Der EuGH hat entschieden, dass die Betreiber von Facebook-Fanpages auch Verantwortliche im Sinne des Datenschutzrechts sind. Dieses Urteil und vor allem die Folgen für Fanpage-Betreiber werden vielfach kritisch bewertet. Was ist nun nach ein paar Monaten nach dem Urteil zu tun?
Mit Urteil vom 5.6.2018 (C-210/16) hat der Europäische Gerichtshof entschieden, dass die Betreiber von Facebook-Fanpages auch Verantwortliche im Sinne des Datenschutzrechts sind. Hierbei nahm das Gericht an, dass die Fanpage-Betreiber eine nicht unerhebliche Rolle bei der Datenverarbeitung spielen:
"Mit Hilfe von durch Facebook zur Verfügung gestellten Filtern kann der Betreiber die Kriterien festlegen, nach denen diese Statistiken erstellt werden sollen, und sogar die Kategorien von Personen bezeichnen, deren personenbezogene Daten von Facebook ausgewertet werden.“
Folglich trägt der Betreiber einer auf Facebook unterhaltenen Fanpage zur Verarbeitung der personenbezogenen Daten der Besucher seiner Seite bei.
Mehr Informationen über das Urteil finden Sie in unserem Beitrag. Unterdessen hat die Datenschutzkonferenz (DSK) in einem Papier eine strenge Position vertreten und fordert "dass nun die Anforderungen des Datenschutzrechts beim Betrieb von Fanpages erfüllt werden".
Im Folgenden sollen zwei Stimmen aus der juristischen Fachliteratur vorgestellt werden, die sich mit dem Urteil und dessen Bedeutung für die Praxis auseinandersetzen
"Insgesamt handelt es sich um ein Urteil, das mehr Fragen aufwirft, als es beantwortet."
So schließt die Anmerkung von Johannes Marosi und Luisa Matthé (ZD 2018, 361).
Zu schwammig seien die Gründe der Richter und das Urteil selbst zu sehr auf den Einzelfall bezogen.
Da das Gericht zum einen auf die Eröffnung und zum anderen auf die Konfiguration (Parametrierung) der Fanpage durch den Betreiber (welche Cookies für welches Zielpublikum gesammelt werden sollen) abstellt, um einen ausreichenden Beitrag des Betreibers zur Entscheidung über Mittel und Zweck der Datenverarbeitung und somit die gemeinsame Verantwortlichkeit zu bejahen, ergäben sich - so die Autoren - drei Möglichkeiten:
Hier sei der Nachteil die zu hohe Komplexität einer solchen Interpretation. Ansonsten käme es für die Feststellung einer gemeinsamen Verantwortlichkeit auf die aufwendige und kostspielige Ermittlung eines evtl. äußerst komplexen technischen Sachverhaltes an. Dies sei nicht praktikabel.
Dann sei auch fraglich, welche Parametrierung ausreiche und was diese genau im Gesamtbild sei. Alle diese Fragen habe der EuGH nur knapp oder gar nicht beantwortet.
Letztere Auslegung sei allerdings als der Standpunkt des EuGH zu betrachten, weil er in seiner Begründung die maßgeblichen Elemente der Definition des Verantwortlichen in Zusammenhang mit der Parametrierung anspreche.
Ein weiterer Kritikpunkt von Marosi/Matthé an dem Urteil: Es sei zu sehr auf den Einzelfall bezogen und ließe sich nur schlecht auf andere Sachverhalte anwenden.
Um dem Urteil mehr Signalwirkung und eine größere Abstrahierungsfähigkeit zu geben, hätten sie sich eine genauere Auseinandersetzung mit den Elementen der Definition und eine Abgrenzung zum Auftragsverarbeiter gewünscht.
Denn in der aktuellen Entscheidung sei die Herleitung der Verantwortlichkeit durch den EuGH nicht ganz eindeutig und stark fallspezifisch. Somit verursache sie eine Unsicherheit dahingehend, welche praktischen Konsequenzen zu erwarten sind.
