Die Schlussanträge des Generalanwalts haben es bereits vermuten lassen, nun hat auch der EuGH mit Urteil vom 05.06.2018 eine Mitverantwortlichkeit von Betreibern sog. Fanpages auf dem sozialen Netzwerk Facebook für mögliche datenschutzrechtliche Verstöße des Plattformbetreibers angenommen. 1Rs. C-210/16, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD)/Wirtschaftsakademie Schleswig-Holstein GmbH, abrufbar im Volltext ...continue

1. Sachverhalt und Hintergrund

Bereits im Jahr 2011 hat das ULD u.a. die Wirtschaftsakademie Schleswig Holstein GmbH aufgefordert, die von dieser auf Facebook betriebenen Fanseiten zu löschen, weil das Unternehmen – nach Ansicht des ULD – eine Mitverantwortlichkeit für die von Facebook begangenen Datenschutzverstöße träfe. Die Betreiber der Fanseiten wandten sich gegen die entsprechende Untersagungsverfügung; die Verfahren fanden vor dem VG und OVG Schleswig sowie dem BVerwG statt, welches den Rechtsstreit zur Vorabentscheidung dem EuGH vorlegte. Während sich das VG und OVG Schleswig noch im Ergebnis der Ansicht des ULD angeschlossen haben, befand das BVerwG, der Betreiber der Fanpages könne mangels Einflusses auf die rechtswidrige Datenverarbeitung durch die irische Facebook Ltd. nicht zu unmöglichen Handlungen verpflichtet werden. 2BVerwG, Beschl. v. 25.02.2016, Az. 1 C 28.14, abrufbar im Volltext unter ...continue Der zuständige Generalanwalt am EuGH gelangte demgegenüber in seinen Schlussanträgen v. 24.10.2017 3Abrufbar unter ...continue zu der Auffassung, die datenschutzrechtliche Mitverantwortlichkeit der Seitenbetreiber sei zu bejahen, weil diese die Möglichkeit besäßen, ihre Fanpages zu löschen und mithin auch die Datenverarbeitung bei Facebook „mit einem Klick“ vollumfänglich zu beenden. Das ermögliche ihnen auf diesem Wege eine Einflussnahme auf die automatisierten Vorgänge des Plattformbetreibers.

2. Entscheidung des EuGH

Der Auffassung des Generalanwalts und der mit der Sache erstbefassten Instanzgerichten folgt nun auch der EuGH. Dieser vertritt neben der Zuständigkeit deutscher Datenschutzbehörden für Fälle wie den entschiedenen 4Vgl. Rn. 45 ff. der dargestellten Entscheidung. eine weite Auslegung des – noch in der hierfür maßgeblichen Datenschutzrichtlinie RL 95/46/EG als solchen bezeichneten – „datenschutzrechtlich Verantwortlichen“ 5Vgl. Rn. 28.. Begründet wird das mit einem umfassenden Schutz der durch die Datenverarbeitung Betroffenen. Zur derzeit geltenden DSGVO ergeben sich keine inhaltlichen Unterschiede.

Das Gericht stellt in seiner Entscheidung maßgeblich auf die Analysemöglichkeiten des Fanpage-Betreibers ab, die ihm durch die Eröffnung seiner Seite von Facebook eingeräumt werden. So platziere Facebook – wie im entsprechend vor Einrichtung der Seite auch abzuschließenden Vertrag mit dem Dienst sowie in den zugehörigen Nutzungsbedingungen beschrieben – auf dem Gerät jedes einzelnen Besuchers automatisch und für die Dauer von zwei Jahren mehrere Cookies zur Analyse des Nutzerverhaltens – dies auch unabhängig davon, ob es sich bei dem Seitenaufrufer um ein Facebook-Mitglied handle oder nicht. 6Vgl. Rn. 33. Hierdurch könne der Fanpage-Betreiber von Facebook zur Auswertung und Anpassung seines Werbeverhaltens zumindest potenziell insbesondere demografische Daten über seine Zielgruppe verlangen wie z.B. über deren Alter, Geschlecht, Beziehungsstatus und berufliche Situation. 7Vgl. Rn. 37.

