EuGH entscheidet über Facebook-Fanpages
Der EuGH Generalanwalt hatte jedenfalls mit seinen Schlussanträgen für große Unsicherheit gesorgt. Der Kölner Rechtsanwalt und Datenschutz-Experte Christian Solmecke erläutert den Fall:
„Das unabhängige Landeszentrum für Datenschutz Schleswig Holtstein (ULD) hatte der Wirtschaftsakademie Schleswig Holtstein (WAK), einem privatrechtlichen Bildungsunternehmen angeordnet, ihre Fanpage zu deaktivieren. Die Fanpage hatte immerhin 6500 Fans. Warum? Nun, weder die Wirtschaftsakademie selbst noch Facebook wiesen Besucher der Fanpage darauf hin, dass Facebook mittels Cookies ihre personenbezogenen Daten erhebe und diese für Werbezwecke sowohl nutze als auch verarbeite, um Besucherstatistiken für die Akademie, der Betreiberin der Seite, zu generieren. Diese Cookies würden genutzt, ohne dass die Nutzer hierüber hinreichend aufgeklärt würden und in diese Nutzung eingewilligt hätten.
Im Kern geht es um die Frage, ob auch Betreiber von Facebook-Fanpages für Datenschutzverstöße, die durch Facebook begangen werden, verantwortlich sind. Sollten sie Verantwortlicher sein, drohen bei datenschutzrechtlichen Verstößen hohe Bußgelder.
Die Akademie ging 2013 zunächst erfolgreich gegen die Anordnung vor dem Verwaltungsgericht (VG) Schleswig-Holstein vor. Über das Oberverwaltungsgericht (OVG) Schleswig-Holstein, welches die Berufung zurückgewiesen hatte, gelangte der Rechtsstreit zum Bundesverwaltungsrecht (BVerwG). Nachdem beide Vorinstanzen somit zugunsten der WAK urteilten, wurde eine Entscheidung des BVerwG erwartet. Nach einem mehr als fünf Jahre andauernden Rechtsstreit blieb die erhoffte Klärung durch das BVerwG allerdings aus, denn das BVerwG hatte in seinem Beschluss keine Entscheidung getroffen. Vielmehr wurde das Verfahren ausgesetzt und es wurden am 25. Februar 2017 sechs Vorlagefragen im Rahmen eines Vorabentscheidungsverfahrens an den EuGH gerichtet.
Die Vorlagefragen betreffen insgesamt drei Themenkomplexe: Im Fokus steht die Frage, wer für die Datenverarbeitung verantwortlich ist (Vorlagefragen 1 und 2). Das BVerwG hatte in der Vorlage an den EuGH -an die Vorentscheidungen anknüpfend- eine Verantwortlichkeit der Fanpage-Betreiber abgelehnt.
Der zweite Komplex betrifft die Frage nach dem anwendbaren Recht, welches zugleich die Zuständigkeiten der Aufsichtsbehörden regelt (Vorlagefragen 3 und 4).
Der dritte Themenkomplex betritt die Frage inwieweit europäische Aufsichtsbehörden ihr Vorgehen miteinander abstimmen müssen (Vorlagefragen 5 und 6).
Zwar entscheidet der EuGH erst am heutigen Dienstag, doch der EuGH-Generalanwalt Yves Bot hatte bereits im Oktober 2017 in seinen Schlussanträgen zu den rechtlichen Fragen des BVerwG Stellung genommen. Zu den Schlussanträgen wird der EuGH in der erwarteten Entscheidung Stellung nehmen und schließt sich erfahrungsgemäß oftmals den Ansichten des Generalanwalts an.
Der EuGH-Generalanwalt betonte in seinen Schlussanträgen, das BVerwG gehe in seinen Vorlagefragen 1 und 2 von einer falschen Prämisse aus und bejahte, anders als die deutschen Gerichte zuvor, eine gemeinsame Verantwortlichkeit von Facebook und dem Betreiber.
