Der Betreiber einer Facebook-Fanpage ist gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich, entschied der EuGH. Die Datenschutzbehörde kann also sowohl gegen ihn als auch gegen die in diesem Mitgliedstaat niedergelassene Tochtergesellschaft von Facebook vorgehen.
Die Wirtschaftsakademie Schleswig-Holstein betreibt eine Fanpage auf Facebook. Die Betreiber von Fanpages können mit Hilfe der Funktion Facebook Insight, die ihnen Facebook als nicht abdingbaren Teil des Benutzungsverhältnisses kostenfrei zur Verfügung stellt, anonymisierte statistische Daten betreffend die Nutzer dieser Seiten erhalten. Diese Daten werden mit Hilfe sog. Cookies gesammelt, die jeweils einen eindeutigen Benutzercode enthalten, der für zwei Jahre aktiv ist und den Facebook auf der Festplatte des Computers oder einem anderen Datenträger der Besucher der Fanpage speichert. Der Benutzercode, der mit den Anmeldungsdaten solcher Nutzer, die bei Facebook registriert sind, verknüpft werden kann, wird beim Aufrufen der Fanpages erhoben und verarbeitet.
Probleme mit der Datenschutzbehörde
Mit Bescheid vom 03.11.2011 ordnete das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein gegenüber der Wirtschaftsakademie an, ihre Fanpage zu deaktivieren. Nach Auffassung des Unabhängigen Landeszentrums für Datenschutz wiesen nämlich weder die Wirtschaftsakademie noch Facebook die Besucher der Fanpage darauf hin, dass Facebook mittels Cookies sie betreffende personenbezogene Daten erhebt und diese Daten danach verarbeitet. Die Wirtschaftsakademie bezweifelte die Zurechnung der Verarbeitung personenbezogener Daten durch Facebook. Vor diesem Hintergrund ersuchte das Bundesverwaltungsgericht den EuGH um Auslegung der Richtlinie 95/46.
Die Entscheidung des EuGH
In seinem Urteil vom 05.06.2018 (C-210/16) stellt der EuGH zunächst klar, dass in der vorliegenden Rechtssache nicht in Zweifel gezogen wird, dass die amerikanische Gesellschaft Facebook und deren irische Tochtergesellschaft Facebook Ireland als „für die Verarbeitung“ der personenbezogenen Daten der Facebook-Nutzer und der Personen, die die auf Facebook unterhaltenen Fanpages besucht haben, „Verantwortliche“ anzusehen sind. Denn diese Gesellschaften entscheiden in erster Linie über die Zwecke und Mittel der Verarbeitung dieser Daten.
EuGH: Beide sind verantwortlich
Sodann erklärt der EuGH, dass ein Betreiber wie die Wirtschaftsakademie als in der Union gemeinsam mit Facebook Ireland für die fragliche Datenverarbeitung verantwortlich anzusehen ist. Der Begriff des ‚für die Verarbeitung Verantwortlichen‘ im Sinne dieser Bestimmung umfasst auch den Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage. Es liegt also eine gemeinsame Verantwortung für die Einhaltung des Datenschutzes von Plattformbetreiber und Seitenbetreiber vor.
(EuGH, PM vom 05.06.2018 / RES JURA Redaktionsbüro (vcd)
