Mit seinen Schlussanträgen hat der Generalanwalt für Unsicherheit gesorgt: Müssen reihenweise Social-Media-Fanpages aus datenschutzrechtlichen Gründen dicht machen? Nein, erläutert Johannes Marosi. Ein fader Beigeschmack bleibe trotzdem.
"BOOM! Teil 1 - The Awakening" - so hat ein Anwalt aus der Datenschutzszene die Schlussanträge des französischen Generalanwalts (GA) am Europäischen Gerichtshof (EuGH) Yves Bot in der Rechtssache C-210/16 auf Twitter kommentiert. Und tatsächlich: Für Kenner des Verfahrens sind die Schlüsse, zu denen der GA kommt, sehr unerwartet. Hatten noch alle deutschen Vorinstanzen eine Verantwortlichkeit des Betreibers einer Facebook-Fanpage verneint, kontert der GA, schon fast süffisant, das Bundesverwaltungsgericht (BVerwG) gehe in seiner Vorlagefrage von einer falschen Prämisse aus und bejaht eine gemeinsame Verantwortlichkeit von Facebook und dem Betreiber. Aber eins nach dem anderen.
In dem vorliegenden Fall geht es um das unabhängige Landeszentrum für Datenschutz Schleswig-Holstein. Es ordnete gegenüber der Wirtschaftsakademie Schleswig-Holstein, einem privatrechtlichen Bildungsunternehmen, an, ihre Facebook—Fanpage mit immerhin über 6.500 Fans zu deaktivieren. Der Grund: Weder die Akademie selbst noch Facebook wiesen die Besucher der Fanpage darauf hin, dass Facebook mittels Cookies ihre personenbezogenen Daten erhebe, diese für Werbezwecke nutze und auch verarbeite, um Besucherstatistiken für die Seitenbetreiberin zu generieren.
Zwar geht es um Facebook-Fanseiten von beispielsweise Firmen oder berühmten Personen, allerdings lassen sich die Feststellungen auf so ziemliche alle Arten von Plugins, Gadgets, Frames und ähnlichen Arten der Einbindung fremder Infrastruktur in das eigene Online-Angebot übertragen. Der GA greift in den Schlussanträgen selbst auf ein noch ausstehendes Verfahren zum Facebook-"Like"-Button zurück (Rechtssache C-40/17) und sieht in beiden Verfahren keine wesentlichen Unterschiede.
Datenschutzrechtliche Verstöße am laufenden Band?
Verstößt jetzt jede zweite Webseite gegen Datenschutzrecht, sofern der EuGH dem GA folgt? Mitnichten. Der GA weist darauf hin, dass er nicht die Einhaltung der datenschutzrechtlichen Vorschriften seitens Facebook prüft. Der für die Entscheidung relevante Sachverhalt ist zudem aus dem Jahr 2011. Seitdem wird den Informationspflichten zumindest für Facebook-Seiten nachgekommen – sagt jedenfalls das Unternehmen selbst. Auch macht der GA deutlich, dass er in der Verantwortlichkeit des Betreibers vornehmlich ein Mittel sieht, um den Infrastrukturbetreiber, hier also Facebook, quasi durch "Reflexwirkung" zur Einhaltung des Rechts zu bewegen.
Was genau hat der GA denn dann "entschieden"? Die Schlussanträge beinhalten drei Aspekte. Zum einen, wer für die Datenverarbeitung verantwortlich ist (Vorlagefragen 1 und 2). Die Vorlagefragen 3 und 4 beschäftigt sich mit dem anwendbaren Recht und der sich daraus ergebenden zuständigen Aufsichtsbehörde. Zuletzt (Vorlagefragen 5 und 6) widmet sich der GA noch der Frage, inwiefern sich die Aufsichtsbehörden verschiedener Mitgliedstaaten untereinander abstimmen müssen.
In der Verantwortlichkeit kennt das deutsche Datenschutzrecht - in Umsetzung der europäischen Richtlinie - eigentlich nur zweieinhalb Möglichkeiten. Entweder ist man für eine Verarbeitung Verantwortlicher (wobei Bundesdatenschutzgesetz (BDSG), Datenschutzrichtlinie (DSRL) und Datenschutzgrundverordnung (DSGVO) etwas unterschiedliche Begriffe verwenden) oder eben nicht. Das Hauptkriterium, um festzustellen, ob jemand Verantwortlicher ist, bemisst sich danach, ob er die Entscheidungsmacht über die "Zwecke und Mittel einer Verarbeitung" hat.
