Betreiber einer Facebook-Fanseite trägt gemeinsam mit Facebook Verantwortung für Verarbeitung perso­nen­be­zogener Daten von Websei­ten­be­suchernNationale Daten­schutz­behörde darf sowohl gegen Fanpage-Betreiber als auch gegen die im Mitgliedstaat niedergelassene Tochter­ge­sell­schaft von Facebook vorgehen

Die Wirtschafts­akademie Schleswig-Holstein ist ein auf den Bereich Bildung spezialisiertes Unternehmen. Sie bietet u.a. über eine auf Facebook unter der Adresse www.facebook.com/wirtschafts­akademie unterhaltene Fanpage Bildungs­dienst­leis­tungen an (Fanpages sind Benutzerkonten, die bei Facebook von Privatpersonen oder Unternehmen eingerichtet werden können. Der Fanpage-Anbieter kann nach einer Registrierung bei Facebook die von diesem unterhaltene Plattform dazu benutzen, sich den Nutzern dieses sozialen Netzwerks sowie Personen, die die Fanpage besuchen, zu präsentieren und Äußerungen aller Art in den Medien- und Meinungsmarkt einzubringen).

Anonymisierte statistische Nutzerdaten werden mit Hilfe sogenannter Cookies gesammelt

Die Betreiber von Fanpages wie die Wirtschafts­akademie können mit Hilfe der Funktion Facebook Insight, die ihnen Facebook als nicht abdingbaren Teil des Benut­zungs­ver­hält­nisses kostenfrei zur Verfügung stellt, anonymisierte statistische Daten betreffend die Nutzer dieser Seiten erhalten. Diese Daten werden mit Hilfe sogenannter Cookies gesammelt, die jeweils einen eindeutigen Benutzercode enthalten, der für zwei Jahre aktiv ist und den Facebook auf der Festplatte des Computers oder einem anderen Datenträger der Besucher der Fanpage speichert. Der Benutzercode, der mit den Anmeldungsdaten solcher Nutzer, die bei Facebook registriert sind, verknüpft werden kann, wird beim Aufrufen der Fanpages erhoben und verarbeitet.

Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein ordnet Deaktivierung der Fanpage an

Mit Bescheid vom 3. November 2011 ordnete das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein - als nach der Richtlinie 95/46 für die Überwachung der Anwendung der von Deutschland zur Umsetzung dieser Richtlinie erlassenen Vorschriften im Gebiet des Bundeslandes Schleswig-Holstein zuständige Kontrollstelle - gegenüber der Wirtschafts­akademie an, ihre Fanpage zu deaktivieren. Nach Auffassung des Unabhängigen Landeszentrums für Datenschutz wiesen nämlich weder die Wirtschafts­akademie noch Facebook die Besucher der Fanpage darauf hin, dass Facebook mittels Cookies sie betreffende perso­nen­be­zogene Daten erhebt und diese Daten danach verarbeitet.

Wirtschafts­akademie sieht Verantwortung für Verarbeitung perso­nen­be­zogener Daten bei Facebook

Die Wirtschafts­akademie erhob beim Verwal­tungs­gericht in Deutschland eine verwal­tungs­ge­richtliche Klage gegen diesen Bescheid und machte geltend, dass ihr die Verarbeitung perso­nen­be­zogener Daten durch Facebook nicht zugerechnet werden könne und sie Facebook auch nicht mit einer von ihr kontrollierten oder beeinflussbaren Datenverarbeitung beauftragt habe. Daraus leitete die Wirtschafts­akademie ab, dass das Unabhängige Landeszentrum direkt gegen Facebook und nicht gegen sie hätte vorgehen müssen.

Vor diesem Hintergrund ersuchte das Bundes­ver­wal­tungs­gericht (Deutschland) den Gerichtshof um Auslegung der Richtlinie 95/46.

EuGH bejaht Verantwortung von Facebook

In seinem Urteil stellte der Gerichtshof zunächst fest, dass in der vorliegenden Rechtssache nicht in Zweifel gezogen wird, dass die amerikanische Gesellschaft Facebook und, was die Union betrifft, deren irische Tochter­ge­sell­schaft Facebook Ireland als "für die Verarbeitung" der perso­nen­be­zogenen Daten der Facebook-Nutzer und der Personen, die die auf Facebook unterhaltenen Fanpages besucht haben, "Verantwortliche" anzusehen sind. Denn diese Gesellschaften entscheiden in erster Linie über die Zwecke und Mittel der Verarbeitung dieser Daten.