Der Generalanwalt stellte fest, dass er für den Verarbeitungsschritt der Erhebung der Daten eine gemeinsame Verantwortlichkeit von Facebook Ireland, Facebook Inc. und der privaten Wirtschaftsakademie als Betreiberin der Fanpage sehe. Der Begriff des „Verantwortlichen“ sei weit zu verstehen. Zwar seien hauptsächlich Facebook Ireland und Facebook Inc. verantwortlich, doch auch der Betreiber einer Fanpage sei bei der Erhebung von Daten mitverantwortlich, auch weil er in die geltenden Bestimmungen Facebooks bei der Erstellung der Fanpage eingewilligt habe. Zumal jedem Fanpage-Betreiber freistehe, die Datenverarbeitung durch Facebook jederzeit zu beenden, indem man die Seite einfach lösche.
Bei der Frage des anwendbaren Rechts gibt es neben der amerikanischen Facebook Inc. für die Verarbeitung der Daten europäischer Nutzer noch die Facebook Ireland und Facebook Germany, welches sich um das nationale Werbegeschäft kümmert. Dem BVerwG war unklar, ob überhaupt deutsches Datenschutzrecht Anwendung findet. Je nach dem welches Recht anwendbar ist, ergibt sich dann auch die Zuständigkeit der Aufsichtsbehörde. Sollte nicht deutsches Recht anwendbar sein und damit auch keine deutsche Aufsichtsbehörde zuständig sein, so hätte im konkreten Fall das unabhängige Landeszentrum für Datenschutz Schleswig Holtstein, wegen fehlender Kompetenz, gar nicht anordnen dürfen, die Seite der WAK zu deaktivieren.
Allerdings würden auch bei der deutschen Facebook Niederlassung Daten verarbeitet, wenn man als Nutzer auf eine Fanpage gehe, da diese das nationale Werbegeschäft betreibe. Der Generalanwalt sah hier eine untrennbare Verknüpfung zwischen dem Werbegeschäft und der Verarbeitung von Daten. Die Datenerhebung und Verarbeitung diene ja gerade dazu, noch effektivere Werbung zu schalten. Daher seien auch deutsche Aufsichtsbehörden zuständig. Der EuGH-Generalanwalt favorisierte hier zwar die Option, dass sich die Aufsichtsbehörde direkt an die verarbeitende Facebook-Niederlassung wende, doch sei der Behörde freigestellt, sich auch an die Betreiber der Fanpages zu wenden.
Falls der EuGH und im Folgenden dann auch das BVerwG dem Generalanwalt folgen sollten, hätte dies für Fanpage-Betreiber gravierende Folgen. Fanpages wären dann so wie sie aktuell betrieben werden, rechtswidrig.
Spannend wird es vor allem sein, wie der EuGH im Hinblick auf die seit dem 25. Mai wirksame Datenschutzgrundverordnung (DSGVO) insbesondere die Frage nach der Verantwortlichkeit des Seitenbetreibers beantworten wird. Zwar werden die gemeinsam Verantwortlichen in Artikel 26 DSGVO genauer geregelt, allerdings nicht, wie eine gemeinsame Verantwortlichkeit überhaupt zu bestimmen ist.
Gut möglich also, dass der EuGH hier heute erstmals klar Stellung zu Auslegungsfragen der DSGVO beziehen wird. Die Chance hat das höchste europäische Gericht dazu. Auch kann es gut sein, dass der EuGH entscheiden wird, dass sich die Aufsichtsbehörden bei Verstößen durchaus an die Fanpage-Betreiber zu wenden haben. So würde Facebook indirekt auch dazu gezwungen, Fanpage-Betreibern die Möglichkeit einzuräumen, dass sie Nutzer über die Erhebung und Verarbeitung auch hinreichend aufklären können und Nutzer, wie vom BVerwG gefordert, in die Daten-Nutzung einwilligen können.
