Gestern hat das Urteil des Europäischen Gerichtshofes (Az. C 210/16) in Sachen Unabhängiges Zentrum für den Datenschutz Schleswig-Holstein (ULD) gegen Wirtschaftsakademie Schleswig-Holstein für großen Wirbel gesorgt. Der EuGH hat entschieden, dass der Betreiber einer Facebook-Fanpage gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich ist.
Obwohl das Urteil nach den Anträgen des Generalanwaltes eigentlich genauso zu erwarten war, wurde – in ebenfalls zu erwartenden „Clickbaiting-Überschriften“ – vielfach mitgeteilt, dass die einzig rechtskonforme Lösung nun eigentlich die Schließung der Facebookseiten sei. Und auch die Abmahngefahr für alle Facebookseitenbetreiber wurde sofort wieder ausgerufen.
Verständlicherweise sorgt eine solche Nachrichtenlage für viel Unverständnis und natürlich auch für Verunsicherung. Mal sehen, ob sich die Erregungswelle irgendwann ein wenig abnutzt und die Leser lernen, dass die meisten unmittelbar bevorstehenden „Abmahnwellen“ dann in der Regel doch nicht kommen.
In längeren Diskussionen habe ich gestern in Foren versucht zu erklären, warum das Urteil – auch wenn ich es im Ergebnis für falsch halte – genauso zu erwarten war.
Entscheidende Fragen, die in den meisten Internetbeiträgen eigentlich nicht so wirklich beantwortet wurden, wie
- Was bedeutet denn nun eigentlich diese Mitverantwortung aus rechtlicher Sicht ?
- Was müssen/sollten Fanpagebetreiber denn im Hinblick auf diese Mitverantwortung nun eigentlich tun ?
versuche ich nachfolgend einigermaßen sinnvoll (mit ein wenig Blick in die Glaskugel) zu beantworten.
Eines ist nämlich nach dem ausdrücklichen Wortaut des Urteils schon klar:
Mitverantwortlichkeit heißt nicht, dass der Fanpagebetreiber tatsächlich vollumfänglich für die Datenverarbeitung von Facebook verantwortlich ist bzw mithaftet.
Auch wenn es sich als aufmerksamkeitserregende Überschrift natürlich klasse anhört, glaubt doch hoffentlich keiner, dass wegen der festgestellten Mitverantwortlichkeit nun bald alle Facebookseiten europäischer Betreiber abgeschaltet werden.
A. Warum das Urteil des EuGH zumindest nachvollziehbar ist ?
Zunächst ist darauf hinzuweisen, dass das Gericht die Rechtslage noch auf der Grundlage der Richtlinie 95/46 – also vor der DSGVO – beurteilt hat.
In der Sache hatte das Unabhängige Landeszentrum für Datenschutz Schleswig Holstein (ULD) der Wirtschaftsakademie Schleswig-Holstein den Betrieb einer Facebook Fanpage verboten, weil Nutzer auf der Facebookseite nicht hinreichend über die Datenverarbeitung aufgeklärt würden. In dem Widerspruch argumentierte die Wirtschaftsakademie – verkürzt gesagt – dass hier doch allein Facebook verantwortliche Stelle sei und die Wirtschaftsakademie insoweit nicht datenschutzrechtlich verantwortlich gemacht werden könne. Dieser Position haben sich das Verwaltungsgericht und das Oberverwaltungsgericht Schleswig-Holstein mit gut vertretbarer Argumentation sann auch angeschlossen (siehe meinen damaligen Blogbeitrag).
Auf Revision des ULD hat das BVerwG die entscheidenden Rechtsfragen nach einer möglichen Verantwortlichkeit der Wirtschaftsakademie für die Datenverarbeitung auf Facebook dem EuGH vorgelegt.
In dem Urteil stellt der Europäische Gerichtshof nun – wenig überraschend – fest, dass Facebook in erster Linie über die Zwecke und Mittel der Datenverarbeitung entscheidet und daher als (Haupt-)Verantwortlicher anzusehen ist.
