Die Juristen ahnten es, gestern war es so weit. Der EuGH entschied (sehr verkürzt dargestellt):
- Facebook-Seitenbetreiber und Facebook sind als gemeinsam für die Datenverarbeitung verantwortlich zu betrachten.
- Nationale Aufsichtsbehörden sind für die Rechtsdurchsetzung zuständig, wenn ein Verantwortlicher eine Niederlassung im Hoheitsgebiet vorhält.
Wie ein Donnerschlag rollt diese Entscheidung durchs Netz. Die Anwälte diskutieren über die Auswirkungen, erste Facebook-Seiten (auch von Anwaltskanzleien) werden vom Netz genommen. Und die DSGVO, die ist sowieso an allem Schuld.
Worüber ist eigentlich entschieden worden? Worüber ist nicht entschieden worden? Ist die DSGVO schuld? Was sind die Auswirkungen des Urteils? Und müssen Facebook-Seiten jetzt abgeschaltet werden?
Diesen Fragen versuche ich hier in aller Kürze – soweit als überhaupt möglich – auf den Grund zu gehen.
Worüber ist entschieden worden?
Die Entscheidung geht auf einen Rechtsstreit zwischen dem ULD (Unabhängiges Landesdatenschutzzentrum Schleswig-Holstein, Aufsichtsbehörde SH) und der Wirtschaftsakademie Schleswig-Holstein aus dem Jahr 2011 zurück. Worum es ursprünglich ging, hatte ich zuletzt am 11. Oktober 2013 einmal zusammen gefasst, ich zitiere:
Zum besseren Verständnis fasse ich das Problem mit Facebook Insights und damit den Gegenstand des Verfahrens hier noch einmal zusammen: Die Datenschützer werfen den Fanpagebetreibern vor, dass deren Besucher durch Facebook Insights statistisch erfasst werden. Mitglieder werden namentlich – also konkret personenbezogenen – erfasst. Dies bedürfte einer ausdrücklichen Einwilligung. Eine solche ausdrückliche Erteilung einer Einwilligung ist jedoch im gesamten Facebook-Prozess nicht vorgesehen. Nichtmitglieder werden jedenfalls pseudonymisiert erfasst. § 15 Abs. 3 TMG sieht hier jedoch eine Widerspruchsmöglichkeit für den User vor. Diese Möglichkeit gibt es nicht, sie wird von Facebook nicht angeboten.
Für diese Datenschutzverstöße seien nach Auffassung des ULD die Fanpagebetreiber auch mitverantwortlich. So ergingen gegen verschiedene Unternehmen Ordnungsverfügungen, wonach die Seitenbetreiber die Fanpages abzuschalten hatten. Diese Ordnungsverfügungen sind Gegenstand des vorgestern entschiedenen Verfahrens in Schleswig gewesen.
In dem oben genanten Artikel hatte ich mich lang und breit mit der Rechtsauffassung von Dr. Weichert (ULD) auseinander gesetzt und bin zu dem Schluss gekommen, dass diese durchaus begründet und rechtlich nachzuvollziehen (wenn nicht gar theoretisch richtig) ist, aber dass ich diese Rechtsauffassung in der Sache für vollkommen falsch halte.
Es erscheint schlicht nicht sachgemäß Wirtschaftstreibende dafür zu bestrafen, dass sie einen Dienst nutzen, auf dessen Nutzung sie einerseits aufgrund der nahezu monopolartigen Stellung als Social Network angewiesen sind und auf dessen Datenverarbeitungsvorgänge sie andererseits überhaupt keinen Einfluss haben. Denn Facebook-Insights können durch Fanpagebetreiber nicht abgestellt werden. Also selbst wenn ein Fanpagebetreiber den Dienst nicht wollte, so muss er ihn „in Kauf nehmen“, wenn er eine Facebook-Seite betreiben will. Und aufgrund der jedenfalls oligopolartigen Stellung, die Facebook als Social Network inne hat, ist natürlich eine „Einflussnahme“ in der Form den Dienst doch einfach nicht zu nutzen, natürlich keine.
Wie aus den vorstehenden Zeilen zu entnehmen ist, gab es um diese Ordnungsverfügung einen Gerichtsprozess. Dieser fand vor dem VG Schleswig statt. Und dieses sah – kurz und knapp ausgedrückt – keine Verantwortung für die Datenverarbeitung bei Facebook durch die Seitenbetreiber und hob den Bescheid des ULD auf. Die dagegen vom ULD eingelegte Berufung wies das OVG Schleswig zurück und so landete das ganze vor dem Bundesverwaltungsgericht (BVerwG).
