Datenschutz vor dem EuGH: Müssen Face­book-Fan­seiten jetzt sch­ließen?

2/2: GA: Sowohl Facebook als auch Betreiber verantwortlich

Der Knackpunkt: Auf diese Frage ist der GA gar nicht eingegangen und hat stattdessen für den Verarbeitungsschritt der Erhebung der Daten eine gemeinsame Verantwortlichkeit von Facebook Ireland, Facebook Inc. und dem Betreiber der Fanpage – also der privaten Wirtschaftsakademie - festgestellt. Die gemeinsam für die Verarbeitung Verantwortlichen kennt das deutsche Recht in § 3 Abs. 7 BDSG allerdings dem Wortlaut nach gar nicht, die Vorschrift muss erst europarechtskonform auslegt werden. Ein Umstand, der vermutlich auch für die praktische Anwendung nicht förderlich war. Wie aber kommt der GA zu diesem Ergebnis?

Zunächst macht er klar, dass der Begriff des Verantwortlichen weit zu verstehen ist. Auch seien natürlich für die Verarbeitung hauptsächlich Facebook Ireland und wohl auch Facebook Inc. verantwortlich. Allerdings sei eben bei der Erhebung der Daten auch der Betreiber der Fanpage mitverantwortlich. Um an der Entscheidung über die Zwecke und Mittel der Verarbeitung beteiligt zu sein, komme es auch nicht auf die vertraglichen Vereinbarungen, sondern die Fakten an. Eine umfassende Kontrolle der Verarbeitung sei nicht erforderlich, ebenso keine Parität der gemeinsam Verantwortlichen.

Im Grunde lässt der GA also eine sine-qua-non Kausalität seitens des Betreibers für die (Mit-)Verantwortlichkeit genügen. Der Betreiber habe die Zwecke und Mittel (festgelegt durch Facebook) der Verarbeitung bei der Erstellung der Fanpage so akzeptiert und durch die Löschung der Fanpage stünde ihm auch die Möglichkeit offen, die Datenverarbeitung durch Facebook zu beenden.

Hierbei räumt Bot allerdings ein, dass der Umgehung der datenschutzrechtlichen Pflichten Tür und Tor geöffnet wären, wenn man von einer Nichtverantwortlichkeit des Betreibers ausginge. Denn in dieser Hinsicht sind das europäische wie deutsche Datenschutzrecht binär: Entweder man ist verantwortlich oder eben nicht.

Aufsichtsbehörde kann sich an Facebook und Betreiber wenden

Bei der Frage des anwendbaren Rechts greift der GA zunächst auf eine ähnliche Fragestellung im Rahmen des Google-Spain-Verfahrens (Rechtssache C-131/12) zurück. Hier hatte der EuGH es für die Anwendbarkeit spanischen Rechts als ausreichend erachtet, dass eine spanische Google-Niederlassung Werbeflächen verkauft hatte. Allerdings saß in jenem Fall die eigentlich Verantwortliche (Google Inc.) außerhalb der EU. Eine in einem europäischen Mitgliedstaat befindliche Niederlassung, die über die Verarbeitung entschied, existierte nicht.

Im vorliegenden Verfahren ist das anders. Hier gibt es neben der amerikanischen Facebook Inc. noch die - jedenfalls formell - für die Verarbeitung der Daten europäischer Nutzer verantwortliche Facebook Ireland und zudem Facebook Germany, die sich um das nationale Werbegeschäft kümmert. Unklar war also, ob überhaupt deutsches Datenschutzrecht anwendbar ist – oder eben nur irisches. Je nach anwendbarem Recht würde sich eine Zuständigkeit (allein) der entsprechenden Aufsichtsbehörde ergeben. Dazu stellt der GA fest, dass mit Facebook Germany jedenfalls eine deutsche Niederlassung besteht.

Allerdings müsste die Verarbeitung der Nutzerdaten beim Besuch der Fanpage auch im Rahmen der Tätigkeit der deutschen Niederlassung, die ja "nur" das nationale Werbegeschäft betreibt, erfolgen. Hier sieht der GA eine untrennbare Verknüpfung des Werbegeschäfts mit der Verarbeitung der Nutzerdaten, die ja gerade dazu dienen soll, noch effektiver Werbung zu schalten. Folglich seien aufgrund des deutschen Werbegeschäfts die nationalen Aufsichtsbehörden zuständig. Bei der Durchsetzung favorisiert der GA zwar die Option, dass sich die Aufsichtsbehörde direkt an die verarbeitende Niederlassung wendet, hier Facebook Ireland. Ob sich eine Aufsichtsbehörde generell an Facebook oder den Betreiber einer Fanpage wende, stünde ihr allerdings frei. Im Gegensatz zur DSGVO merkt Bot an, dass bei der DSRL gerade kein Herkunftslandprinizip oder ein one-stop-shop festgelegt wurde. Eine Abstimmung der zuständigen Aufsichtsbehörde mit der Aufsichtsbehörde des Mitgliedstaates, in dem sich die verarbeitende Niederlassung befindet, hält der GA schließlich für nicht erforderlich.

Was die DSGVO klärt – und was nicht

Im Hinblick auf die ab Mai 2018 geltende DSGVO kommt es bei der Frage nach der Verantwortlichkeit des Seitenbetreibers wohl nicht zu Änderungen: Zwar werden die gemeinsam Verantwortlichen in Art. 26 genauer geregelt, allerdings nicht, wie eine gemeinsame Verantwortlichkeit überhaupt zu bestimmen ist. Was das anwendbare Recht angeht, haben die Schlussanträge ein Ablaufdatum, da Art. 56 den sogenannten one-stop-shop, also eine einzige Anlaufstelle für die rechtlichen Vorgaben, festlegt. Die Fragen der Zusammenarbeit der Aufsichtsbehörden werden zudem in Art. 60 ff. geregelt.

Wie sind die Schlussanträge also zu bewerten? Zunächst einmal wird deutlich, dass das binäre System der Verantwortlichkeit im Datenschutzrecht dringend reformbedürftig ist, insbesondere nach der "alles-oder-nichts"-Einräumung des GA. Problematisch ist auch, inwiefern der Begriff des Verantwortlichen noch ein einheitliches Anknüpfungssystem darstellt. So ist im vorliegenden Verfahren unklar, wie der Seitenbetreiber seine Informationspflichten bei Facebook überhaupt durchsetzen soll.

Daneben orientiert sich auch der Unternehmensbegriff, an den die Bußgelder anknüpfen, nicht an dem Begriff des Verantwortlichen. Stattdessen soll laut Erwägungsgrund 150 DSGVO der kartellrechtliche Begriff des Unternehmens in Art. 101 und 102 AEUV maßgeblich sein.

Der Autor Johannes Marosi ist Wiss. Mit. am Lehrstuhl für Öffentliches Recht und Informationsrecht, insbesondere Datenschutzrecht (Prof. Dr. Matthias Bäcker) der Johannes Gutenberg-Universität Mainz. Er beschäftigt sich vorwiegend mit dem Informations- und Datenschutzrecht und forscht auf dem Gebiet der datenschutzrechtlichen Verantwortlichkeit.