Vor allem könne man derzeit nicht wissen, ob Verhältnisse, die bislang für eine Auftragsverarbeitung gehalten wurden, doch nicht als gemeinsame Verantwortlichkeit zu kategorisieren wären.
Marosi und Matthé halten es ebenso für wichtig, klar nach den Verantwortungssphären zu differenzieren.
Der Fanpage-Betreiber sei für die Verarbeitung personenbezogener Daten innerhalb ihrer Inhalte, also etwa Posts bzw. Beiträge auf der Fanpage verantwortlich. Man könnte dies auch als Inhaltsdatenverantwortlichkeit bezeichnen.
Die sonstige Datenverarbeitung durch die Plattform, die eigentlich im Rahmen ihrer Nutzung geschehe, könne wiederum eine Nutzungsverantwortlichkeit sein, die einen anderen Maßstab erweisen könnte.
Indem der EuGH gegen den Grundsatz der einzelfall- und einzelverarbeitungsbezogenen Bestimmung des Verantwortlichen versuche, mehrere Verarbeitungen (durch den Betreiber der Fanpage und durch den Infrastrukturanbieter) miteinander zu knüpfen, um zum Ergebnis zu gelangen, zeige er die Schwäche des kaum differenzierten Verantwortlichkeitssystems, welches nur den Verantwortlichen und den Auftragsverarbeiter kennt.
Es werde nicht genügend zwischen dem Verantwortungsgrad des Fanpage-Betreibers, der keinen direkten Einfluss und keine Einsicht in die internen Verarbeitungsprozesse von Facebook hat, und demjenigen von Facebook unterschieden.
So werde die Abgrenzung auch für den Betroffenen schwieriger, an wen und wann er sich mit der Geltendmachung seiner Rechte wenden soll, was Art. 26 Abs. 3 DSGVO zu verhindern versuche, indem er die Inanspruchnahme jedes einzelnen gemeinsam Verantwortlichen erlaube.
Zusammengefasst sehen Marosi und Matthé in diesem Urteil keine fortschrittliche und aufschlussreiche Rechtsprechung, sondern eine chaotische und verwirrende Argumentation, die ungewisse Folgen mit sich bringt.
In seiner Anmerkung zum Urteil beklagt Dr. Sönke E. Schulz ebenfalls die Realitätsentfernung und die praktisch nicht tragfähigen Lösungen der EuGH-Entscheidung (ZD 2018, 363).
Dessen Ansicht nach konstruiere der EuGH für jede Form auch der mittelbaren „Beteiligung“ (in seinen eigenen Worten) an der Datenverarbeitung eine direkte Verantwortlichkeit, die den Grad und Ausmaß der eigentlichen Tätigkeit in Bezug auf die Datenverarbeitung selbst vollkommen außer Acht lässt.
Insbesondere stützt sich der EuGH in der Begründung auf das vertragliche Verhältnis zwischen dem Fanpage-Betreiber und Facebook, kraft dessen ersterer bestimmte Daten der Besucher seiner Seite von Facebook verlangen könne.
Dies sei laut dem Autor zum einen realitätsfern (da Facebook sich nur unwahrscheinlich dem Verlangen eines einzelnen Fanpage-Betreibers unterwürfe) und hätte zum anderen eine nähere Befassung des EuGH mit dem Begriff des Auftragverarbeiters erfordert, der nach der Logik des Gerichts eigentlich praktisch überflüssig bliebe.
Ferner befindet Dr. Schulz, dass der EuGH sich in der Entscheidung zu stark vom Zweck habe leiten lassen, einen möglichst umfassenden Schutz zu gewähren, und dabei den Wortlaut der einschlägigen Gesetze komplett missachtet.
Sowohl die alte DS-RL (nach der der Fall entschieden wurde) als auch die DSGVO definieren den Verantwortlichen als jemanden, der über die Zwecke und Mittel der Verarbeitung entscheidet, und beziehen den Auftragsverarbeiter ein.