Schließlich führt der EuGH noch aus, dass die gemeinsame Verantwortlichkeit nicht zwangsläufig eine gleichwertige Verantwortlichkeit bedeuten müsse, vielmehr könne eine Differenzierung in „verschiedene Phasen“ und in „unterschiedlichem Ausmaß“ in der Weise bestehen, dass „der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist.“ 8Vgl. Rn. 43. Eine „höhere Verantwortlichkeit“ der Fanpage-Betreiber sieht das Gericht jedenfalls in Bezug auf Nicht-Mitglieder des sozialen Netzwerks, nachdem hierbei die – von den nationalen Gerichten noch auf ihre Rechtmäßigkeit zu prüfende – Datenverarbeitung durch die Cookie-Setzung automatisch mit dem Seitenaufruf ausgelöst werde. 9Vgl. Rn. 41.

3. Auswirkungen auf Unternehmen

Zunächst müssen sämtliche Unternehmen, die eine oder mehrere Fanpage(s) auf Facebook betreiben, das damit verbundene Risiko abwägen und überlegen, diese – zumindest nach entsprechendem Abschluss der Verfahren vor den nationalen Gerichten in dieser Sache – möglicherweise sogar vollständig zu löschen. Die Seitenbetreiber trifft zunächst in jedem Fall eine umfassende Informationspflicht in Bezug auf die Datenverarbeitung, was schon für sich genommen aufgrund des eigenen Informationsdefizits eine vermutlich unlösbare Herausforderung darstellen dürfte. Daneben ist noch zu beachten, dass jeder gemeinsam Verantwortliche im Außenverhältnis sowohl Ansprechpartner des Betroffenen für die Wahrnehmung seiner ihm zustehenden Rechte nach der Datenschutz-Grundverordnung (Auskunft, Löschung, usw.) bleibt als auch als Gesamtschuldner für sämtliche Datenschutzverstöße und deren mögliche Folgen (neben Unterlassungs-, Beseitigungs- und Schadensersatzansprüchen auch Bußgeldsanktionen durch die Aufsichtsbehörden) haftet. Abzuwarten bleibt daher, wie Facebook und andere Online-Plattformen auf die Entscheidung reagieren und ob und ggf. wie diese ihre Geschäftsmodelle anpassen.

Des Weiteren wirkt sich das dargestellte Urteil des EuGH auch in einem übergeordneten Kontext auf mehrstufige Informationsanbieterverhältnisse, insbesondere im Internet, aus. 10So schon Heckmann, in: Heckmann, jurisPK-Internetrecht, 5. Aufl. 2017, Kap. 9 1. Überarbeitung, Rn. 672 m.w.N. Teilweise wird diesem daher bereits jetzt das Potenzial beigemessen, eine der zentralsten Entscheidungen des Datenschutzrechts darzustellen und das „Internet in der heutigen Form radikal [zu] verändern“. 11Vgl. Schwenke, Blogbeitrag auf allfacebook.de v. 05.06.2018, abrufbar unter https://allfacebook.de/policy/eugh-urteil, zuletzt abgerufen am ...continue

Referenzen   [ + ]

1. Rs. C-210/16, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD)/Wirtschaftsakademie Schleswig-Holstein GmbH, abrufbar im Volltext unter http://curia.europa.eu/juris/document/document.jsf?text=&docid=202543&pageIndex=0&doclang=de&mode=req&dir=&occ=first&part=1&cid=321907, zuletzt abgerufen am 06.06.2018.
2. BVerwG, Beschl. v. 25.02.2016, Az. 1 C 28.14, abrufbar im Volltext unter http://www.rechtsprechung-im-internet.de/jportal/portal/t/19ke/page/bsjrsprod.psml?pid=Dokumentanzeige&showdoccase=1&js_peid=Trefferliste&documentnumber=1&numberofresults=10908&fromdoctodoc=yes&doc.id=WBRE201600225&doc.part=L&doc.price=0.0&doc.hl=1#focuspoint, zuletzt abgerufen am 06.06.2018.
3. Abrufbar unter http://curia.europa.eu/juris/document/document.jsf?text=&docid=195902&pageIndex=0&doclang=DE&mode=lst&dir=&occ=first&part=1&cid=887410, zuletzt abgerufen am 06.06.2018.
4. Vgl. Rn. 45 ff. der dargestellten Entscheidung.
5. Vgl. Rn. 28.
6. Vgl. Rn. 33.
7. Vgl. Rn. 37.
8. Vgl. Rn. 43.
9. Vgl. Rn. 41.
10. So schon Heckmann, in: Heckmann, jurisPK-Internetrecht, 5. Aufl. 2017, Kap. 9 1. Überarbeitung, Rn. 672 m.w.N.
11. Vgl. Schwenke, Blogbeitrag auf allfacebook.de v. 05.06.2018, abrufbar unter https://allfacebook.de/policy/eugh-urteil, zuletzt abgerufen am 06.06.2018.