EuGH: Facebook Fanpages – gemeinsam Verantwortliche ohne gleichwertige Verantwortlichkeit?
Gespeichert von Dr. Stefan Hanloser am
Gemeinsam oder jeder für sich? Sind mehrere Stellen an einer Verarbeitung personenbezogener Daten beteiligt, müssen sie seit Inkrafttreten der DSGVO analysieren und dokumentieren, ob sie gemeinsam oder aber unabhängig voneinander über die Zwecke und Mittel der Datenverarbeitung entscheiden. Der EuGH hat nun für den Sonderfall der Facebook Fanpages die Anforderungen an die Verantwortlichkeit mehrerer Stellen konkretisiert und verlangt überraschend, „dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist.“
Tatbestand: Kriterien für die datenschutzrechtliche Verantwortlichkeit
Der EuGH hat in der Rechtssache Wirtschaftsakademie Schleswig-Holstein die Definition der verantwortlichen Stelle in Artikel 2 Buchst. d Datenschutz-Richtlinie 95/46 verbindlich ausgelegt (Urteil v. 5.6.2018, C-210/16, EU:C:2018:388 – Link) und folgt im Wesentlichen den Schlussanträgen des Generalanwalts (Link). Die mittlerweile außer Kraft getretene Vorschrift entspricht Artikel 4 Ziff. 7 DSGVO, so dass die Auslegung praktisch relevant und nicht nur rechtshistorisch von Interesse ist.
Für die Praxis lassen sich drei Prüfkriterien zusammenfassen, wann eine Stelle über die Zwecke und Mittel einer Verarbeitung personenbezogener Daten (mit-)entscheidet:
#1: Ermöglichung der Verarbeitung (Rz. 35): Die Stelle muss die Verarbeitung zumindest ermöglichen. Die Stelle braucht die Daten jedoch nicht zu verarbeiten, weder selbst noch durch weisungsgebundene Auftragsverarbeiter, geschweige denn Zugriff auf die Daten zu haben. Im vorliegenden Fall schloss der Zugriff auf bloß anonyme Besucherstatistiken die Verantwortlichkeit der Wirtschaftsakademie nicht aus.
#2: Einwirkung auf die Verarbeitung (Rz. 36): Die Stelle muss außerdem auf die Verarbeitung einwirken, also Handlungen vornehmen, die sich auf die konkrete Verarbeitung auswirken. Entsprechend konnte die Wirtschaftsakademie als Fanseiten-Betreiberin mittels Facebook Insight die Verarbeitung parametrieren. Konsequent müsste der EuGH in der ausstehenden Rechtssache Fashion ID die Verantwortlichkeit verneinen, weil der Webseitenbetreiber/Publisher nicht auf die Verarbeitung durch eingebundene Drittparteien einwirken kann (Vorabentscheidungsersuchen des OLG Düsseldorf v. 26.1.2017, C-40/17, EU:C:2018:388 – Link )
#3: Steuerung oder Förderung der eigenen Tätigkeiten (Rz. 37 - 39): Die Verarbeitung muss der Steuerung oder Förderung der eigenen Tätigkeit des Verantwortlichen dienen. In der vorliegenden Entscheidung nutzt der Betreiber einer Facebook Fanpage die Nutzerstatistiken, um sein Informationsangebot so zielgerichtet wie möglich zu gestalten.
Rechtsfolgen: Gemeinsam Verantwortliche ohne gleichwertige Verantwortlichkeit?
Der EuGH qualifiziert die Wirtschaftsakademie letztlich als mit Facebook gemeinsam verantwortlich. Artikel 26 DSGVO knüpft an die gemeinsame Verantwortlichkeit bedeutende Folgen: Die betroffenen Personen können wählen, welchen gemeinsam Verantwortlichen sie auf Erfüllung ihrer Rechte aus der DSGVO in Anspruch nehmen – diese gesamthafte Verpflichtung im Außenverhältnis müssen die gemeinsam Verantwortlichen im Innenverhältnis durch eine transparente Zuständigkeitsmatrix aufschlüsseln und die Erfüllungszuständigkeiten einander eindeutig zuweisen.
Aus dem Rahmen fällt hier die Feststellung des EuGH in Rz. 43, die der gesamthaften Verpflichtung eines jeden Verantwortlichen nach Artikel 26 Absatz 3 DSGVO diametral entgegensteht:
Klarzustellen ist, dass das Bestehen einer gemeinsamen Verantwortlichkeit, wie der Generalanwalt in den Nrn. 75 und 76 seiner Schlussanträge ausgeführt hat, aber nicht zwangsläufig eine gleichwertige Verantwortlichkeit der verschiedenen Akteure zur Folge hat, die von einer Verarbeitung personenbezogener Daten betroffen sind. Vielmehr können diese Akteure in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß in der Weise einbezogen sein, dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist.
Dies mag dem zeitlichen Umstand geschuldet sein, dass sich die Entscheidung noch auf die Datenschutz-Richtlinie 95/46 bezieht. Vielleicht nutzt der EuGH die ausstehende Entscheidung in der Rechtssache Fashion ID, um seine Auslegung des Artikel 26 Absatz 3 DSGVO zu präzisieren.