Ein Betreiber einer Facebookseite sei allerdings auch verantwortlich, weil er an der Entscheidung über die Zwecke und Mittel der Verarbeitung der Daten der Besucher seiner Fanpage beteiligt sei. Als Argument wird hier die Parametrierung (u.a. entsprechend seinem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten) angeführt, über die der Fanpagebetreiber eben über Zwecke und Mittel der Datenverarbeitung mitentscheide.
Auch wenn man das mit der oben verlinkten Argumentation der Vorinstanzen auch durchaus anders entscheiden kann, lässt sich das Argument einer (Mit-)verantwortlichkeit nicht gänzlich von der Hand weisen.
Wer eine Datenverarbeitung einer fremden IT-Infrastruktur im Eigeninteresse nutzt und dabei Einfluss auf Zweck und Mittel der Datenverarbeitung hat, soll sich einer datenschutzrechtlichen Verantwortlichkeit nicht entziehen können.
Grund der Mitverantwortlichkeit ist also, dass der Fanpagebetreiber über die Paramentrierung über Zweck und Mittel der Datenverarbeitung (mit)entscheidet und insoweit auch (mit)verantwortlich ist.
Auch wenn das EuGH-Urteil noch auf altem Recht basiert, wird man auf Grundlage der Argumentation acu unter der seit 25.05.2018 geltenden DSGVO von einer gemeinsamen Verantwortlichkeit im Sinne des Art.26 DSGVO ausgehen können.
B. Was bedeutet dieses Urteil generell ?
Das Urteil hat bei der Frage nach der datenschutzrechtlichen Verantwortlichkeiten in komplexeren Datenverarbeitungsprozessen eine immense Bedeutung.
Art. 26 DSGVO regelt eine gemeinsame Verantwortung bei gemeinsamer Festelegung des Zwecks und der Mittel einer Datenverarbeitung seit 25.05.2018 nämlich zwingend. Hier werden sich Unternehmen in vielen Verarbeitungsprozesse zukünftig daran gewöhnen müssen, dass die Auftrags(daten)verarbeitung ganz oft eben nicht mehr das Mittel der Wahl ist, sondern ein „Joint Controllership Agreement“ im Sinne des Art. 26 DSGVO abgeschlossen werden sollte. In diesen Konstellationen werden sich die Beteiligten Gedanken machen müssen, wer für was verantwortlich ist und sollten dies in einem „Joint Controllership Agreement“ gemäß Art. 26 Abs.2 DSGVO regeln.
C. Was bedeutet dieses Urteil für Fanpagebetreiber ?
In dem Urteil steht nichts darüber, dass Fanpages schließen müssen. Tatsächlich ist noch nicht einmal die Facebookseite der beteiligten Wirtschaftsakademie geschlossen (siehe hier).
Die viel wichtigere Frage, wie sich Mitverantwortung denn rechtlich auswirkt, wird in den meisten Beiträgen überhaupt nicht bzw. nicht konkret beantwortet. Im konkreten Fall wird das nämlich nun auch erst noch das Bundesverwaltungsgericht entscheiden müssen.
Die wesentlichen Rechtsfolgen einer gemeinsamen Verantwortung ergeben sich seit 25.05.2018 wohl aus Art. 26 DSGVO.
Zunächst einmal können Betroffene ihre Ansprüche insbesondere aus Art. 15 bis 22 DSGVO (z.B. Auskunft) auch gegenüber dem Fanpagebetreiber geltend machen. Man kann auch vertreten, dass der Fanpagebetreiber nun eigene Informationspflichten im Sinne des Art. 13 DSGVO erfüllen muss, sprich die Besucher der eigenen Fanpage über die dortige Datenverarbeitung informieren.
Das ist unschön, aber für Fanpagebetreiber wohl noch lösbar, soweit es sich eben auf die eigene Beteiligung an der Datenverarbeitung bezieht.
Die entscheidende Frage ist, gibt es tatsächlich eine Mithaftung für etwaige Datenschutzverstöße von Facebook. Diese Frage erfordert leider etwas Differenzierung und lässt sich in Clickbaiting-Artikeln leider nicht hinreichend plakativ darstellen.