In diesem Sinne seien Verantwortlichkeit und „Beteiligung“ laut dem Autor unterschiedliche Kategorien und der Wortlaut der jeweiligen Normen könne keine solche Auslegung ergeben, wie sie der EuGH vorgenommen habe.
Auch vor dem Gesichtspunkt der Effektivität der Rechtsdurchsetzung und der Herbeiführung eines hohen Schutzes sei fraglich, ob diese Aufgabe der Gerichtsbarkeit seien oder nicht vielmehr als rechtspolitische Frage der europäischen und nationalen Gesetzgebung.
Dr. Schulz erinnert in seiner Anmerkung noch einmal an die ursprüngliche, für die Funktionsweise des Internets grundlegende Differenzierung, die z.B. auch dem TMG zugrunde liegt – zwischen der technischen Infrastrukturebene einerseits und den darauf angebotenen Diensten andererseits.
Da habe die Verantwortlichkeit ungeteilt bei dem Dienstanbieter bzw. dem Homepage-Betreiber gelegen – unabhängig davon, welcher Infrastruktur eines Dritten er sich bediene, weil er letztens den Datenfluss auf seiner Homepage beherrsche.
Mit dem Aufschwung sozialer Netzwerke und anderer ähnlicher Plattformen sei eine neue Konstellation geschaffen, in der der Anbieter von Inhalten keine Kontrolle mehr über die Gestaltung der Datenverarbeitungsprozesse hat.
Dieser Tatsache habe der EuGH ebenfalls in der Auslegung Rechnung tragen müssen, denn ihre Sichtweise in der Entscheidung die Verantwortlichkeit ins Unendliche ausdehne:
So sei nach besagter Logik im Extremfall eine die datenschutzrechtliche Verantwortlichkeit auslösende Beteiligung auch schon deswegen anzunehmen, weil jemand eine Homepage erstellt hat, die Menschen erst dazu verleitet, überhaupt ins Netz zu gehen und die Datenverarbeitung durch den Provider zu ermöglichen.
Der Autor weist kurz daraufhin, dass der EuGH in dem Urteil keine Aussage zur Rechtmäßigkeit des Betreibens einer Fanpage auf Facebook getroffen hat und selbst von einer nicht gleichwertigen, wenn auch gemeinsamen Verantwortlichkeit ausgegangen ist.
Vor diesem Hintergrund und sogar vor demjenigen der Effektivität sei es vielleicht nicht unbedingt richtig, die Inanspruchnahme des „Beteiligten“ vor derjenigen des unmittelbar und Hauptverantwortlichen vorzuziehen.
Seiner Meiung nach müsse sich das Betreiben von Fanpages auf Facebook künftig auf eine hinreichende Abwägung aller widerstreitenden Interessen (der Betroffenen, der Seitenbetreiber, von Facebook selbst) stützen, um legitimiert zu sein.
Auf der Basis dieser Abwägung müssten Behörden ebenfalls die Verhältnismäßigkeit eines eventuellen Vorgehens gegen den Seitenbetreiber überprüfen (wozu sie ohnehin rechtlich verpflichtet sind) und dann die entsprechende Entscheidung treffen.
Dies fordere schließlich auch die DSGVO mit der Zulässigkeit der Datenverarbeitung zur Wahrung der berechtigten Interessen (Art. 6 lit. f DSGVO).
Die Kritik der Experten an der Entscheidung des EuGH ist einheitlich und eindeutig: Dieser habe in dem Urteil Verantwortungsebenen und pure Tatsachen sowie mögliche Implikationen für die Praxis vollkommen unberücksichtigt gelassen, um zu der gewünschten Entscheidung zu kommen, auch wenn diese auf einer wackeligen rechtlichen und argumentativen Prämisse fuße.
In dieser Hinsicht wird man die Entscheidung des BVerwG, welches den EuGH mit dem Fall erst befasste, in der Sache abwarten müssen und beobachten, wie die Behörden und Facebook nachher in der Praxis vorgehen werden.