Das BVerwG war sich nicht so richtig sicher, ob ein Facebook-Seitenbetreiber angesichts des Wortlauts der Europäischen Datenschutzrichtlinie 95/46, welche bei der Auslegung zu berücksichtigen war, wirklich nicht als Verantwortlicher zu betrachten war. Und es tat, was es in so einer Situation tun muss und legte sogenannte „Fragen zur Vorabentscheidung“ dem EuGH vor.
Und da sind wir nun, beim Urteil C-210/2016.
In Art. 2 d) heißt es
„für die Verarbeitung Verantwortlicher“ [bezeichnet] die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Meines Erachtens dogmatisch sauber und konsequent kommt der EuGH zu dem Schluss, dass vorliegend eine gemeinsame Verantwortung für die Verarbeitung gegeben ist. Und zwar – wieder sehr verkürzt ausgedrückt – weil dem Seitenbetreiber dadurch (d.h.) über Facebook die Möglichkeit gegeben wird, Cookies und damit Tracking-Möglichkeiten auf den Endgeräten der User zu platzieren – und dies unabhängig davon, ob der Nutzer nun selbst über ein Facebook-Konto verfügt oder nicht. Dies wiederum, also die damit erhobenen und durch Facebook ausgewerteten Daten, ermöglichen dem Seitenbetreiber zielgruppenspezifisches Targeting durchzuführen, auch wenn er selbst nur aggregierte Auswertungen über Insights und keine unmittelbaren personenbezogenen Daten erhält. –
Lange Rede, kurze Sinn, der Seitenbetreiber „hat was“ von der durch Facebook (auch über und durch den Seitenbetreiber) vorgenommenen Datenverarbeitung und ist deshalb als gemeinsam Verantwortlicher im Sinne der EU-Datenschutzrichtlinien zu betrachten.
Worüber ist nicht entschieden worden?
Es ist aber auch wichtig zu wissen, worüber nicht entschieden wurde: Nämlich darüber, ob eine rechtswidrige Datenverarbeitung vorliegt. Im Urteil des EuGH ging es nur um die Fragen einer gemeinsamen Verantwortung für die Datenverarbeitung und um die Frage der Zuständigkeiten.
Ist die DSGVO schuld?
Nein, der DSGVO kann ja vieles nachgesagt werden und es ist auch sicher nicht alles darin Gold, was als glänzend dargestellt wird. Aber die DSGVO hat mit diesem Urteil nun wirklich nichts zu tun. Wie gesagt, geht der Rechtsstreit auf das Jahr 2011 zurück und die Entscheidung basiert auf Art. 2 Ziffer d) der EU-Datenschutzrichtlinie.
Diese Richtlinie ist passé. Es gilt nun mehr die DSGVO.
Und doch ist damit das Thema nicht vom Tisch. Schließlich kennt die DSGVO ebenfalls die Rechtsfigur der gemeinsamen Verantwortung. Dies ist in Art. 26 DSGVO festgehalten. Und was steht da? Letztlich ist dort geschrieben, dass bei einer gemeinsamen Verantwortung für eine Datenverarbeitung ein Vertrag zu schließen ist, in dem diese Verantwortlichkeiten festgehalten und den Betroffenen zur Verfügung gestellt werden (müssen). Neben den sonstigen Informationspflichten, die man als Verantwortlicher so hat.
Was sind die Auswirkungen des Urteils?
Was tatsächlich die Auswirkungen dieses Urteils sind, kann derzeit noch niemand wirklich sagen. Man kann eigentlich nur den Ist-Stand beschreiben und den einen oder anderen Blick in die Glaskugel werfen.
Der Ist-Zustand ist der Folgende:
Grundsätzlich ist in Fällen wie dem Vorliegenden von einer gemeinsame Verantwortung für die Datenverarbeitung auszugehen.
Dabei stellt der EuGH aber auch klar (Rz. 43), dass eine gemeinsame Verantwortung nicht bedeutet, dass diese automatischen zu gleichen Teilen übernommen wird. Der Grad der Verantwortlichkeit der Beteiligten sei unter der Berücksichtigung aller maßgeblichen Umstände des Einzelfalles zu beurteilen.
Das BVerwG muss nun unter Berücksichtigung der EuGH-Entscheidung, den Fall entscheiden.
Müssen Faceboook-Seiten jetzt abgeschaltet werden? Oder: Der Blick in die Glaskugel.
Nach derzeitigem Stand der Dinge steht nur fest, dass zwischen Facebook und Seitenbetreibern eine gemeinsame Verantwortung besteht. Mehr nicht.
