Der EuGH hat mit Urteil vom 05.06.2018 (Rechtssache C-210/16) entschieden, dass der Betreiber einer Facebook-Fanpage gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich ist.
Die Datenschutzbehörde des Mitgliedstaats, in dem dieser
Betreiber seinen Sitz hat, kann nach der Richtlinie
95/46/EG (Richtlinie 95/46/EG des
Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz
natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum
freien Datenverkehr (ABl. 1995, L 281, S. 31). Diese Richtlinie wurde mit
Wirkung vom 25. Mai 2018 durch die Verordnung (EU) 2016/679 des Europäischen
Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei
der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur
Aufhebung der Richtlinie 95/46/EG (ABl. 2016, L 119, S. 1) aufgehoben)
sowohl gegen ihn als auch gegen die in diesem Mitgliedstaat niedergelassene
Tochtergesellschaft von Facebook vorgehen.
Betreiber seinen Sitz hat, kann nach der Richtlinie
95/46/EG (Richtlinie 95/46/EG des
Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz
natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum
freien Datenverkehr (ABl. 1995, L 281, S. 31). Diese Richtlinie wurde mit
Wirkung vom 25. Mai 2018 durch die Verordnung (EU) 2016/679 des Europäischen
Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei
der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur
Aufhebung der Richtlinie 95/46/EG (ABl. 2016, L 119, S. 1) aufgehoben)
sowohl gegen ihn als auch gegen die in diesem Mitgliedstaat niedergelassene
Tochtergesellschaft von Facebook vorgehen.
Die
Wirtschaftsakademie Schleswig-Holstein ist ein auf den Bereich Bildung
spezialisiertes Unternehmen. Sie bietet u. a. über eine auf Facebook unter der
Adresse www.facebook.com/wirtschaftsakademie unterhaltene Fanpage (Fanpages
sind Benutzerkonten, die bei Facebook von Privatpersonen oder Unternehmen
eingerichtet werden können. Der Fanpage-Anbieter kann nach einer Registrierung
bei Facebook die von diesem unterhaltene Plattform dazu benutzen, sich den
Nutzern dieses sozialen Netzwerks sowie Personen, die die Fanpage besuchen, zu
präsentieren und Äußerungen aller Art in den Medien- und Meinungsmarkt
einzubringen.) Bildungsdienstleistungen an. Die Betreiber von
Fanpages wie die Wirtschaftsakademie können mit Hilfe der Funktion Facebook
Insight, die ihnen Facebook als nicht abdingbaren Teil des
Benutzungsverhältnisses kostenfrei zur Verfügung stellt, anonymisierte
statistische Daten betreffend die Nutzer dieser Seiten erhalten. Diese Daten
werden mit Hilfe sogenannter Cookies gesammelt, die jeweils einen eindeutigen
Benutzercode enthalten, der für zwei Jahre aktiv ist und den Facebook auf der
Festplatte des Computers oder einem anderen Datenträger der Besucher der
Fanpage speichert. Der Benutzercode, der mit den Anmeldungsdaten solcher
Nutzer, die bei Facebook registriert sind, verknüpft werden kann, wird beim
Aufrufen der Fanpages erhoben und verarbeitet.
Wirtschaftsakademie Schleswig-Holstein ist ein auf den Bereich Bildung
spezialisiertes Unternehmen. Sie bietet u. a. über eine auf Facebook unter der
Adresse www.facebook.com/wirtschaftsakademie unterhaltene Fanpage (Fanpages
sind Benutzerkonten, die bei Facebook von Privatpersonen oder Unternehmen
eingerichtet werden können. Der Fanpage-Anbieter kann nach einer Registrierung
bei Facebook die von diesem unterhaltene Plattform dazu benutzen, sich den
Nutzern dieses sozialen Netzwerks sowie Personen, die die Fanpage besuchen, zu
präsentieren und Äußerungen aller Art in den Medien- und Meinungsmarkt
einzubringen.) Bildungsdienstleistungen an. Die Betreiber von
Fanpages wie die Wirtschaftsakademie können mit Hilfe der Funktion Facebook
Insight, die ihnen Facebook als nicht abdingbaren Teil des
Benutzungsverhältnisses kostenfrei zur Verfügung stellt, anonymisierte
statistische Daten betreffend die Nutzer dieser Seiten erhalten. Diese Daten
werden mit Hilfe sogenannter Cookies gesammelt, die jeweils einen eindeutigen
Benutzercode enthalten, der für zwei Jahre aktiv ist und den Facebook auf der
Festplatte des Computers oder einem anderen Datenträger der Besucher der
Fanpage speichert. Der Benutzercode, der mit den Anmeldungsdaten solcher
Nutzer, die bei Facebook registriert sind, verknüpft werden kann, wird beim
Aufrufen der Fanpages erhoben und verarbeitet.
