Wer ist für Facebook-Fanseiten verantwortlich?

14. November 2017

In einem Verfahren zur datenschutzrechtlichen Zulässigkeit von Facebook-Fanseiten vor dem Europäischen Gerichtshof hat der Generalanwalt Yves Bot seine Schlussanträge gestellt. Mit seinen unerwarteten Aussagen sorgte er dabei für Aufsehen.

Fanseite der Wirtschaftsakademie

Dem Fall zugrunde liegt ein Verfahren der Wirtschaftsakademie Schleswig-Holstein gegen das Landeszentrum für Datenschutz Schleswig-Holstein aus dem Jahr 2011. Das Landeszentrum für Datenschutz hatte damals festgestellt, dass Besucher der Facebook-Fanseite der Wirtschaftsakademie nicht auf die Verwendung von Cookies hingewiesen wurden – weder von der Akademie selbst noch von Facebook. Die Aufsichtsbehörde ordnete daher die Schließung der Facebook-Fanseite an.

Die Wirtschaftsakademie ging gegen diese Anordnung gerichtlich vor, sodass letztendlich das Bundesverwaltungsgericht über die Sache zu entscheiden hatte. Die Richter mussten für ihre Entscheidung jedoch auch europarechtliche Fragen beantworten und legten dem Europäischen Gerichtshof daher einige Fragen zur Vorabentscheidung vor. Sie wollten wissen, wer im Fall von Facebook-Fanseiten für die Datenverarbeitung verantwortlich ist, welche Aufsichtsbehörde zuständig ist und ob sich Aufsichtsbehörden untereinander absprechen müssen.

Zu diesen Fragen hat der Generalanwalt nun seine Schlussanträge gestellt. Zwar stellen diese noch keine Entscheidung dar, das Gericht orientiert sich in den meisten Fällen aber stark an den Schlussanträgen der Generalanwälte.

Keine Aussage über Verstoß gegen Datenschutzrecht

Festzuhalten ist zunächst, dass aus den Schlussanträgen nicht hervorgeht, ob wegen des fehlenden Hinweises auf Cookies tatsächlich ein Datenschutzverstoß vorliegt. Vielmehr sind nur Antworten auf die Vorlagefragen des Bundesverwaltungsgerichts enthalten, auf deren Grundlage dieses nun eine Entscheidung über die Rechtmäßigkeit der Fanseiten zum damaligen Zeitpunkt treffen muss.

Zunächst beschäftigt sich der Generalanwalt in seinen Schlussanträgen mit der Frage nach der verantwortlichen Stelle. Im deutschen Datenschutzrecht gibt es gem. § 3 Abs. 7 BDSG grundsätzlich nur 2 Möglichkeiten: entweder man ist für einen Vorgang allein verantwortlich oder gar nicht.

Der Generalanwalt vertritt nun die Auffassung, dass der Begriff der verantwortlichen Stelle im Hinblick auf die Datenschutzrichtlinie europarechtskonform und damit weit auszulegen ist. Er kommt zu dem Schluss, dass auch eine gemeinsame Verantwortlichkeit möglich ist. Hierfür ist keine Kontrolle der Datenverarbeitung durch eine Stelle oder Parität der Stellen notwendig. Entscheidend ist allein eine irgendwie geartete Mitverantwortlichkeit.

Im vorliegenden Fall geht der Generalanwalt von einer Mitverantwortlichkeit des Mutterkonzerns Facebook Inc. aus den USA, der europäischen Tochter Facebook Ireland Ltd. und der Wirtschaftsakademie aus. Letztere ist deshalb mitverantwortlich, weil sie bei Erstellung der Fanseite die Art der Datenerhebung durch Facebook gebilligt hat.

An wen können sich Aufsichtsbehörden wenden und müssen sie sich absprechen?

Zur Beantwortung der Frage, an wen sich die Aufsichtsbehörden bei datenschutzrechtlichen Verstößen auf Facebook-Fanseiten wenden können, ist entscheidend, welches Recht anzuwenden ist. Offiziell erfolgt die Verarbeitung von personenbezogenen Daten auf Facebook in Europa durch die Facebook Ireland Ltd. Die deutsche Tochter Facebook Germany soll nur für Werbung zuständig sein.

Da Werbung nach Ansicht des Generalanwalts untrennbar mit dem Sinn und Zweck der Erhebung von personenbezogenen Daten durch Cookies auf Facebook verbunden ist, ist nach seiner Ansicht auch deutsches Datenschutzrecht anwendbar. Deshalb sind auch die deutschen Datenschutzaufsichtsbehörden zuständig. Diese können sich dabei wegen der Mitverantwortlichkeit sowohl an die Facebook Ireland Ltd. als auch an den Betreiber der Fanseite wenden. Dies folgt nach Ansicht des Generalanwalts daraus, dass in der Datenschutzrichtlinie kein Herkunftslandprinzip und auch kein sogenannter one-stop-shop festgelegt wurden.

Da mehrere Aufsichtsbehörden nebeneinander zuständig sein und sich auch nach ihrer Wahl an jeden der Mitverantwortlichen wenden können, ist eine Absprache zwischen den Behörden nicht notwendig. Auch dies folgt aus dem Fehlen eines Herkunftslandprinzips oder eines one-stop-shop.

DS-GVO schafft Klarheit

Zwar ist davon auszugehen, dass sich der Europäische Gerichtshof den Anträgen seines Generalanwalts im Wesentlichen anschließen wird. Die Entscheidung wird jedoch nur begrenzt Wirkung entfalten. Facebook geht mittlerweile in Bezug auf Cookies datenschutzkonform vor. Außerdem schafft die im Mai 2018 wirksam werdende DS-GVO Klarheit in Bezug auf einige der vorgelegten fragen.

Nach Art. 56 DS-GVO gilt in Zukunft der one-stop-shop, wonach sich die zuständige Aufsichtsbehörde nur noch an den Hauptverantwortlichen wenden kann. In Art. 60 ff. DS-GVO wird außerdem zukünftig die Absprache zwischen Aufsichtsbehörden geregelt, so dass Verantwortliche nicht mehrfach von Anordnungen betroffen sein können.

Als einziges Problem bleibt die Frage nach der Mitverantwortlichkeit relevant, da diese auch in der DS-GVO nicht ausdrücklich geregelt ist. Problematisch wird dabei insbesondere bleiben, an welchen Anknüpfungspunkten eine Mitverantwortlichkeit festgemacht werden soll. Im Fall von Fanseiten stellt sich nämlich die Frage, wie ein Seitenbetreiber eine ordnungsgemäße Datenverarbeitung gegenüber Facebook durchsetzen soll.

Im Falle von Verstößen gegen das Datenschutzrecht dürfen sich Aufsichtsbehörden zukünftig nur noch an Facebook als Hauptverantwortlichen wenden. Genau dies wollte der Generalanwalt mit seinen Anträgen wohl auch deutlich machen.

Schlagwörter: , , , , ,