Wien – Für Betreiber von Fanpages könnte der Europäische Gerichtshof eine unangenehme Überraschung parat haben: Er wurde zur Klärung der Frage aufgefordert, ob Unternehmen, die Fanpages auf Facebook betreiben, auch für die Datenschutzverstöße durch Facebook (mit)verantwortlich sind (C-210/16, Wirtschaftsakademie Schleswig-Holstein). Der Generalanwalt hat diese Frage nun in seinen Schlussanträgen bejaht.

Dem Verfahren geht ein seit 2011 andauernder Rechtsstreit zwischen dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) und der Wirtschaftsakademie Schleswig-Holstein voraus. Die Akademie betreibt wie viele andere Unternehmen eine eigene Facebook-Fanpage. Den Betreibern solcher Seiten stellt Facebook sogenannte "Facebook Insights" zur Verfügung. Dabei handelt es sich um Nutzungsstatistiken, die Facebook aus den über Cookies erhobenen Daten der Nutzer erstellt.

Unzureichende Aufklärung

Nach Auffassung des ULD sei die Aufklärung der Nutzer über die von ihnen so gesammelten und verarbeiteten personenbezogenen Daten unzureichend und damit eine Einwilligung in die Datenverwendung nicht gegeben. Daher würde gegen geltendes Datenschutzrecht verstoßen werden. Weil nun der Betreiber einer solchen Fanpage die technische Infrastruktur des sozialen Netzwerks zur Steigerung seines Kundenpotenzials nutzt, solle er auch für allfällige Datenschutzverletzungen durch Facebook haften.

Dieser Argumentation erteilten die Vorinstanzen eine Absage: Der Fanpage-Betreiber erhebt die Daten nicht selbst, verarbeitet sie nicht und beauftragt auch in aller Regel Facebook nicht mit der Datenverarbeitung. Weil der Betreiber somit in keinen direkten Kontakt mit den personenbezogenen Daten seiner Nutzer tritt, sei seine Verantwortung für allfällige Datenschutzverletzungen durch Facebook ausgeschlossen. Die Frage, ob dies tatsächlich so ist, wollte das deutsche Bundesverwaltungsgericht nicht ohne Einbeziehung des EuGH entscheiden.

Mitverantwortung der Betreiber

In seinen vor kurzem veröffentlichen Schlussanträgen spricht sich Generalanwalt Bot jedoch sehr klar für eine Mitverantwortung der Betreiber von Fanpages aus. Zwar seien auch sie in erster Linie Nutzer der Social-Media-Plattform, die auch selbst keinen Zugang zu den erhobenen Daten hätten. Durch den Betrieb ihrer Fanpage würden sie die Datensammlung allerdings erst ermöglichen. Und die eigene Verantwortlichkeit könnte leicht umgangen werden, wollte man den Kreis der Verantwortlichen im Sinne des Datenschutzrechts eng fassen.

Zusätzlich wurde eine weitere Frage aufgeworfen: Die im Ausgangsverfahren strittigen Praktiken waren von der Datenschutzbehörde in Irland, wo sich die Hauptniederlassung Facebooks für das Europageschäft befindet, bereits zweimal geprüft und im Wesentlichen nicht beanstandet worden. Der EuGH sollte daher prüfen, ob die Datenschutzbehörde eines anderen Mitgliedsstaates an diese Entscheidungen gebunden ist.

In diesem Fall stünde Unternehmen ein "Forum Shopping" offen. Darunter versteht man die Möglichkeit, unter mehreren für die Prüfung einer Rechtsfrage zuständigen Jurisdiktionen eine für seine Interessen besonders vorteilhafte auszuwählen. Vorteile können sich aus der Geltung oder Auslegung bestimmter materieller Vorschriften wie auch aus dem Prozessrecht oder dem Verfahrensablauf (z. B. einer kurzen oder langen Verfahrensdauer) ergeben.

Nicht gebunden an die Iren

Generalanwalt Bot hat eine Bindung der – hier – deutschen Datenschutzbehörde an Entscheidungen der irischen Kollegen verneint. Allerdings wies er darauf hin, dass nach der im Mai 2018 in Kraft tretenden Datenschutz-Grundverordnung (DSGVO) künftig nur noch eine zentrale Anlaufstelle für Verantwortliche nach dem Datenschutzrecht bestehen soll. Diese richtet sich nach deren Hauptniederlassung.

Sollte der EuGH die Verantwortlichkeit von Fanpage-Betreibern bejahen, wäre dies ein Paukenschlag vor allem angesichts drakonischer Strafdrohungen in der DSGVO. Relevant ist die Entscheidung auch für Unternehmen, die auf ihrer Website sogenannte Social Plugins installieren, etwa den "Gefällt mir"-Button von Facebook. Die Problematik dieser Praktik ist ähnlich gelagert – und bereits Gegenstand eines Parallelverfahrens (Rs Fashion ID, C-40/17). (Birgit Voglmayr, 27.11.2017)