Mit Bescheid vom 3. November 2011 ordnete das Unabhängige
Landeszentrum für Datenschutz Schleswig-Holstein – als nach der Richtlinie
95/46 für die Überwachung der Anwendung der von Deutschland zur Umsetzung
dieser Richtlinie erlassenen Vorschriften im Gebiet des Bundeslandes
Schleswig-Holstein zuständige Kontrollstelle – gegenüber der
Wirtschaftsakademie an, ihre Fanpage zu deaktivieren. Nach Auffassung des
Unabhängigen Landeszentrums für Datenschutz wiesen nämlich weder die
Wirtschaftsakademie noch Facebook die Besucher der Fanpage darauf hin, dass
Facebook mittels Cookies sie betreffende personenbezogene Daten erhebt und
diese Daten danach verarbeitet.
Landeszentrum für Datenschutz Schleswig-Holstein – als nach der Richtlinie
95/46 für die Überwachung der Anwendung der von Deutschland zur Umsetzung
dieser Richtlinie erlassenen Vorschriften im Gebiet des Bundeslandes
Schleswig-Holstein zuständige Kontrollstelle – gegenüber der
Wirtschaftsakademie an, ihre Fanpage zu deaktivieren. Nach Auffassung des
Unabhängigen Landeszentrums für Datenschutz wiesen nämlich weder die
Wirtschaftsakademie noch Facebook die Besucher der Fanpage darauf hin, dass
Facebook mittels Cookies sie betreffende personenbezogene Daten erhebt und
diese Daten danach verarbeitet.
Die Wirtschaftsakademie erhob beim Verwaltungsgericht in
Deutschland eine verwaltungsgerichtliche Klage gegen diesen Bescheid und machte
geltend, dass ihr die Verarbeitung personenbezogener Daten durch Facebook nicht
zugerechnet werden könne und sie Facebook auch nicht mit einer von ihr
kontrollierten oder beeinflussbaren Datenverarbeitung beauftragt habe. Daraus
leitete die Wirtschaftsakademie ab, dass das Unabhängige Landeszentrum direkt
gegen Facebook und nicht gegen sie hätte vorgehen müssen.
Deutschland eine verwaltungsgerichtliche Klage gegen diesen Bescheid und machte
geltend, dass ihr die Verarbeitung personenbezogener Daten durch Facebook nicht
zugerechnet werden könne und sie Facebook auch nicht mit einer von ihr
kontrollierten oder beeinflussbaren Datenverarbeitung beauftragt habe. Daraus
leitete die Wirtschaftsakademie ab, dass das Unabhängige Landeszentrum direkt
gegen Facebook und nicht gegen sie hätte vorgehen müssen.
Vor diesem Hintergrund ersucht das Bundesverwaltungsgericht
(Deutschland) den Gerichtshof um Auslegung der Richtlinie 95/46.
(Deutschland) den Gerichtshof um Auslegung der Richtlinie 95/46.
In seinem Urteil vom heutigen Tag stellt der Gerichtshof
zunächst fest, dass in der vorliegenden Rechtssache nicht in Zweifel gezogen
wird, dass die amerikanische Gesellschaft Facebook und, was die Union betrifft,
deren irische Tochtergesellschaft Facebook Ireland als „für die Verarbeitung“
der personenbezogenen Daten der Facebook-Nutzer und der Personen, die die auf
Facebook unterhaltenen Fanpages besucht haben, „Verantwortliche“ anzusehen
sind. Denn diese Gesellschaften entscheiden in erster Linie über die Zwecke und
Mittel der Verarbeitung dieser Daten.
zunächst fest, dass in der vorliegenden Rechtssache nicht in Zweifel gezogen
wird, dass die amerikanische Gesellschaft Facebook und, was die Union betrifft,
deren irische Tochtergesellschaft Facebook Ireland als „für die Verarbeitung“
der personenbezogenen Daten der Facebook-Nutzer und der Personen, die die auf
Facebook unterhaltenen Fanpages besucht haben, „Verantwortliche“ anzusehen
sind. Denn diese Gesellschaften entscheiden in erster Linie über die Zwecke und
Mittel der Verarbeitung dieser Daten.
Sodann befindet der
Gerichtshof, dass ein Betreiber wie die Wirtschaftsakademie als in der Union
gemeinsam mit Facebook Ireland für die fragliche Datenverarbeitung
verantwortlich anzusehen ist.
Gerichtshof, dass ein Betreiber wie die Wirtschaftsakademie als in der Union
gemeinsam mit Facebook Ireland für die fragliche Datenverarbeitung
verantwortlich anzusehen ist.