Neben dem Verantwortlichen gibt es noch den sog. Auftragsverarbeiter. Dieser handelt (oder sollte es jedenfalls) nach Weisung des eigentlich Verantwortlichen, ist aber nicht mit diesem identisch. Hier geht es im Kern um Outsourcing. Das BVerwG hatte in der Vorlage eine Verantwortlichkeit des Betreibers einer Fanpage abgelehnt. Ebenso eine Auftragsverarbeitung seitens Facebook, eine Zweckveranlasserstellung des Betreibers oder eine zivilrechtliche Störerhaftung. Es hatte den EuGH gefragt, ob eine weitere Art der Verantwortlichkeit nach der Datenschutzrichtlinie überhaupt zulässig wäre.
2/2: GA: Sowohl Facebook als auch Betreiber verantwortlich
Der Knackpunkt: Auf diese Frage ist der GA gar nicht eingegangen und hat stattdessen für den Verarbeitungsschritt der Erhebung der Daten eine gemeinsame Verantwortlichkeit von Facebook Ireland, Facebook Inc. und dem Betreiber der Fanpage – also der privaten Wirtschaftsakademie - festgestellt. Die gemeinsam für die Verarbeitung Verantwortlichen kennt das deutsche Recht in § 3 Abs. 7 BDSG allerdings dem Wortlaut nach gar nicht, die Vorschrift muss erst europarechtskonform auslegt werden. Ein Umstand, der vermutlich auch für die praktische Anwendung nicht förderlich war. Wie aber kommt der GA zu diesem Ergebnis?
Zunächst macht er klar, dass der Begriff des Verantwortlichen weit zu verstehen ist. Auch seien natürlich für die Verarbeitung hauptsächlich Facebook Ireland und wohl auch Facebook Inc. verantwortlich. Allerdings sei eben bei der Erhebung der Daten auch der Betreiber der Fanpage mitverantwortlich. Um an der Entscheidung über die Zwecke und Mittel der Verarbeitung beteiligt zu sein, komme es auch nicht auf die vertraglichen Vereinbarungen, sondern die Fakten an. Eine umfassende Kontrolle der Verarbeitung sei nicht erforderlich, ebenso keine Parität der gemeinsam Verantwortlichen.
Im Grunde lässt der GA also eine sine-qua-non Kausalität seitens des Betreibers für die (Mit-)Verantwortlichkeit genügen. Der Betreiber habe die Zwecke und Mittel (festgelegt durch Facebook) der Verarbeitung bei der Erstellung der Fanpage so akzeptiert und durch die Löschung der Fanpage stünde ihm auch die Möglichkeit offen, die Datenverarbeitung durch Facebook zu beenden.
Hierbei räumt Bot allerdings ein, dass der Umgehung der datenschutzrechtlichen Pflichten Tür und Tor geöffnet wären, wenn man von einer Nichtverantwortlichkeit des Betreibers ausginge. Denn in dieser Hinsicht sind das europäische wie deutsche Datenschutzrecht binär: Entweder man ist verantwortlich oder eben nicht.
Aufsichtsbehörde kann sich an Facebook und Betreiber wenden
Bei der Frage des anwendbaren Rechts greift der GA zunächst auf eine ähnliche Fragestellung im Rahmen des Google-Spain-Verfahrens (Rechtssache C-131/12) zurück. Hier hatte der EuGH es für die Anwendbarkeit spanischen Rechts als ausreichend erachtet, dass eine spanische Google-Niederlassung Werbeflächen verkauft hatte. Allerdings saß in jenem Fall die eigentlich Verantwortliche (Google Inc.) außerhalb der EU. Eine in einem europäischen Mitgliedstaat befindliche Niederlassung, die über die Verarbeitung entschied, existierte nicht.
