibern als milderes Mittel nicht zunächst die Möglichkeit einer Umgestaltung/Anpassung ihres Angebotes gegeben werden muss. Mit diesen Fragen wird sich das Bundesverwaltungsgericht befassen.

 

  1. Bußgelder derzeit unwahrscheinlich, Abmahnungen zurückweisen

 

Ob und inwieweit Datenschutzbehörden anlässlich des EuGH-Urteils nun Bußgeldverfahren gegen Fanpage-Betreiber einleiteten, lässt sich zum jetzigen Zeitpunkt zwar nicht mit Sicherheit prognostizieren, erscheint mit Blick auf die angesprochenen offenen Fragen aber unwahrscheinlich, solange das Bundesveraltungsgericht den Fall nicht abschließend entschieden hat. Von Seiten der Datenschutzbehörden der Länder ist bereits eine Art "Handreichung" angekündigt, wie diese die Anwendung des "Fanpage-Urteils" in der Praxis einschätzen.

 

Nicht auszuschließen, wenngleich ebenfalls unwahrscheinlich, ist allerdings, dass es Versuche geben wird, mit der EuGH-Entscheidung per Abmahnung wirtschaftliche Interessen zu verfolgen. Solche Abmahnungen sollten unter Inanspruchnahme anwaltlicher Hilfe mit Hinweis auf das noch laufende verwaltungsgerichtliche Verfahren zurückgewiesen und ggf. der Streit aufgenommen werden, nicht zuletzt deshalb, weil derzeit insbesondere noch unklar ist, ob und inwieweit DSGVO-Verstöße von Mittbewerbern abgemahnt werden können. Keinesfalls sollte vorschnell und ohne Beiziehung rechtlichen Beistandes eine Unterlassungserklärung abgegeben werden.  

 

  1. Risikoabwägung und Handlungsoptionen
  1. Was den weiteren Betrieb von Fanpages betrifft, sollte unter wirtschaftlichen Gesichtspunkten eine Risikoabwägung erfolgen, unter Berücksichtigung der Bedeutung des Auftritts für die Unternehmensdarstellung und der möglichen Unwägbarkeiten, die durch eine Abmahnung oder eine Inanspruchnahme durch die Behörden entstehen können.
  1. Sofern die Fanpage keinen nennenswerten Beitrag zum Unternehmensauftritt liefert, erscheint es vertretbar, sie bis zur endgültigen Entscheidung durch das Bundesverwaltungsgericht offline zu nehmen. Trägt die Fanpage hingegen maßgeblich zum Außenauftritt des Unternehmens bei, ist es ebenso nachvollziehbar, diese aufrecht zu halten. Nicht zuletzt mit Blick auf die abmahnungsrechtlichen Risiken, erscheint dabei eine offensive Informationsstrategie der Betreiber einer Facebook-Fanpage ratsam, im Rahmen derer die Besucher darauf hingewiesen werden, welche Informationen Facebook dem Betreiber übermittelt und dass Facebook weitere, dem Betreiber nicht bekannte Daten erhebt.
  1. Zudem sollten Fanpage-Betreiber, Facebook proaktiv zur Information und Aufklärung über den Umfang der Datenverarbeitung der über die Fanpage generierten Daten und zum Abschluss einer Vereinbarungen über die „gemeinsame Verantwortlichkeit“ i.S.v. Art 26 DSGVO auffordern und dies dokumentieren. In diesen Verträgen, die die DSGVO vorschreibt, muss geregelt werden, wer welche Verpflichtung gemäß der DSGVO erfüllt, insbesondere wer für die Datenschutzinformationen und für die Beantwortung von Auskunfts- und Löschungsersuchen zuständig ist. Entsprechende Anfragen bei Facebook sollten aus Nachweisgründen dokumentiert und archiviert werden.

 


[1] Die nach der Datenschutz-Richtlinie 95/46 ("Datenschutz-RL") und den deutschen Umsetzungsgesetzen für die Überwachung der Anwendung der von Deutschland zur Umsetzung dieser Richtlinie erlassenen Vorschriften im Gebiet des Bundeslandes Schleswig-Holstein zuständige Aufsichtsbehörde.

[2] VG Schleswig, Urteil vom 9.10.2013 - 8 A 14/12, ZD 2014, 51.

[3] OVG Schleswig, Urteil vom 4.9.2014 - 4 LB 20/13, ZD 2014, 643.

[4] BVerwG, Beschl. v. 25.2.2016 -1 C 28.14, ZD 2016, 393.

[5] Urt. v. 13.5.2014 – Rs. C-131/12, ZD 2014, 350.

[6] Art. 29-Datenschutzgruppe, WP 169, S.22.

[7] Art. 29-Datenschutzgruppe, WP 169, S.22, 23.

DATEIEN:
SZA_Mandanteninfo_facebook.pdf 195 KB