Ein solcher Betreiber
ist nämlich durch die von ihm vorgenommene Parametrierung (u. a.
entsprechend seinem Zielpublikum sowie den Zielen der Steuerung oder Förderung
seiner Tätigkeiten) an der Entscheidung
über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der
Besucher seiner Fanpage beteiligt. Der Gerichtshof weist insoweit darauf
hin, dass der Fanpage-Betreiber insbesondere demografische Daten über seine
Zielgruppe – und damit die Verarbeitung dieser Daten – verlangen kann (u. a.
Tendenzen in den Bereichen Alter, Geschlecht, Beziehungsstatus und berufliche Situation),
Informationen über den Lebensstil und die Interessen seiner Zielgruppe
(einschließlich Informationen über die Käufe und das Online-Kaufverhalten der
Besucher seiner Seite sowie über die Kategorien von Waren oder
Dienstleistungen, die sie am meisten interessieren) und geografische Daten, die
ihn darüber informieren, wo spezielle Werbeaktionen durchzuführen oder
Veranstaltungen zu organisieren sind und ihm ganz allgemein ermöglichen, sein
Informationsangebot so zielgerichtet wie möglich zu gestalten.
ist nämlich durch die von ihm vorgenommene Parametrierung (u. a.
entsprechend seinem Zielpublikum sowie den Zielen der Steuerung oder Förderung
seiner Tätigkeiten) an der Entscheidung
über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der
Besucher seiner Fanpage beteiligt. Der Gerichtshof weist insoweit darauf
hin, dass der Fanpage-Betreiber insbesondere demografische Daten über seine
Zielgruppe – und damit die Verarbeitung dieser Daten – verlangen kann (u. a.
Tendenzen in den Bereichen Alter, Geschlecht, Beziehungsstatus und berufliche Situation),
Informationen über den Lebensstil und die Interessen seiner Zielgruppe
(einschließlich Informationen über die Käufe und das Online-Kaufverhalten der
Besucher seiner Seite sowie über die Kategorien von Waren oder
Dienstleistungen, die sie am meisten interessieren) und geografische Daten, die
ihn darüber informieren, wo spezielle Werbeaktionen durchzuführen oder
Veranstaltungen zu organisieren sind und ihm ganz allgemein ermöglichen, sein
Informationsangebot so zielgerichtet wie möglich zu gestalten.
Nach Ansicht des Gerichtshofs kann der Umstand, dass ein
Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die
dazugehörigen Dienstleistungen in Anspruch zu nehmen, diesen nicht von der
Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener
Daten befreien.
Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die
dazugehörigen Dienstleistungen in Anspruch zu nehmen, diesen nicht von der
Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener
Daten befreien.
Der Gerichtshof betont, dass die Anerkennung einer
gemeinsamen Verantwortlichkeit des Betreibers des sozialen Netzwerks und des
Betreibers einer bei diesem Netzwerk unterhaltenen Fanpage im Zusammenhang mit
der Verarbeitung personenbezogener Daten der Besucher dieser Fanpage dazu
beiträgt, entsprechend den Anforderungen der Richtlinie 95/46 einen
umfassenderen Schutz der Rechte sicherzustellen, über die die Personen
verfügen, die eine Fanpage besuchen.
gemeinsamen Verantwortlichkeit des Betreibers des sozialen Netzwerks und des
Betreibers einer bei diesem Netzwerk unterhaltenen Fanpage im Zusammenhang mit
der Verarbeitung personenbezogener Daten der Besucher dieser Fanpage dazu
beiträgt, entsprechend den Anforderungen der Richtlinie 95/46 einen
umfassenderen Schutz der Rechte sicherzustellen, über die die Personen
verfügen, die eine Fanpage besuchen.
Des Weiteren stellt der Gerichtshof fest, dass
das Unabhängige Landeszentrum zuständig war, zur Gewährleistung der Einhaltung
der Vorschriften zum Schutz personenbezogener Daten im deutschen Hoheitsgebiet
von sämtlichen Befugnissen, über die es nach den deutschen Bestimmungen zur
Umsetzung der Richtlinie 95/46 verfügt, nicht nur gegenüber der
Wirtschaftsakademie, sondern auch gegenüber Facebook Germany Gebrauch zu
machen.
das Unabhängige Landeszentrum zuständig war, zur Gewährleistung der Einhaltung
der Vorschriften zum Schutz personenbezogener Daten im deutschen Hoheitsgebiet
von sämtlichen Befugnissen, über die es nach den deutschen Bestimmungen zur
Umsetzung der Richtlinie 95/46 verfügt, nicht nur gegenüber der
Wirtschaftsakademie, sondern auch gegenüber Facebook Germany Gebrauch zu
machen.
