Passend zum Inkrafttreten der neuen EU-Datenschutzgrundverordnung am 25 Mai 2018 erließ der Gerichtshof der Europäischen Union jüngst ein neues Urteil, in welchem er sich mit der Verantwortlichkeit für den korrekten Umgang mit personenbezogenen Daten auf Facebook befasst. Der Gerichtshof stellte dabei klar, dass neben Facebook selbst auch der Betreiber einer Facebook-Fanpage für die ordnungsgemäße Verarbeitung personenbezogener Daten auf seiner Fanpage haftet. Somit kann bei Verstößen die Datenschutzbehörde des Mitgliedstaats, in dem dieser Betreiber seinen Sitz hat, sowohl gegen ihn als auch gegen Facebook, bzw. dessen Tochtergesellschaften vorgehen (Urteil vom 05.06.2018; Az.: C-210/16).
Sammeln von personenbezogenen Daten über Fanpage auf Facebook-Seite
Ausgangspunkt für die Entscheidung des Gerichtshofs der Europäischen Union war ein Verfahren zwischen dem unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein als Datenschutzbehörde und einer Wirtschaftsakademie-GmbH. Die GmbH betrieb auf Facebook eine Fanseite, auf welcher sie eigene Bildungsdienstleistungen für die Besucher anbot. Das Landesdatenzentrum ordnete in seiner Funktion als Datenschutzbehörde bereits im Jahre 2011 gegenüber der GmbH die Deaktivierung dieser Facebook-Seite an. Begründet wurde die Anordnung damit, dass weder die Wirtschaftsakademie noch Facebook die Besucher der Fanpage darauf hinweisen würden, dass Facebook mittels Cookies personenbezogene Daten erhebt und diese Daten danach verarbeitet.
Tatsächlich können Betreiber von Fanpages auf Facebook mit Hilfe der Funktion „Facebook Insight“, welche ihnen Facebook als nicht abdingbaren Teil des Benutzungsverhältnisses kostenfrei zur Verfügung stellt, anonymisierte statistische Daten über die Nutzer ihrer Seiten erhalten. Diese Daten werden mit Hilfe sogenannter Cookies gesammelt, welche für jeweils zwei Jahre aktiv sind und die Facebook auf der Festplatte des Computers oder einem anderen Datenträger der Besucher der Fanpage speichert.
Gegen diese Deaktivierungs-Anordnung der Datenschutzbehörde klagte die Wirtschaftsakademie zunächst vor dem Verwaltungsgericht Schleswig. Die Klage wurde damit begründet, dass nicht der Betreiber, sondern ausschließlich Facebook selbst für die Verarbeitung der personenbezogenen Daten auf der Seite verantwortlich sei. Schließlich habe die GmbH weder Facebook mit einer von ihr kontrollierten oder beeinflussbaren Datenverarbeitung beauftragt noch könne ihr die Datenverarbeitung durch Facebook anderweitig zugerechnet werden.
Schließlich befasste sich in dritter Instanz das Bundesverwaltungsgericht mit dem Rechtsstreit. Da das Datenschutzrecht aber maßgeblich durch europäische Datenschutzvorgaben bestimmt ist, legte das Bundesverwaltungsgericht zur Lösung des Rechtsstreits seinerseits diverse Auslegungsfragen dem Europäischen Gerichtshof im Rahmen eines Vorabentscheidungsverfahrens gemäß Art. 267 AEUV vor. Im Rahmen dieses Verfahrens urteilte nun der Europäische Gerichtshof.
Facebook und Betreiber der Fan-Seite sind gemeinsam verantwortlich
Zunächst stellten die Richter des Europäischen Gerichtshofs fest, dass außer Zweifel stünde, dass die amerikanische Gesellschaft Facebook bzw. deren irische Tochtergesellschaft Facebook Ireland für die Verarbeitung der personenbezogenen Daten der Facebook-Nutzer verantwortlich sei. Aber auch die klagende GmbH habe als Betreiberin der Fanpage durch die von ihr vorgenommene Parametrierung an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher der Fanpage maßgeblichen Einfluss. Alleine der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutze, könne diesen nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien. Somit sei neben Facebook auch der Betreiber selbst als verantwortlich anzusehen. Dieses Ergebnis entspreche vor allem auch den Vorgaben des Europäischen Datenschutzes, da die gemeinsame Verantwortlichkeit dazu beitrage, einen umfassenderen Schutz der Rechte bezüglich personenbezogener Daten sicherzustellen.
Diese Entscheidung zeigt einmal mehr, dass der Schutz von personenbezogenen Daten eine immer größere Bedeutung erfährt. Spätestens mit Inkrafttreten der neuen Datenschutzgrundverordnung sollten daher auch in der Praxis Maßnahmen in die Wege geleitetet werden, um einen ordnungsgemäßen Umgang mit solchen Daten sicherzustellen. Nur so lassen sich mitunter schmerzhafte Bußgelder und Anordnungen durch Datenschutzbehörden vermeiden. Wenn Sie Fragen zu diesem Thema haben, beraten unsere Anwälte Sie diesbezüglich gerne jederzeit. Kontaktieren Sie uns!