Diesbezüglich ist zu beachten, dass die im Gesetzgebungsverfahren für Art. 26 DSGVO vorgesehene Regelung über die Begründung einer gesamtschuldnerischen Haftung dort nicht aufgenommen wurde. Dies ist ein Indiz, welches zunächst einmal gegen eine gesamtschuldnerische Haftung spricht.
Andererseits kann man aus den Haftungsnormen in Art. 82 DSGVO ableiten, dass gemeinsam Verantwortliche grundsätzlich gesamtschuldnerisch haften. Wenn der Fanpagebetreiber tatsächlich wegen einer rechtswidrigen Datenverarbeitung von Facebook in Anspruch genommen würde, könnte er von Facebook über Art.82 Abs.5 DSGVO wohl Ausgleich im Innenverhältnis verlangen.
Das ist aber nicht alles:
Das Urteil des EuGH stellt nämlich selbst schon ausdrücklich klar, dass eine gemeinsame Verantwortung nicht zwangsläufig eine gleichwertige Verantwortlichkeit der verschiedenen Akteure zur Folge hat. Vielmehr hängt der Grad der Verantwortlichkeit der beteiligten Akteure davon ab, wie sie in die (gemeinsame) Datenverarbeitung einbezogen sind (siehe Rz. 43 des Urteils des EuGH Az. C-210/16).
Es ist also mitnichten so, dass der Fanpagebetreiber umfassend für die Datenverarbeitung von Facebook verantwortlich. Er ist eben nur im Rahmen seiner eigenen Beteiligung an der Datenverarbeitung (mit)verantwortlich.
Da man sagen muss, dass die Beteiligung des Fanpagebetreibers an der Datenverarbeitung auf und über Facebook sehr gering ist, wird man auch die Verantwortlichkeit als gering ansehen müssen. Das „Problem“ wird also möglicherwerweise weniger die Mithaftung werden, als vielmehr die Erfüllung der Informations- und Dokumentationspflichten der DSGVO.
Schlussendlich wollte der EuGH wohl nicht, dass Fanpagebetreiber, die an einer fremden Datenverarbeitung partiziperen sich gänzlich von der Verantwortung lossagen können.
Nicht mehr und nicht weniger, hat der EuGH entschieden. Spannend wird nun sein, was das Bundesverwaltungsgericht daraus ableitet.
Ich spekuliere mal, dass das Bundesverwaltungsgericht, dass nun über die Folgen aus der Mitverantwortlichkeit entscheiden muss, den Fanpagebetreibern den Betrieb der Facebookseiten nicht generell untersagen, sondern konkrete Vorgaben machen wird (z.B. zur Erfüllung von Informations- und/oder Dokumentationspflichten)
D. Was sollten Fanpagebetreiber nun tun ?
Wer mag, möge seine Facebookseite abschalten.
Die meisten werden sich aber wohl dafür entscheiden, das Bundesverwaltungsgerichtsurteil abzuwarten. Bis dahin kann es eine Weile dauern.
Wer unmittelbare Ableitungen aus dem EuGH-Urteil treffen will und die durchaus möglichen Informations- und Dokumentationspflichten erfüllen will, der möge eine Datenschutzerklärung auf die eigene Facebookseite setzen, in der er über die Datenverarbeitung auf der eigenen Fanpage informiert und diese in seinem Verarbeitungsverzeichnis dokumentiert.
Dabei dürfte es als ausreichend angesehen werden können, wenn sich der Fanpagebetreiber auf SEINEN PART der gemeinsamen Datenverarbeitung beschränkt.
Die letzteren Maßahmen erscheinen sinnvoll, um das – aus meiner Sicht derzeit eher geringe Risiko – eines Weiterbetriebs der eigenen Fanpageseiten zu reduzieren.
E. Was kann Facebook tun ?
Facebook hat diverse Möglichkeiten einen rechtskonformen Zustand herzustellen oder die Risiken der Fanpagebetreiber zu reduzieren.