Wenn ein außerhalb der Union ansässiges Unternehmen (wie die
amerikanische Gesellschaft Facebook) mehrere Niederlassungen in verschiedenen
Mitgliedstaaten unterhält, ist die Kontrollstelle eines Mitgliedstaats nämlich
auch dann zur Ausübung der ihr durch die Richtlinie 95/46 (Konkret Art. 28 Abs. 3 der Richtlinie 95/46) übertragenen Befugnisse gegenüber einer im
Hoheitsgebiet dieses Mitgliedstaats gelegenen Niederlassung dieses Unternehmens
befugt, wenn nach der konzerninternen Aufgabenverteilung zum einen diese
Niederlassung (hier Facebook Germany) allein für den Verkauf von Werbeflächen
und sonstige Marketingtätigkeiten im Hoheitsgebiet des betreffenden
Mitgliedstaats zuständig ist, und zum anderen die ausschließliche Verantwortung
für die Erhebung und Verarbeitung personenbezogener Daten für das gesamte
Gebiet der Union einer in einem anderen Mitgliedstaat gelegenen Niederlassung
(hier Facebook Ireland) obliegt.
amerikanische Gesellschaft Facebook) mehrere Niederlassungen in verschiedenen
Mitgliedstaaten unterhält, ist die Kontrollstelle eines Mitgliedstaats nämlich
auch dann zur Ausübung der ihr durch die Richtlinie 95/46 (Konkret Art. 28 Abs. 3 der Richtlinie 95/46) übertragenen Befugnisse gegenüber einer im
Hoheitsgebiet dieses Mitgliedstaats gelegenen Niederlassung dieses Unternehmens
befugt, wenn nach der konzerninternen Aufgabenverteilung zum einen diese
Niederlassung (hier Facebook Germany) allein für den Verkauf von Werbeflächen
und sonstige Marketingtätigkeiten im Hoheitsgebiet des betreffenden
Mitgliedstaats zuständig ist, und zum anderen die ausschließliche Verantwortung
für die Erhebung und Verarbeitung personenbezogener Daten für das gesamte
Gebiet der Union einer in einem anderen Mitgliedstaat gelegenen Niederlassung
(hier Facebook Ireland) obliegt.
Weiter führt der Gerichtshof aus, dass dann, wenn die
Kontrollstelle eines Mitgliedstaats (hier das Unabhängige Landeszentrum in
Deutschland) beabsichtigt, gegenüber einer im Hoheitsgebiet dieses
Mitgliedstaats ansässigen Stelle (hier die Wirtschaftsakademie) wegen Verstößen
gegen die Vorschriften über den Schutz personenbezogener Daten, die von einem
Dritten begangen wurden, der für die Verarbeitung dieser Daten verantwortlich ist
und seinen Sitz in einem anderen Mitgliedstaat hat (hier Facebook Ireland), die
Einwirkungsbefugnisse nach der Richtlinie 95/464 auszuüben, diese Kontrollstelle zuständig ist, die
Rechtmäßigkeit einer solchen Datenverarbeitung unabhängig von der Kontrollstelle
des letztgenannten Mitgliedstaats (Irland) zu
beurteilen und ihre Einwirkungsbefugnisse gegenüber der in ihrem Hoheitsgebiet
ansässigen Stelle auszuüben, ohne zuvor die Kontrollstelle des anderen
Mitgliedstaats um ein Eingreifen zu ersuchen.
Kontrollstelle eines Mitgliedstaats (hier das Unabhängige Landeszentrum in
Deutschland) beabsichtigt, gegenüber einer im Hoheitsgebiet dieses
Mitgliedstaats ansässigen Stelle (hier die Wirtschaftsakademie) wegen Verstößen
gegen die Vorschriften über den Schutz personenbezogener Daten, die von einem
Dritten begangen wurden, der für die Verarbeitung dieser Daten verantwortlich ist
und seinen Sitz in einem anderen Mitgliedstaat hat (hier Facebook Ireland), die
Einwirkungsbefugnisse nach der Richtlinie 95/464 auszuüben, diese Kontrollstelle zuständig ist, die
Rechtmäßigkeit einer solchen Datenverarbeitung unabhängig von der Kontrollstelle
des letztgenannten Mitgliedstaats (Irland) zu
beurteilen und ihre Einwirkungsbefugnisse gegenüber der in ihrem Hoheitsgebiet
ansässigen Stelle auszuüben, ohne zuvor die Kontrollstelle des anderen
Mitgliedstaats um ein Eingreifen zu ersuchen.