Worum geht es?
„Das unabhängige Landeszentrum für Datenschutz Schleswig Holtstein (ULD) hatte der Wirtschaftsakademie Schleswig Holtstein (WAK), einem privatrechtlichen Bildungsunternehmen angeordnet, ihre Fanpage zu deaktivieren. Die Fanpage hatte immerhin 6500 Fans. Warum? Nun, weder die Wirtschaftsakademie selbst noch Facebook wiesen Besucher der Fanpage darauf hin, dass Facebook mittels Cookies ihre personenbezogenen Daten erhebe und diese für Werbezwecke sowohl nutze als auch verarbeite, um Besucherstatistiken für die Akademie, der Betreiberin der Seite, zu generieren. Diese Cookies würden genutzt, ohne dass die Nutzer hierüber hinreichend aufgeklärt würden und in diese Nutzung eingewilligt hätten.
Im Kern geht es um die Frage, ob auch Betreiber von Facebook-Fanpages für Datenschutzverstöße, die durch Facebook begangen werden, verantwortlich sind. Sollten sie Verantwortlicher sein, drohen bei datenschutzrechtlichen Verstößen hohe Bußgelder.
Die Akademie ging 2013 zunächst erfolgreich gegen die Anordnung vor dem Verwaltungsgericht (VG) Schleswig-Holstein vor. Über das Oberverwaltungsgericht (OVG) Schleswig-Holstein, welches die Berufung zurückgewiesen hatte, gelangte der Rechtsstreit zum Bundesverwaltungsrecht (BVerwG). Nachdem beide Vorinstanzen somit zugunsten der WAK urteilten, wurde eine Entscheidung des BVerwG erwartet. Nach einem mehr als fünf Jahre andauernden Rechtsstreit blieb die erhoffte Klärung durch das BVerwG allerdings aus, denn das BVerwG hatte in seinem Beschluss keine Entscheidung getroffen. Vielmehr wurde das Verfahren ausgesetzt und es wurden am 25. Februar 2017 sechs Vorlagefragen im Rahmen eines Vorabentscheidungsverfahrens an den EuGH gerichtet.
Die Vorlagefragen des BVerwG
Die Vorlagefragen betreffen insgesamt drei Themenkomplexe: Im Fokus steht die Frage, wer für die Datenverarbeitung verantwortlich ist (Vorlagefragen 1 und 2). Das BVerwG hatte in der Vorlage an den EuGH -an die Vorentscheidungen anknüpfend- eine Verantwortlichkeit der Fanpage-Betreiber abgelehnt.
Der zweite Komplex betrifft die Frage nach dem anwendbaren Recht, welches zugleich die Zuständigkeiten der Aufsichtsbehörden regelt (Vorlagefragen 3 und 4).
Der dritte Themenkomplex betritt die Frage inwieweit europäische Aufsichtsbehörden ihr Vorgehen miteinander abstimmen müssen (Vorlagefragen 5 und 6).
Der Generalanwalt bezog bereits Stellung
Zwar entscheidet der EuGH erst am heutigen Dienstag, doch der EuGH-Generalanwalt Yves Bot hatte bereits im Oktober 2017 in seinen Schlussanträgen zu den rechtlichen Fragen des BVerwG Stellung genommen. Zu den Schlussanträgen wird der EuGH in der erwarteten Entscheidung Stellung nehmen und schließt sich erfahrungsgemäß oftmals den Ansichten des Generalanwalts an.
Der EuGH-Generalanwalt betonte in seinen Schlussanträgen, das BVerwG gehe in seinen Vorlagefragen 1 und 2 von einer falschen Prämisse aus und bejahte, anders als die deutschen Gerichte zuvor, eine gemeinsame Verantwortlichkeit von Facebook und dem Betreiber.