Ich twitterte gestern noch, dass ich davon gehe, Facebook ziehe nun mehr die vorbereiteten Joint-Control-Contracts (d.h. Verträge über die gemeinsame Verantwortung im Sinne von Art. 26 DSGVO) aus der Schublade, übernimmt dabei die Verantwortung für die Insights sowie die Informationspflichten und/oder schraubt schnell an den Seiten rum, damit die Seitenbetreiber entsprechende Informationen bereitstellen können. Damit wäre wieder mal ein Stück „Papierkram“ mehr zu erledigen gewesen. Aber alles wäre defacto seinen Gang gegangen (und man hätte in ein paar Jahren sehen können, ob diese Verträge bestand haben).
Tja, da hat meine Glaskugel wohl eine Nebelkerze geworfen, denn bis dato ist davon nichts zu sehen.
Daneben steht die Entscheidung des BVerwG. Und diese wird in jedem Fall erfolgen. Dabei müsste das BVerwG feststellen, dass Datenschutzverstöß in gemeinsamer Verantwortung vorlagen. (Davon ist auszugehen.). Demnach wäre der Bescheid nach alter Lage dann rechtmäßig ergangen.
Aaaaaber. Das Ganze begann ja damals 2011. Und damals war noch höchst strittig, ob das ULD (bzw. das HmbfDI) hätte gegen Facebook über die Facebook GmbH überhaupt vorgehend durfte. In Folge dessen wurde der „Umweg“ über die Seitenbetreiber gegangen.
Das ist nun mit der DSGVO vollkommen redundant. Die Datenschutzbehörden können aufgrund der Marktortprinzip der DSGVO nun unmittelbar gegen Facebook Inc vorgehen.
Von daher ist nicht davon auszugehen, dass es – selbst nach einer möglichen Feststellung des BVerwG, dass grundsätzlich Datenschutzverstöße in gemeinsamer Verantwortung begangen wurden – demnach Hinweise, Verwarnungen oder gar Schließungsverfügungen (oder Schlimmerem) der Datenaufsichtsbehörden gegenüber den Seitenbetreibern hagelt.
Vielmehr ist davon auszugehen, dass sich die Aufsichtsbehörden nun über die DSGVO unmittelbar Facebook vornehmen werden. Und es ist immer noch davon auszugehen, dass sich Facebook im Hinblick auf das EuGH-Urteil bewegen wird (müssen). (Alleine schon deswegen, damit meine Glaskugel recht hatte!1!!11).
Also, sind jetzt Facebook-Seiten sofort aus dem Netz zu nehmen? Und/oder andere Social Media Accounts? (Aus den gleichen Gründen wird auch bei anderen Social Media Angeboten sowie einigen SaaS Lösungen von gemeinsamer Verantwortung auszugehen sein. Aber das hier nur am Rande.) Nach meiner kleinen, bescheidenen Meinung ist das nicht der Fall. Das Abschalten einer FB-Seite wäre derzeit als vorauseilender Gehorsam im Hinblick auf die Entscheidung des BVerwG und daraus folgende mögliche Ableitungen der Datenschutzbehörden zu sehen. Noch sind diese aber nicht auf dem Tisch.
Von daher, behalten Sie die Angelegenheit im Auge, aber rennen Sie nicht verrückt im Kreis.
In diesem Sinne,
breath, winter is not coming (yet)
Im Ergebnis ebenso: RA Thomas Schwenke bei Heise.
Nachtrag: Dieser Artikel ist in aller Kürze runtergeschrieben. Ich hab gerade echt keine Zeit. Deswegen müssen Sie alle Angaben auch googeln, ich schaff es gerade nicht alle Links einzutragen etc. pp. . Rechtsschreibfehler können Sie bitte behalten.
Disclaimer: Dieser Artikel ersetzt keine Rechtsberatung und erfasst nicht alle Aspekte des komplexen Themas (insb. die Informationspflichten et al.).
Update – 08.08.2018 – Pressemitteilung von Facebook
Mit seiner Pressemitteilung vom 15. Juni 2018 hat Facebook angekündigt, aufgrund des EuGH-Urteils seine Nutzungsbedingungen bzw. Richtlinien zu aktualisieren, um den Seitenbetreibern zu ermöglichen, ihren rechtlichen Verpflichtungen nachzukommen. Details würden in Kürze bekanntgegeben werden.
Seit dieser Pressemitteilung hüllt sich Facebook jedoch in Schweigen. Unserer Kenntnis nach wurden in den Nutzungsbedingungen oder in den Richtlinien noch keine Vertragsklauseln über eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO aufgenommen. Seitenbetreiber müssen sich daher noch weiter gedulden.
Im Gegenzug dazu wüssten wir aber auch nichts davon, dass Aufsichtsbehörden gegenüber Seitenbetreibern aktiv geworden wären.
Sie als Seitenbetreiber sollten also weiterhin Ruhe bewahren. Sobald es seitens Facebook Neuigkeiten gibt, werden wir Sie an dieser Stelle informieren.