Im vorliegenden Verfahren ist das anders. Hier gibt es neben der amerikanischen Facebook Inc. noch die - jedenfalls formell - für die Verarbeitung der Daten europäischer Nutzer verantwortliche Facebook Ireland und zudem Facebook Germany, die sich um das nationale Werbegeschäft kümmert. Unklar war also, ob überhaupt deutsches Datenschutzrecht anwendbar ist – oder eben nur irisches. Je nach anwendbarem Recht würde sich eine Zuständigkeit (allein) der entsprechenden Aufsichtsbehörde ergeben. Dazu stellt der GA fest, dass mit Facebook Germany jedenfalls eine deutsche Niederlassung besteht.
Allerdings müsste die Verarbeitung der Nutzerdaten beim Besuch der Fanpage auch im Rahmen der Tätigkeit der deutschen Niederlassung, die ja "nur" das nationale Werbegeschäft betreibt, erfolgen. Hier sieht der GA eine untrennbare Verknüpfung des Werbegeschäfts mit der Verarbeitung der Nutzerdaten, die ja gerade dazu dienen soll, noch effektiver Werbung zu schalten. Folglich seien aufgrund des deutschen Werbegeschäfts die nationalen Aufsichtsbehörden zuständig. Bei der Durchsetzung favorisiert der GA zwar die Option, dass sich die Aufsichtsbehörde direkt an die verarbeitende Niederlassung wendet, hier Facebook Ireland. Ob sich eine Aufsichtsbehörde generell an Facebook oder den Betreiber einer Fanpage wende, stünde ihr allerdings frei. Im Gegensatz zur DSGVO merkt Bot an, dass bei der DSRL gerade kein Herkunftslandprinizip oder ein one-stop-shop festgelegt wurde. Eine Abstimmung der zuständigen Aufsichtsbehörde mit der Aufsichtsbehörde des Mitgliedstaates, in dem sich die verarbeitende Niederlassung befindet, hält der GA schließlich für nicht erforderlich.
Was die DSGVO klärt – und was nicht
Im Hinblick auf die ab Mai 2018 geltende DSGVO kommt es bei der Frage nach der Verantwortlichkeit des Seitenbetreibers wohl nicht zu Änderungen: Zwar werden die gemeinsam Verantwortlichen in Art. 26 genauer geregelt, allerdings nicht, wie eine gemeinsame Verantwortlichkeit überhaupt zu bestimmen ist. Was das anwendbare Recht angeht, haben die Schlussanträge ein Ablaufdatum, da Art. 56 den sogenannten one-stop-shop, also eine einzige Anlaufstelle für die rechtlichen Vorgaben, festlegt. Die Fragen der Zusammenarbeit der Aufsichtsbehörden werden zudem in Art. 60 ff. geregelt.
Wie sind die Schlussanträge also zu bewerten? Zunächst einmal wird deutlich, dass das binäre System der Verantwortlichkeit im Datenschutzrecht dringend reformbedürftig ist, insbesondere nach der "alles-oder-nichts"-Einräumung des GA. Problematisch ist auch, inwiefern der Begriff des Verantwortlichen noch ein einheitliches Anknüpfungssystem darstellt. So ist im vorliegenden Verfahren unklar, wie der Seitenbetreiber seine Informationspflichten bei Facebook überhaupt durchsetzen soll.
Daneben orientiert sich auch der Unternehmensbegriff, an den die Bußgelder anknüpfen, nicht an dem Begriff des Verantwortlichen. Stattdessen soll laut Erwägungsgrund 150 DSGVO der kartellrechtliche Begriff des Unternehmens in Art. 101 und 102 AEUV maßgeblich sein.
Der Autor Johannes Marosi ist Wiss. Mit. am Lehrstuhl für Öffentliches Recht und Informationsrecht, insbesondere Datenschutzrecht (Prof. Dr. Matthias Bäcker) der Johannes Gutenberg-Universität Mainz. Er beschäftigt sich vorwiegend mit dem Informations- und Datenschutzrecht und forscht auf dem Gebiet der datenschutzrechtlichen Verantwortlichkeit.
Johannes Marosi, Datenschutz vor dem EuGH: Müssen Facebook-Fanseiten jetzt schließen? . In: Legal Tribune Online, 26.10.2017 , https://www.lto.de/persistent/a_id/25251/ (abgerufen am: 24.04.2024 )
Infos zum Zitiervorschlag