News

EuGH: Facebook-Fanpage – Verantwortliche für Datenschutz

Bearbeiter: Sabine Kriwanek / Bearbeiter: Barbara Tuma

Dt. Fall. Der Betreiber einer Facebook-Fanpage ist gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich, allerdings in unterschiedlichem Ausmaß und je nach Phase der Datenverarbeitung.

RL 95/46/EG: Art 2, Art 4, Art 28

Der bloße Umstand der Nutzung eines sozialen Netzwerks wie Facebook macht für sich genommen einen Facebook-Nutzer zwar nicht für die Verarbeitung personenbezogener Daten mitverantwortlich, die von diesem Netzwerk vorgenommen wird. Der Betreiber einer Fanpage auf Facebook gibt jedoch mit der Einrichtung einer solchen Seite Facebook die Möglichkeit, auf dem Computer oder jedem anderen Gerät der Besucher seiner Fanpage Cookies zu platzieren, unabhängig davon, ob diese Person über ein Facebook-Konto verfügt. Die Einrichtung einer Fanpage von Seiten ihres Betreibers impliziert eine Parametrierung (ua entsprechend seinem Zielpublikum und zur Steuerung bzw Förderung seiner Tätigkeiten), die sich auf die Verarbeitung personenbezogener Daten auswirkt: Mit Hilfe von Filtern kann der Betreiber die Kriterien festlegen, nach denen Facebook für ihn die Statistiken betr die Besuche seiner Fanpage erstellt. Der Betreiber einer Fanpage auf Facebook ist daher als in der Union gemeinsam mit Facebook (Ireland) für diese Verarbeitung Verantwortlicher iSv Art 2 Buchst d RL 95/46/EG [zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr] einzustufen.

Das Bestehen einer gemeinsamen Verantwortlichkeit hat aber nicht zwangsläufig eine gleichwertige Verantwortlichkeit der verschiedenen Akteure zur Folge. Vielmehr können diese Akteure in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß in der Weise einbezogen sein, dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist.

EuGH 5. 6. 2018, C-210/16, Wirtschaftsakademie Schleswig-Holstein

Zu einem deutschen Vorabentscheidungsersuchen.

Hinweis:

Die hier noch anzuwendende RL 95/46/EG wurde durch die VO (EU) 2016/679 (Datenschutz-Grundverordnung) aufgehoben.

Entscheidung

Offenbar schließt jede Person, die eine Fanpage auf Facebook einrichten möchte, mit Facebook Ireland einen speziellen Vertrag über die Eröffnung einer solchen Seite und unterzeichnet dazu die Nutzungsbedingungen dieser Seite einschließlich der entsprechenden Cookie-Richtlinie, was zu prüfen Sache des nationalen Gerichts ist.

Die vorliegende Datenverarbeitung erfolgt im Wesentlichen in der Weise, dass Facebook auf dem Computer (oder jedem anderen Gerät) der Besucher der Fanpage Cookies platziert, die Informationen in den Web-Browsern speichern und für die Dauer von zwei Jahren wirksam bleiben, sofern sie nicht gelöscht werden. Außerdem geht aus den Akten hervor, dass in der Praxis Facebook die in den Cookies gespeicherten Informationen empfängt, aufzeichnet und verarbeitet. Außerdem können andere Stellen wie Facebook-Partner oder sogar Dritte „auf den Facebook-Diensten Cookies verwenden, um [diesem sozialen Netzwerk direkt] bzw den auf Facebook werbenden Unternehmen Dienstleistungen bereitzustellen“.

Diese Verarbeitungen personenbezogener Daten aus den Cookies ermöglichen zum einen Facebook, sein System der Werbung zu verbessern, und zum anderen dem Betreiber der Fanpage, für die Steuerung der Vermarktung seiner Tätigkeit Statistiken zu erhalten, die Facebook aufgrund der Besuche der Seite erstellt; dadurch kann der Betreiber der Fanpage zB die Profile der Besucher kennenlernen, um ihnen relevantere Inhalte und Funktionen anbieten zu können.

Der Betreiber einer Fanpage auf Facebook gibt Facebook mit der Einrichtung der Seite die Möglichkeit, auf dem Computer oder jedem anderen Gerät des Besuchers der Fanpage Cookies zu platzieren, unabhängig davon, ob diese Person über ein Facebook-Konto verfügt. Die Einrichtung einer Fanpage von Seiten ihres Betreibers impliziert eine Parametrierung, die sich auf die Verarbeitung personenbezogener Daten zum Zweck der Erstellung der Statistiken der Besuche der Fanpage auswirkt. Die entsprechende Funktion „Facebook Insight“ wird dem Betreiber der Fanpage von Facebook als nicht abdingbaren Teil des Benutzungsverhältnisses kostenfrei zur Verfügung gestellt. Mit Hilfe von Filtern kann der Betreiber die Kriterien festlegen, nach denen die Statistiken erstellt werden sollen, und sogar die Kategorien von Personen bezeichnen, deren personenbezogene Daten von Facebook ausgewertet werden. Folglich trägt der Betreiber der Fanpage zur Verarbeitung der personenbezogenen Daten der Besucher seiner Seite bei.

