EuGH: Facebook-Fanpage-Betreiber sind (mit)verantwortlich für Datensammlungen über ihre Nutzer

EuGH-Entscheidung vom 5.6.2018, Rechtssache C‑210/16

Sachverhalt:

Die Wirtschaftsakademie Schleswig-Holstein GmbH bietet Bildungsdienstleistungen über eine auf Fanpage auf Facebook an.

Fanpages sind Benutzerkonten, die bei Facebook von Privatpersonen oder Unternehmen eingerichtet werden können. Die Betreiber von Fanpages können mit Hilfe der Funktion Facebook Insight anonymisierte statistische Daten betreffend die Nutzer dieser Seiten erhalten. Diese Daten werden mit Hilfe sogenannter Cookies gesammelt. Weder die Wirtschaftsakademie noch die Facebook Ireland Ltd hat auf die Tatsache der Speicherung und die Funktionsweise dieses Cookies oder die nachfolgende Datenverarbeitung hingewiesen.

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein trug der Wirtschaftsakademie daher auf, die Fanpage zu schließen. Die Wirtschaftsakademie weigerte sich und hatte im innerstaatlichen Instanzenzug zunächst Erfolg damit.

Das deutsche Bundesverwaltungsgericht legte den Fall dem EuGH vor.

Entscheidung:

Der EuGH kam gleich bei Beantwortung der ersten beiden Vorlagefragen zu dem Ergebnis, dass der Begriff des „für die Verarbeitung Verantwortlichen auch den Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage umfasst:

Der Betreiber einer auf Facebook unterhaltenen Fanpage  gibt Facebook mit der Einrichtung die Möglichkeit, auf dem Computer oder jedem anderen Gerät der Person, die seine Fanpage besucht hat, Cookies zu platzieren, unabhängig davon, ob diese Person über ein Facebook-Konto verfügt. Mit Hilfe von durch Facebook zur Verfügung gestellten Filtern kann der Betreiber die Kriterien festlegen, nach denen diese Statistiken erstellt werden sollen. Folglich trägt der Betreiber einer auf Facebook unterhaltenen Fanpage zur Verarbeitung der personenbezogenen Daten der Besucher seiner Seite bei.

Insbesondere kann der Fanpage-Betreiber demografische Daten über seine Zielgruppe verlangen, so u. a. Tendenzen in den Bereichen Alter, Geschlecht, Beziehungsstatus und berufliche Situation, Informationen über den Lebensstil und die Interessen seiner Zielgruppe und Informationen über die Käufe und das Online-Kaufverhalten der Besucher seiner Seite, sowie geografische Daten, die ihn darüber informieren, wo spezielle Werbeaktionen durchzuführen oder Veranstaltungen zu organisieren sind, und ihm ganz allgemein ermöglichen, sein Informationsangebot so zielgerichtet wie möglich zu gestalten. Unter diesen Umständen stellte der EuGH fest, dass der Betreiber einer Facebook-Fanpage durch die von ihm vorgenommene Parametrierung an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt ist. Daher ist der Betreiber im vorliegenden Fall als gemeinsam mit Facebook für diese Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 einzustufen. Diese Akteure können in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß einbezogen sein, sodass der Grad der Verantwortlichkeit unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist.

Zum anwendbaren Recht und zur Zuständigkeit führt der EuGH Folgendes aus: Auf die im Ausgangsverfahren in Rede stehende Verarbeitung personenbezogener Daten ist deutsches Recht anwendbar. Daraus folgt, dass die deutsche Kontrollstelle zuständig war, dieses Recht auf diese Verarbeitung anzuwenden. Folglich war diese Kontrollstelle zuständig, zur Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten im deutschen Hoheitsgebiet von sämtlichen Befugnissen, über die sie nach den deutschen Bestimmungen zur Umsetzung von Art. 28 Abs. 3 der Richtlinie 95/46 verfügt, gegenüber Facebook Germany Gebrauch zu machen.

Art. 4 und 28 der Richtlinie 95/46 sind daher dahin auszulegen dass dann, wenn ein außerhalb der Union ansässiges Unternehmen mehrere Niederlassungen in verschiedenen Mitgliedstaaten unterhält, die Kontrollstelle eines Mitgliedstaats zur Ausübung der ihr durch Art. 28 Abs. 3 dieser Richtlinie übertragenen Befugnisse gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats gelegenen Niederlassung dieses Unternehmens auch dann befugt ist, wenn nach der konzerninternen Aufgabenverteilung zum einen diese Niederlassung allein für den Verkauf von Werbeflächen und sonstige Marketingtätigkeiten im Hoheitsgebiet dieses Mitgliedstaats zuständig ist und zum anderen die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten für das gesamte Gebiet der Union einer in einem anderen Mitgliedstaat gelegenen Niederlassung obliegt.

Eine Kontrollstelle, deren Zuständigkeit nach nationalem Recht anerkannt ist, ist auch in keiner Weise verpflichtet, das Ergebnis einer anderen Kontrollstelle in einer entsprechenden Situation  zu berücksichtigen. Das Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein war daher befugt, die Rechtmäßigkeit der im Ausgangsverfahren in Rede stehenden Datenverarbeitung unabhängig von den von der irischen Kontrollstelle vorgenommenen Bewertungen zu beurteilen. Die Kontrollstelle des anderen Mitgliedsstaates muss vorher nicht um ein Eingreifen ersucht werden.