Der Hintergrund:
Im Jahre 2011 wies die zuständige Datenschutzbehörde die Wirtschaftsakademie Schleswig Holstein dazu an, ihre Facebook-Fanpage zu deaktivieren. Daraufhin hatte die Wirtschaftsakademie das Landeszentrum Schleswig-Holstein vor dem Verwaltungsgericht verklagt. Nach ihrer Ansicht könne ihr die Datenverarbeitung durch Facebook nicht zugerechnet werden. Die alleinige Verantwortlichkeit für die Verarbeitung der personenbezogenen Daten von Besuchern der Facebook-Fanpage läge vielmehr bei Facebook. Nachdem die Wirtschaftsakademie zunächst mit dieser Rechtsansicht in den Vorinstanzen obsiegte, rief das Bundesverwaltungsgericht den EuGH im Rahmen eines Vorabentscheidungsersuchen zur Klärung der Auslegung der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 an. Die Entscheidung des EuGH erging somit zwar auf Grundlage der alten Datenschutzrichtlinie, die Regeln zur Verantwortlichkeit sind jedoch mit denen in der Datenschutzgrundverordnung (DSGVO) identisch.

Die Entscheidung des EuGH:
In seiner Entscheidung vom 5. Juni 2018 (C-210/16) stellt das Gericht zunächst fest, dass – die Europäische Union betreffend – die irische Gesellschaft Facebook Ireland verantwortlich für die Verarbeitung von personenbezogenen Daten der Besucher von Fanpages ist. Grund hierfür sei vor allem die Tatsache, dass Facebook in erster Linie über die Mittel und Zwecke dieser Verarbeitung entscheidet. Darüber hinaus stellt das Gericht jedoch auch fest, dass Betreiber dieser Fanpages gemeinsam mit Facebook als sog. Joint Controller für die Datenverarbeitung verantwortlich sind, folglich also gerade nicht von datenschutzrechtlichen Verpflichtungen befreit sind. Dies folge zum einen aus dem Umstand, dass die Betreiber bestimmte geographische oder demographische Daten einsehen und nutzen, zum anderen aber auch aus der Tatsache, dass der Betreiber einer Fanpage die Erhebung der personenbezogenen Daten überhaupt erst ermöglicht.

Folgen für Betreiber:
Daraus folgt für den Betreiber einer Facebook-Fanpage, dass er gemeinsam mit Facebook für die Einhaltung der datenschutzrechtlichen Bestimmungen verantwortlich ist. Er muss unter anderem entsprechend Art. 24 Abs. 1 DSGVO sicherstellen und den Nachweis erbringen, dass die Verarbeitung der Daten gemäß der Datenschutzgrundverordnung erfolgt. Weiter muss der Betreiber die umfangreichen Auskunfts- und Informationspflichten aus Art. 12 ff. DSGVO bedienen.

Fazit:
Das Urteil des EuGH stellt damit viele Unternehmen als Betreiber von Fanpages vor aktuell allein nicht zu bewältigende Herausforderungen. Facebook hat zwar mittlerweile auf die Entscheidung reagiert und bietet eine solche Joint Controller-Vereinbarung für Betreiber von Fanpages an. Die rein formalen Anforderungen der Datenschutzgrundverordnung werden mit dem Zurverfügungstellen dieser Vereinbarung auch erfüllt. Allerdings bleibt offen, wie beispielsweise mit Cookies zu verfahren ist oder wie es sich verhält, wenn ein außerhalb des EWR ansässiges Unternehmen eine Fanpage betreibt, da die von Facebook bereitgestellte Joint Controller-Vereinbarung lediglich für unionsansässige Unternehmen gelten soll und die DSGVO auf Grund des geltenden Marktortprinzips auch auf außerhalb des EWR ansässige Unternehmen Anwendung finden kann. Schließlich sollten Betreiber auch klären, ob sie die von der Datenschutzkonferenz geforderte umfangreiche Kenntnis vom Verarbeitungsvorgang (Kategorien der personenbezogenen Daten, Zweck der Verarbeitung, Löschfristen) haben.

EuGH: Betreiber einer Facebook-Fanpage sind gemeinsam mit Facebook als sog. Joint-Controller verantwortlich für die Verarbeitung von personenbezogenen Daten
Markiert in: