Kategorien

Facebook: Bei wem liegt die datenschutzrechtliche Verantwortung?


Wer Facebook nutzt, der akzeptiert auch deren Cookies sowie die Erhebung von Nutzerstatistiken und ist damit "an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt". | ©Sondem/fotolia.com

Der Betreiber einer Facebook-Fanpage ist gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich, entschied der EuGH. Die Datenschutzbehörde kann also sowohl gegen ihn als auch gegen die in diesem Mitgliedstaat niedergelassene Tochtergesellschaft von Facebook vorgehen.

Die Wirtschaftsakademie Schleswig-Holstein betreibt eine Fanpage auf Facebook.  Die Betreiber von Fanpages können mit Hilfe der Funktion Facebook Insight, die ihnen Facebook als nicht abdingbaren Teil des Benutzungsverhältnisses kostenfrei zur Verfügung stellt, anonymisierte statistische Daten betreffend die Nutzer dieser Seiten erhalten. Diese Daten werden mit Hilfe sog. Cookies gesammelt, die jeweils einen eindeutigen Benutzercode enthalten, der für zwei Jahre aktiv ist und den Facebook auf der Festplatte des Computers oder einem anderen Datenträger der Besucher der Fanpage speichert. Der Benutzercode, der mit den Anmeldungsdaten solcher Nutzer, die bei Facebook registriert sind, verknüpft werden kann, wird beim Aufrufen der Fanpages erhoben und verarbeitet.

Probleme mit der Datenschutzbehörde

Mit Bescheid vom 03.11.2011 ordnete das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein gegenüber der Wirtschaftsakademie an, ihre Fanpage zu deaktivieren. Nach Auffassung des Unabhängigen Landeszentrums für Datenschutz wiesen nämlich weder die Wirtschaftsakademie noch Facebook die Besucher der Fanpage darauf hin, dass Facebook mittels Cookies sie betreffende personenbezogene Daten erhebt und diese Daten danach verarbeitet. Die Wirtschaftsakademie bezweifelte die Zurechnung der Verarbeitung personenbezogener Daten durch Facebook. Vor diesem Hintergrund ersuchte das Bundesverwaltungsgericht den EuGH um Auslegung der Richtlinie 95/46.

Die Entscheidung des EuGH

In seinem Urteil vom 05.06.2018 (C-210/16) stellt der EuGH zunächst klar, dass in der vorliegenden Rechtssache nicht in Zweifel gezogen wird, dass die amerikanische Gesellschaft Facebook und deren irische Tochtergesellschaft Facebook Ireland als „für die Verarbeitung“ der personenbezogenen Daten der Facebook-Nutzer und der Personen, die die auf Facebook unterhaltenen Fanpages besucht haben, „Verantwortliche“ anzusehen sind. Denn diese Gesellschaften entscheiden in erster Linie über die Zwecke und Mittel der Verarbeitung dieser Daten.

EuGH: Beide sind verantwortlich

Sodann erklärt der EuGH, dass ein Betreiber wie die Wirtschaftsakademie als in der Union gemeinsam mit Facebook Ireland für die fragliche Datenverarbeitung verantwortlich anzusehen ist. Der Begriff des ‚für die Verarbeitung Verantwortlichen‘ im Sinne dieser Bestimmung umfasst auch den Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage. Es liegt also eine gemeinsame Verantwortung für die Einhaltung des Datenschutzes von Plattformbetreiber und Seitenbetreiber vor.

(EuGH / Viola C. Didier, RES JURA Redaktionsbüro)


Top