Insbesondere kann der Fanpage-Betreiber demografische Daten über seine Zielgruppe – und damit die Verarbeitung dieser Daten – verlangen, so ua Tendenzen in den Bereichen Alter, Geschlecht, Beziehungsstatus und berufliche Situation, Informationen über den Lebensstil und die Interessen seiner Zielgruppe und Informationen über die Käufe und das Online-Kaufverhalten der Besucher seiner Seite, die Kategorien von Waren oder Dienstleistungen, die sie am meisten interessieren, sowie geografische Daten, die ihn darüber informieren, wo spezielle Werbeaktionen durchzuführen oder Veranstaltungen zu organisieren sind, und ihm ganz allgemein ermöglichen, sein Informationsangebot so zielgerichtet wie möglich zu gestalten.

Zwar werden die von Facebook erstellten Besucherstatistiken ausschließlich in anonymisierter Form an den Betreiber der Fanpage übermittelt, die Erstellung dieser Statistiken beruht jedoch auf der vorhergehenden Erhebung – durch die Cookies – und der Verarbeitung der personenbezogenen Daten der Besucher für diese statistischen Zwecke. Bei einer gemeinsamen Verantwortlichkeit mehrerer Betreiber für dieselbe Verarbeitung verlangt die RL 95/46/EG jedenfalls nicht, dass jeder Zugang zu den betreffenden personenbezogenen Daten hat.

Der Betreiber einer Fanpage auf Facebook (wie hier die Wirtschaftsakademie) ist durch die von ihm vorgenommene Parametrierung an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt und als in der Union gemeinsam mit Facebook Ireland für diese Verarbeitung Verantwortlicher iSv Art 2 Buchst d RL 95/46/EG einzustufen.

Der Umstand, dass der Betreiber der Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, kann ihn nämlich von seinen Verpflichtungen betr den Schutz personenbezogener Daten nicht befreien und hinsichtlich der Besucher der Fanpage, die über kein Benutzerkonto bei Facebook verfügen, erscheint dem EuGH im Übrigen die Verantwortlichkeit des Betreibers der Fanpage hinsichtlich der Verarbeitung der personenbezogenen Daten dieser Personen noch höher, weil das bloße Aufrufen der Fanpage automatisch die Verarbeitung ihrer personenbezogenen Daten auslöst.

Die Anerkennung einer gemeinsamen Verantwortlichkeit des Betreibers des sozialen Netzwerks und des Betreibers einer Fanpage bei diesem Netzwerk trägt nach Ansicht des EuGH dazu bei, entsprechend den Anforderungen der RL 95/46/EG einen umfassenderen Schutz der Rechte sicherzustellen, über die die Personen verfügen, die eine Fanpage besuchen. Der Grad der Verantwortlichkeit eines jeden von ihnen ist dann unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen.

Der EuGH hat für Recht erkannt:

1.Art 2 Buchst d der RL 95/46/EG des Europäischen Parlaments und des Rates vom 24. 10. 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist dahin auszulegen, dass der Begriff des „für die Verarbeitung Verantwortlichen“ iS dieser Bestimmung den Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage umfasst.
2.Die Art 4 und 28 der RL 95/46/EG sind dahin auszulegen, dass dann, wenn ein außerhalb der Europäischen Union ansässiges Unternehmen mehrere Niederlassungen in verschiedenen Mitgliedstaaten unterhält, die Kontrollstelle eines Mitgliedstaats zur Ausübung der ihr durch Art 28 Abs 3 dieser RL übertragenen Befugnisse gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats gelegenen Niederlassung dieses Unternehmens auch dann befugt ist, wenn nach der konzerninternen Aufgabenverteilung zum einen diese Niederlassung allein für den Verkauf von Werbeflächen und sonstige Marketingtätigkeiten im Hoheitsgebiet dieses Mitgliedstaats zuständig ist und zum anderen die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten für das gesamte Gebiet der Europäischen Union einer in einem anderen Mitgliedstaat gelegenen Niederlassung obliegt.
3.Art 4 Abs 1 Buchst a und Art 28 Abs 3 und 6 der RL 95/46/EG sind dahin auszulegen, dass die Kontrollstelle eines Mitgliedstaats, wenn sie beabsichtigt, gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats ansässigen Stelle wegen Verstößen gegen die Vorschriften über den Schutz personenbezogener Daten, die von einem Dritten begangen wurden, der für die Verarbeitung dieser Daten verantwortlich ist und seinen Sitz in einem anderen Mitgliedstaat hat, die Einwirkungsbefugnisse nach Art 28 Abs 3 dieser RL auszuüben, zuständig ist, die Rechtmäßigkeit einer solchen Datenverarbeitung unabhängig von der Kontrollstelle des letztgenannten Mitgliedstaats zu beurteilen und ihre Einwirkungsbefugnisse gegenüber der in ihrem Hoheitsgebiet ansässigen Stelle auszuüben, ohne zuvor die Kontrollstelle des anderen Mitgliedstaats um ein Eingreifen zu ersuchen.
Artikel-Nr.
Rechtsnews Nr. 25515 vom 06.06.2018