So könnte Facebook z.B. die Parametrierung, die ja erst zur Annahme einer Mitverantwortlichkeit führt, so gestalten, dass der Fanpagebereiber sie abschalten kann. Das erinnert an die Auseinandersetzung um Google Analytics, als Google seinen Dienst angepasst und eine pseudonymisierte Version angeboten hat. Obwohl es damals auch viel Geschrei gab, hat sich heute jeder jeder gewöhnt. Dann wäre die Mitverantwortung nach dem EuGH Urteil schon beseitigt.
Facebook könnte auch ein Joint Controllership Agreement anbieten, indem Facebook die Verantwortung für die Datenverarbeitung und die Erfüllung der Nebenpflichten aus der DSGVO im Innenverhältnis übernimmt. Möglicherweise könnte man so etwas sogar erwarten, wenn ein Plattformanbieter möchte, dass man seinen Dienst nutzt.
Das Urteil übt nun natürlich Druck auf Facebook aus. Ich bin aber sehr sicher, dass nun nicht alle Facebookseiten in der EU abgeschaltet werden. Hier wird Facebook mögliche Lösungen sicher prüfen und wohl auch zeitnah umsetzen.
F. Zusammenfassung
- Ich finde das Urteil nicht richtig. Die Beteiligung des Fanpagebetreibers an der Datenverarbeitung von Facebook im Rahmen des Zugriffs auf parametrierte, anonyme Daten erscheint mir nicht ausreichend, um von einer gemeinsamen Verantwortung wegen gemeinsamer Entscheidung über Zweck und Mittel der Datenverarbeitung auszugehen.
- Das EuGH Urteil ist diskutabel, aber konsequent. Es führt dazu, dass derjenige, der an einer fremden Datenverarbeitung beteiligt ist für SEINEN TEIL der Verarbeitung verantwortlich gemacht werden können soll.
- Die tatsächlichen Folgen des Urteils wird man wohl erst sicher beurteilen können, wenn das Bundesverwaltungsgericht entscheidet.
- Durch Verwendung einer eigenen Datenschutzerklärung und Dokumentation der EIGENEN Beteiligung an der Datenverarbeitung können Fanpagebetreiber etwaige Risiken reduzieren.
- Die Verantwortung nach dem Urteil für Abhilfe zu sorgen, liegt nun primär bei Facebook. Hier sind einige Gestaltungen denkbar, wie Facebook die Risiken der Fanpagebetreiber, die im Interesse von Facebook liegen sollten, zu beseitigen bzw. erheblich zu reduzieren.
- Die Verteufelung solcher Urteile bzw. der DSGVO bringt niemand weiter. Eines ist trotz diverser Schwächen nämlich sicher: DIE DSGVO GEHT NICHT WIEDER WEG !!!
- Der Weg sollte daher sein, die DSGVO möglichst sinnvoll zu interpretieren, um zu interessengerechten Lösungen zu gelangen.
- Insofern mein Appell an alle publizierenden Kolleginnen und Kollegen verantwortungsvoll über die DSGVO zu informieren. Die Panikwelle mag schnelle Klicks bringen, schlussendlich tragen wir einen Mitverantwortung (da war es wieder ;-)) dafür, wie die DSGVO verstanden und schlussendlich auch umgesetzt werden wird. Extrempositionen auf der einen Seite sorgen leider auch für Extrempositionen auf der anderen Seite.
- Schussendlich trägt die DSGVO bei extremer Auslegung tatsächlich erhebliche „Sprengkraft“. Sie bietet aber auch oft hinreichende Argumente gegen die Panikwellen, die derzeit (zu) oft durch dieses Internet schwappen.
- Unternehmen sind derzeit auf vernünftige, risikobasierte Beratung angewiesen. In der Beratung zur DSGVO verbieten sich Extrempositionen in die eine Richtung (z.B. Internet abschalten), wie auch in die andere (alles machen, was technisch geht). Schlussendlich müssen Unternehmen durch verantwortungsvolle Beratung (und besser auch Berichterstattung) in die Lage versetzt werden, unter Abwägung der tatsächlichen Risiken zu entscheiden, wie sie digitale Präsenzen und Geschäftsmodelle weiterbetreiben können. Das wird nur unter Anwendung der DSGVO gehen…
[…] RA Dr. Carsten Ulbricht auf rechtzweinull.de […]