Das lang erwartete Urteil ist gefällt. Der EuGH entschied am 05.06.2018, dass der Betreiber einer Fanpage für die Datenschutzverletzungen von Facebook mit verantwortlich sei. Er brachte dabei auch zum Ausdruck, dass der Betreiber einer Fanpage auch selbst Datenverarbeitungen über seinen Facebookauftritt in Bezug auf Besucher veranlasse und auch deshalb hafte. Die Reaktionen auf das Urteil fallen – erwartungsgemäß – höchst unterschiedlich aus.

Was ist geschehen – in dem seit 2011 andauernden Verfahren?

Die Landesdatenschutzbehörde in Schleswig Holstein hatte per Verbotsverfügung gefordert, den Betrieb des Facebook Auftritts der Wirtschaftsakademie Schleswig-Holstein einzustellen. Die betroffene private verantwortliche Stelle legte Rechtsbehelf zum Verwaltungsgericht ein und obsiegte sowohl in der ersten als auch in der zweiten Instanz, dann vor dem Oberverwaltungsgericht Schleswig. Im Kern wurden jene Entscheidungen darauf gestützt, dass die Verstöße gegen das Datenschutzrecht allein von Facebook zu verantworten seien. Die Betreiber einer Fanpage hätten darauf keinen Einfluss. Sowohl rechtlich, als auch rein technisch und tatsächlich, könnte ein Betreiber einer Facebook Fanpage das „ob“ und „wie“ der Verarbeitung personenbezogener Daten seitens Facebook im Verhältnis zu den Besuchern der Fanpage letztendlich nicht datenschutzkonform ausgestalten. Das könne nur der Plattformbetreiber selbst.

Der Europäische Gerichtshof sieht das anders (vgl. Pressemitteilung mit der Zusammenfassung (PDF) hier).

Das Gericht befindet,

„dass ein Betreiber wie die Wirtschaftsakademie als in der Union gemeinsam mit Facebook Ireland für die fragliche Datenverarbeitung verantwortlich anzusehen ist.“

Dabei stützt sich das Gericht auf die Feststellung, dass sowohl Facebook Inc., als auch Facebook Ireland, vor allem aber eben auch der Betreiber einer Fanpage

„an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt“

sind und daher gemeinsam Verantwortliche sind. Es fällt auf, dass dieser Wortlaut, exakt den Anforderungen an die gemeinsame Verantwortlichkeit der Datenschutzgrundverordnung (DSGVO) entspricht. Denn in Artikel 26 Abs. 1 heißt es,

„legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche“

Sie sind dann auch weiter verpflichtet, „in transparenter Form“ fest zu legen, „wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt“

Der EuGH hatte sich zudem mit Zuständigkeitsfragen zu befassen und hat auch hier eine liberale, verbraucherfreundliche, den Datenschutz vor Ort fördernde und fordernde Auffassung vertreten. Hierauf soll an dieser Stelle zunächst nicht eingegangen werden.

 

Kontext – Datenschutz ein überholtes, nicht mehr zeitgemäßes Recht?

Zunächst ist eines ausdrücklich festzuhalten: Das Urteil des EuGH kommt nicht (!) überraschend.

Bereits im Gutachten vom Oktober 2017 sind genau diese entscheidenden Argumente und auch die Empfehlung zu eben jener Entscheidung veröffentlicht worden. Auch in den Fachkreisen ist diese Entscheidung durchaus als möglich angesehen worden, weil es eine Vielzahl starker juristischer Argumente gibt. Dabei muss berücksichtigt werden, dass es um rechtliche Fragen der Haftung, der Beteiligung an unerlaubten Handlungen, also Rechtsverstößen geht, für die entweder einer allein oder eben mehrere gemeinsam durch anteiliges Zusammenwirken auch gemeinsam verantwortlich sind. Es ist auch keineswegs festgestellt worden, dass der Fanpage Betreiber allein oder gar überwiegend verantwortlich sei, sondern nur, dass ihn jedenfalls auch ein Haftungsanteil trifft und er deshalb mitverantwortlich sei.

Der EuGH argumentiert u.a. auch damit, dass der Persönlichkeitsrechtsschutz, zu dem die Grundrechtscharta als auch die Verträge der EU – in Deutschland übrigens auch das Grundgesetzt – verpflichten, effektiv sein müssen. Das heißt, sie müssen wirken und nicht etwa über Umwege trivial ausgehebelt werden können.

Und Datenschutzrecht ist nicht irgend ein überflüssiges Gut, gar ein die wirtschaftlichen Chancen und Entfaltungsmöglichkeiten behinderndes Instrument. Es ist auch nicht dazu geschaffen, das Internet abzuschaffen oder Europa Wettbewerbsnachteile zu verschaffen.

