Datenschutzrechtliche Verantwortlichkeit für Facebook-Fanpages

Der Europäische Gerichtshof hat mit Urteil vom 05.06.2018 - C- 210/16 die Frage entschieden, ob für die Datenverarbeitung durch eine Fanpage auf Facebook neben Facebook Ireland auch der jeweilige Betreiber der Fanpage verantwortlich ist. Ausgangspunkt war ein Bescheid des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein, der der Wirtschaftsakademie Schleswig-Holstein GmbH aufgab, eine auf der Internetseite des sozialen Netzwerks Facebook unterhaltene Fanpage zu deaktivieren. Hintergrund der Anweisung war, dass Facebook Daten der Besucher der Fanseite über Cookies auf den Datenträgern der Besucher speichert und diese anonymisiert an den Betreiber mithilfe der Funktion Facebook Insight, die Facebook als nicht abdingbaren Teil des Benutzungsverhältnisses kostenfrei zur Verfügung stellt, weitergibt.

Das Verwaltungsgericht Schleswig, Urteil vom 09.10.2013 - 8 A 14/12 und das Oberverwaltungsgericht Schleswig, Urteil vom 04.09.2014 - 4 LB 20/13 hatten eine datenschutzrechtliche Mitverantwortlichkeit des Betreibers von Fanseiten für eine Datenerhebung durch Facebook verneint. Hiervon ging auch das Bundesverwaltungsgericht aus, legte die Frage aber dem Europäischen Gerichtshof zur Klärung vor (Beschluss vom 25.02.2016 – BVerwG 1 C 28.14).

Der Europäische Gerichtshof folgte dieser Auffassung nicht. Der Begriff des „für die Verarbeitung Verantwortlichen“ in Art. 2 lit. b) der Datenschutzrichtlinie 95/46/EG sei weit definiert und umfasse jede natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Aus der Regelung ergebe sich, dass es mehrere an einer Verarbeitung beteiligte Akteure geben könne, wobei dann jeder von ihnen den Datenschutzvorschriften unterliege. Zwar entscheide in erster Linie die Facebook Ireland über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Facebook-Nutzer und der Personen, die die auf Facebook unterhaltenen Fan-Pages besucht haben. Allerdings gebe der Betreiber einer Fanpage mit der Einrichtung einer solchen Seite Facebook die Möglichkeit, auf dem Computer oder jedem anderen Gerät der Besucher der Fanpage Cookies zu platzieren und zwar unabhängig davon, ob diese Person über ein Facebook-Konto verfügt. Der Betreiber kann außerdem Filter festlegen, nach denen die Statistik über die Besucher erstellt wird, und die Kategorien von Personen bezeichnen, deren personenbezogene Daten von Facebook ausgewertet werden sollen. Folglich trage der Betreiber einer auf Facebook unterhaltenen Fanpage zur Verarbeitung der personenbezogenen Daten der Besucher seiner Seite bei. Daher sei der Betreiber gemeinsam mit Facebook Ireland für diese Verarbeitung verantwortlich im Sinne der Datenschutzrichtlinie.

Da die Datenschutzgrundverordnung in Art. 26 DS-GVO den Gemeinsam Verantwortlichen im Kern inhaltsgleich definiert wie Art. 2 lit. b der RL 95/46/EG, hat die Entscheidung des EuGH auch Bedeutung für die aktuelle Rechtslage. Der Betreiber einer Fanseite muss daher mit Facebook in einer Vereinbarung festlegen, wer von ihnen welche Verpflichtung gemäß der Datenschutz-Grundverordnung erfüllt.