Der Generalanwalt stellte fest, dass er für den Verarbeitungsschritt der Erhebung der Daten eine gemeinsame Verantwortlichkeit von Facebook Ireland, Facebook Inc. und der privaten Wirtschaftsakademie als Betreiberin der Fanpage sehe. Der Begriff des „Verantwortlichen“ sei weit zu verstehen. Zwar seien hauptsächlich Facebook Ireland und Facebook Inc. verantwortlich, doch auch der Betreiber einer Fanpage sei bei der Erhebung von Daten mitverantwortlich, auch weil er in die geltenden Bestimmungen Facebooks bei der Erstellung der Fanpage eingewilligt habe. Zumal jedem Fanpage-Betreiber freistehe, die Datenverarbeitung durch Facebook jederzeit zu beenden, indem man die Seite einfach lösche.
Bei der Frage des anwendbaren Rechts gibt es neben der amerikanischen Facebook Inc. für die Verarbeitung der Daten europäischer Nutzer noch die Facebook Ireland und Facebook Germany, welches sich um das nationale Werbegeschäft kümmert. Dem BVerwG war unklar, ob überhaupt deutsches Datenschutzrecht Anwendung findet. Je nach dem welches Recht anwendbar ist, ergibt sich dann auch die Zuständigkeit der Aufsichtsbehörde. Sollte nicht deutsches Recht anwendbar sein und damit auch keine deutsche Aufsichtsbehörde zuständig sein, so hätte im konkreten Fall das unabhängige Landeszentrum für Datenschutz Schleswig Holtstein, wegen fehlender Kompetenz, gar nicht anordnen dürfen, die Seite der WAK zu deaktivieren.
Allerdings würden auch bei der deutschen Facebook Niederlassung Daten verarbeitet, wenn man als Nutzer auf eine Fanpage gehe, da diese das nationale Werbegeschäft betreibe. Der Generalanwalt sah hier eine untrennbare Verknüpfung zwischen dem Werbegeschäft und der Verarbeitung von Daten. Die Datenerhebung und Verarbeitung diene ja gerade dazu, noch effektivere Werbung zu schalten. Daher seien auch deutsche Aufsichtsbehörden zuständig. Der EuGH-Generalanwalt favorisierte hier zwar die Option, dass sich die Aufsichtsbehörde direkt an die verarbeitende Facebook-Niederlassung wende, doch sei der Behörde freigestellt, sich auch an die Betreiber der Fanpages zu wenden.
EuGH kann sich erstmals zur DSGVO äußern
Falls der EuGH und im Folgenden dann auch das BVerwG dem Generalanwalt folgen sollten, hätte dies für Fanpage-Betreiber gravierende Folgen. Fanpages wären dann so wie sie aktuell betrieben werden, rechtswidrig.
Spannend wird es vor allem sein, wie der EuGH im Hinblick auf die seit dem 25. Mai wirksame Datenschutzgrundverordnung (DSGVO) insbesondere die Frage nach der Verantwortlichkeit des Seitenbetreibers beantworten wird. Zwar werden die gemeinsam Verantwortlichen in Artikel 26 DSGVO genauer geregelt, allerdings nicht, wie eine gemeinsame Verantwortlichkeit überhaupt zu bestimmen ist.
Gut möglich also, dass der EuGH hier heute erstmals klar Stellung zu Auslegungsfragen der DSGVO beziehen wird. Die Chance hat das höchste europäische Gericht dazu. Auch kann es gut sein, dass der EuGH entscheiden wird, dass sich die Aufsichtsbehörden bei Verstößen durchaus an die Fanpage-Betreiber zu wenden haben. So würde Facebook indirekt auch dazu gezwungen, Fanpage-Betreibern die Möglichkeit einzuräumen, dass sie Nutzer über die Erhebung und Verarbeitung auch hinreichend aufklären können und Nutzer, wie vom BVerwG gefordert, in die Daten-Nutzung einwilligen können.