Es geht um das große und ganze: Es geht um den Schutz der Persönlichkeit, d.h. um jeden einzelnen von uns und was die sozialen Netzwerke angeht – die Nachwachsenden und Heranwachsenden, die eine Zeit ohne Facebook und Instagram kaum noch kennen.

Es geht um den Schutz vor Überwachung, Ausnutzung, Manipulation und Beeinträchtigung seiner individuellen und freiheitlichen Lebensgestaltung durch gezieltes Ausforschen und Manipulieren, ohne dass der Betroffene weiss oder in Erfahrung bringen kann, was alles über ihn erhoben, gespeichert, ausgewertet, zusammengeführt und sodann etwa Dritten zur werblichen Ausnutzung überlassen oder von Dritten ungefragt dazu genutzt wird. Letzteres zeigt der Facebook Skandal zu Cambridge Analytica.

Das sollten sich die aufschreibenden Kritiker noch einmal genau vergegenwärtigen, wenn sie nun erklären, „nein, so weit soll aber das Datenschutzrecht nicht reichen“.

Was ist zu tun – abschalten?

Wie immer in solchen Fällen, ist abzuwägen und am Ende eine individuelle Entscheidung zu treffen. Es geht aus unternehmerischer Sicht um Risikomanagement. Formal könnte zunächst einmal festgehalten werden, dass es hier nur um ein ganz individuelles Verfahren geht. Zudem muss nunmehr das vorlegende Bundesverwaltungsgericht zunächst einmal seine Revisionsentscheidung treffen.

Und dennoch sollte sich jeder die Frage stelle, wie er auf diese Feststellungen des höchsten europäischen Zivilgerichts reagiert.

Die Datenschutzkonferenz des Bundes und der Länder hat am 06.06.2018, d.h. einen Tag nach dem Urteil, eine Entschließung

„Die Zeit der Verantwortungslosigkeit ist vorbei: EuGH bestätigt gemeinsame Verantwortung von Facebook und Fanpage-Betreibern“

in Bezug auf Facebook getroffen und veröffentlicht (hier der Link auf das PDF).

Zur Begründung:

„Das Urteil des EuGH zur gemeinsamen Verantwortung von Facebook und den Betreibern einer Fanpage hat unmittelbare Auswirkungen auf die Seitenbetreiber. Diese können nicht mehr alle in auf die datenschutzrechtliche Verantwortung von Facebook verweisen, sondern sind selbst mitverantwortlich für die Einhaltung des Datenschutzes gegenüber den Nutzenden ihrer Fanpage.“

Und wie oben ausgeführt, hegen die Datenschutzaufsichtsbehörden keinen Zweifel, dass die Rechtslage sich nicht durch die Datenschutzgrundverordnung (DS-GVO) geändert habe.

„die vom EuGH festgestellte Mitverantwortung der Seitenbetreiber erstreckt sich auf das jeweils geltende Recht, insbesondere auf die in der DS-GVO festgeschriebenen Rechte der Betroffenen und Pflichten der Verarbeiter“

Im Schluss-Statement der Entschließung vom 06. Juni 2018 heißt es sodann:

„Die deutschen Aufsichtsbehörden weisen darauf hin, dass nach dem Urteil des EuGH dringender Handlungsbedarf für die Betreiber von Fanpages besteht. Dabei ist nicht zu verkennen, dass die Fanpage-Betreiber ihre datenschutzrechtlichen Verantwortung nur erfüllen können, wenn Facebook selbst an der Lösung mitwirkt und ein datenschutzkonformes Produkt anbietet, das die Rechte der Betroffenen wahrt und einen ordnungsgemäßen Betrieb in Europa ermöglicht.“

Bemerkenswert daran ist – sie fordern nicht dazu auf, die Fanpages abzuschalten. D.h. die Unternehmens Facebook Auftritte können nach Meinung der Datenschützer online gehalten werden, sofern nachgebessert wird.

Sie erklären detailliert, dass seitens aller Verantwortlicher, also seitens Facebook und der Fanpage Betreiberm Handlungsbedarf bestünde. Es müssen also die nach der nunmehr zum 25. Mai 2018 anzuwendenden Datenschutzgrundverordnung bestehenden Rechte der Besucher gewahrt und insbesondere die erforderlichen Kundeninformationen nach Art. 13 und Art. 14 DSGVO zutreffend erfolgen.

Es gilt also eine Reihe von Maßnahmen kurzfristig umzusetzen, um die vom Gerichtshof als auch den Datenschützern beanstandeten Defizite abzustellen. Und da wir hier über europäisches Gemeinschaftsrecht sprechen, gilt dies nach Maßgabe der Europäischen Datenschutzgrundverordnung nunmehr für ganz Europa – ab sofort.

 

0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.