Datenschutz vor dem EuGH: Müssen Face­book-Fan­seiten jetzt sch­ließen?

"BOOM! Teil 1 - The Awakening" - so hat ein Anwalt aus der Datenschutzszene die Schlussanträge des französischen Generalanwalts (GA) am Europäischen Gerichtshof (EuGH) Yves Bot in der Rechtssache C-210/16 auf Twitter kommentiert. Und tatsächlich: Für Kenner des Verfahrens sind die Schlüsse, zu denen der GA kommt, sehr unerwartet. Hatten noch alle deutschen Vorinstanzen eine Verantwortlichkeit des Betreibers einer Facebook-Fanpage verneint, kontert der GA, schon fast süffisant, das Bundesverwaltungsgericht (BVerwG) gehe in seiner Vorlagefrage von einer falschen Prämisse aus und bejaht eine gemeinsame Verantwortlichkeit von Facebook und dem Betreiber. Aber eins nach dem anderen.

In dem vorliegenden Fall geht es um das unabhängige Landeszentrum für Datenschutz Schleswig-Holstein. Es ordnete gegenüber der Wirtschaftsakademie Schleswig-Holstein, einem privatrechtlichen Bildungsunternehmen, an, ihre Facebook—Fanpage mit immerhin über 6.500 Fans zu deaktivieren. Der Grund: Weder die Akademie selbst noch Facebook wiesen die Besucher der Fanpage darauf hin, dass Facebook mittels Cookies ihre personenbezogenen Daten erhebe, diese für Werbezwecke nutze und auch verarbeite, um Besucherstatistiken für die Seitenbetreiberin zu generieren.

Zwar geht es um Facebook-Fanseiten von beispielsweise Firmen oder berühmten Personen, allerdings lassen sich die Feststellungen auf so ziemliche alle Arten von Plugins, Gadgets, Frames und ähnlichen Arten der Einbindung fremder Infrastruktur in das eigene Online-Angebot übertragen. Der GA greift in den Schlussanträgen selbst auf ein noch ausstehendes Verfahren zum Facebook-"Like"-Button zurück (Rechtssache C-40/17) und sieht in beiden Verfahren keine wesentlichen Unterschiede.

Datenschutzrechtliche Verstöße am laufenden Band?

Verstößt jetzt jede zweite Webseite gegen Datenschutzrecht, sofern der EuGH dem GA folgt? Mitnichten. Der GA weist darauf hin, dass er nicht die Einhaltung der datenschutzrechtlichen Vorschriften seitens Facebook prüft. Der für die Entscheidung relevante Sachverhalt ist zudem aus dem Jahr 2011. Seitdem wird den Informationspflichten zumindest für Facebook-Seiten nachgekommen – sagt jedenfalls das Unternehmen selbst. Auch macht der GA deutlich, dass er in der Verantwortlichkeit des Betreibers vornehmlich ein Mittel sieht, um den Infrastrukturbetreiber, hier also Facebook, quasi durch "Reflexwirkung" zur Einhaltung des Rechts zu bewegen.

Was genau hat der GA denn dann "entschieden"? Die Schlussanträge beinhalten drei Aspekte. Zum einen, wer für die Datenverarbeitung verantwortlich ist (Vorlagefragen 1 und 2). Die Vorlagefragen 3 und 4 beschäftigt sich mit dem anwendbaren Recht und der sich daraus ergebenden zuständigen Aufsichtsbehörde. Zuletzt (Vorlagefragen 5 und 6) widmet sich der GA noch der Frage, inwiefern sich die Aufsichtsbehörden verschiedener Mitgliedstaaten untereinander abstimmen müssen.

In der Verantwortlichkeit kennt das deutsche Datenschutzrecht - in Umsetzung der europäischen Richtlinie - eigentlich nur zweieinhalb Möglichkeiten. Entweder ist man für eine Verarbeitung Verantwortlicher (wobei Bundesdatenschutzgesetz (BDSG), Datenschutzrichtlinie (DSRL) und Datenschutzgrundverordnung (DSGVO) etwas unterschiedliche Begriffe verwenden) oder eben nicht. Das Hauptkriterium, um festzustellen, ob jemand Verantwortlicher ist, bemisst sich danach, ob er die Entscheidungsmacht über die "Zwecke und Mittel einer Verarbeitung" hat.

Neben dem Verantwortlichen gibt es noch den sog. Auftragsverarbeiter. Dieser handelt (oder sollte es jedenfalls) nach Weisung des eigentlich Verantwortlichen, ist aber nicht mit diesem identisch. Hier geht es im Kern um Outsourcing. Das BVerwG hatte in der Vorlage eine Verantwortlichkeit des Betreibers einer Fanpage abgelehnt. Ebenso eine Auftragsverarbeitung seitens Facebook, eine Zweckveranlasserstellung des Betreibers oder eine zivilrechtliche Störerhaftung. Es hatte den EuGH gefragt, ob eine weitere Art der Verantwortlichkeit nach der Datenschutzrichtlinie überhaupt zulässig wäre.