Wirtschafts­akademie trägt mit Facebook gemeinsam Verantwortung

Sodann befindet der Gerichtshof, dass ein Betreiber wie die Wirtschafts­akademie als in der Union gemeinsam mit Facebook Ireland für die fragliche Daten­ver­a­r­beitung verantwortlich anzusehen ist. Ein solcher Betreiber ist nämlich durch die von ihm vorgenommene Parametrierung (u.a. entsprechend seinem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten) an der Entscheidung über die Zwecke und Mittel der Verarbeitung der perso­nen­be­zogenen Daten der Besucher seiner Fanpage beteiligt. Der Gerichtshof weist insoweit darauf hin, dass der Fanpage-Betreiber insbesondere demografische Daten über seine Zielgruppe - und damit die Verarbeitung dieser Daten - verlangen kann (u.a. Tendenzen in den Bereichen Alter, Geschlecht, Bezie­hungs­status und berufliche Situation), Informationen über den Lebensstil und die Interessen seiner Zielgruppe (einschließlich Informationen über die Käufe und das Online-Kaufverhalten der Besucher seiner Seite sowie über die Kategorien von Waren oder Dienst­leis­tungen, die sie am meisten interessieren) und geografische Daten, die ihn darüber informieren, wo spezielle Werbeaktionen durchzuführen oder Veranstaltungen zu organisieren sind und ihm ganz allgemein ermöglichen, sein Infor­ma­ti­o­ns­angebot so zielgerichtet wie möglich zu gestalten.

Nach Ansicht des Gerichtshofs kann der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienst­leis­tungen in Anspruch zu nehmen, diesen nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes perso­nen­be­zogener Daten befreien.

Gemeinsame Verantwortung soll umfassenderen Schutz perso­nen­be­zogener Daten sicherstellen

Der Gerichtshof betont, dass die Anerkennung einer gemeinsamen Verant­wort­lichkeit des Betreibers des sozialen Netzwerks und des Betreibers einer bei diesem Netzwerk unterhaltenen Fanpage im Zusammenhang mit der Verarbeitung perso­nen­be­zogener Daten der Besucher dieser Fanpage dazu beiträgt, entsprechend den Anforderungen der Richtlinie 95/46 einen umfassenderen Schutz der Rechte sicherzustellen, über die die Personen verfügen, die eine Fanpage besuchen.

Unabhängige Landeszentrum durfte Zuständigkeit gegenüber Fanpage-Betreiber und Facebook ausüben

Des Weiteren stellt der Gerichtshof fest, dass das Unabhängige Landeszentrum zuständig war, zur Gewährleistung der Einhaltung der Vorschriften zum Schutz perso­nen­be­zogener Daten im deutschen Hoheitsgebiet von sämtlichen Befugnissen, über die es nach den deutschen Bestimmungen zur Umsetzung der Richtlinie 95/46 verfügt, nicht nur gegenüber der Wirtschafts­akademie, sondern auch gegenüber Facebook Germany Gebrauch zu machen.

Unabhängiges Landeszentrum darf ohne Ersuchen an irische Kontroll­be­hörden agieren

Unterhält ein außerhalb der Union ansässiges Unternehmen (wie die amerikanische Gesellschaft Facebook) mehrere Niederlassungen in verschiedenen Mitgliedstaaten, ist die Kontrollstelle eines Mitgliedstaats nämlich auch dann zur Ausübung der ihr durch die Richtlinie 95/46** übertragenen Befugnisse gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats gelegenen Niederlassung dieses Unternehmens befugt, wenn nach der konzerninternen Aufga­ben­ver­teilung zum einen diese Niederlassung (hier Facebook Germany) allein für den Verkauf von Werbeflächen und sonstige Marke­ting­tä­tig­keiten im Hoheitsgebiet des betreffenden Mitgliedstaats zuständig ist, und zum anderen die ausschließliche Verantwortung für die Erhebung und Verarbeitung perso­nen­be­zogener Daten für das gesamte Gebiet der Union einer in einem anderen Mitgliedstaat gelegenen Niederlassung (hier Facebook Ireland) obliegt. Weiter führt der Gerichtshof aus, dass dann, wenn die Kontrollstelle eines Mitgliedstaats (hier das Unabhängige Landeszentrum in Deutschland) beabsichtigt, gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats ansässigen Stelle (hier die Wirtschafts­akademie) wegen Verstößen gegen die Vorschriften über den Schutz perso­nen­be­zogener Daten, die von einem Dritten begangen wurden, der für die Verarbeitung dieser Daten verantwortlich ist und seinen Sitz in einem anderen Mitgliedstaat hat (hier Facebook Ireland), die Einwir­kungs­be­fugnisse nach der Richtlinie 95/46*** auszuüben, diese Kontrollstelle zuständig ist, die Rechtmäßigkeit einer solchen Daten­ver­a­r­beitung unabhängig von der Kontrollstelle des letztgenannten Mitgliedstaats (Irland) zu beurteilen und ihre Einwir­kungs­be­fugnisse gegenüber der in ihrem Hoheitsgebiet ansässigen Stelle auszuüben, ohne zuvor die Kontrollstelle des anderen Mitgliedstaats um ein Eingreifen zu ersuchen.