„Datenschutzrechtliche Rollen“ neu gemischt?! Facebook und Fanpage-Betreiber sind gemeinsam Verantwortliche

Das Datenschutzrecht definiert „Rollen“, nämlich insbesondere Verantwortlicher, Auftragsverarbeiter und betroffene Person, an denen die entsprechenden Pflichten bzw Rechte anknüpfen. Der EuGH hat jüngst wiederum aufgezeigt, wie diffizil diese „Rollenverteilung“ zu erfolgen hat und welche Konsequenzen damit verbunden sind – in concreto: Die Datenschutzbehörde kann sowohl gegen den Fanpage-Betreiber als auch gegen Facebook vorgehen.

Die Wirtschaftsakademie Schleswig-Holstein bietet über Facebook-Fanpage Bildungsdienstleistungen an. Die Betreiber von Fanpages – wie die Wirtschaftsakademie – können mit Hilfe der Funktion „Facebook Insight“, die ihnen Facebook zur Verfügung stellt, statistische Daten betreffend die Nutzer dieser Seiten erhalten. Diese Daten werden mit Hilfe von Cookies gesammelt, die einen Benutzercode enthalten, der für zwei Jahre aktiv ist und den Facebook auf dem Endgerät der Besucher der Fanpage speichert. Der Benutzercode, der mit den Anmeldungsdaten solcher Nutzer, die bei Facebook registriert sind, verknüpft werden kann, wird beim Aufrufen der Fanpages erhoben und verarbeitet.

Mit Bescheid vom 3. November 2011 ordnete das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein gegenüber der Wirtschaftsakademie an, ihre Fanpage zu deaktivieren. Nach Auffassung des Unabhängigen Landeszentrums für Datenschutz wiesen nämlich weder die Wirtschaftsakademie noch Facebook die Besucher der Fanpage darauf hin, dass Facebook mittels Cookies sie betreffende personenbezogene Daten erhebt und diese Daten danach verarbeitet.

Damit stellte sich die – über den konkreten Facebook-Fall hinausgehende – spannende Frage: Welcher „datenschutzrechtliche Rolle“ sind die Involvierten zuzuordnen und welche Konsequenzen knüpfen daran an?

Die Wirtschaftsakademie stellte sich auf den Standpunkt, eine „datenschutzrechtlich nicht verantwortliche Rolle“ einzunehmen, und erhob beim Verwaltungsgericht in Deutschland Klage gegen diesen Bescheid: Sie machte geltend, dass ihr die Verarbeitung personenbezogener Daten durch Facebook nicht zugerechnet werden könne; sie habe Facebook auch nicht mit einer von ihr kontrollierten oder beeinflussbaren Datenverarbeitung beauftragt. Daraus leitete die Wirtschaftsakademie ab, dass sie nicht als „verantwortliche Stelle“ (nach der Terminologie der DSGVO: „Verantwortlicher“) qualifiziert werden könne und daher das Unabhängige Landeszentrum „nur“ gegen Facebook und nicht gegen sie hätte vorgehen müssen.

In seinem Urteil C-210/16 vom 5. Juni 2018 stellte der EuGH wenig überraschend fest, dass Facebook für die Verarbeitung der personenbezogenen Analysedaten der Facebook-Nutzer und der Personen, die die auf Facebook unterhaltenen Fanpages besucht haben, als „datenschutzrechtlicher Verantwortlicher“ anzusehen ist, weil Facebook über die Zwecke und Mittel der Verarbeitung dieser Daten entscheidet.

Aus obiger Qualifikation der datenschutzrechtlichen Rolle von Facebook könnte abgeleitet werden, dass somit der Fanpage-Betreiber es nicht (!) entscheiden kann (!), ob Analysedaten verarbeitet werden. Dennoch – und uE konsequent der „datenschutzrechtlichen Rollenverteilung“ folgend – sprach der EuGH aus, dass (auch) der Betreiber der Fanpage (hier die Wirtschaftsakademie) gemeinsam mit Facebook für die Datenverarbeitung als „datenschutzrechtlicher Verantwortlicher“ zu qualifizieren ist. Der Betreiber ist nämlich durch die von ihm vorgenommene Parametrierung an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Analysedaten der Besucher seiner Fanpage beteiligt. Der EuGH weist darauf hin, dass der Fanpage-Betreiber auch demografische Daten über seine Zielgruppe – und damit die Verarbeitung dieser Daten – verlangen kann und geografische Daten, die ihn darüber informieren, wo spezielle Werbeaktionen durchzuführen sind. Dementsprechend ist nicht nur entscheidend, dass über das „Ob“ der Datenverarbeitung (mit)entschieden wird, sondern reicht es aus, dass über (Teile des) „Wie“ der Verarbeitung entschieden wird, um als „datenschutzrechtlicher Verantwortlicher“ qualifiziert zu werden: Es kann der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, ausreichen, um diesen den zentralen datenschutzrechtlichen Pflichten als „Verantwortlicher“ zu unterstellen.

Im Lichte der EuGH-Entscheidung sind die weitreichenden Konsequenzen der „datenschutzrechtlichen Rollenverteilung“ zu beachten: Nicht nur sind alle Personen, die als „gemeinsam Verantwortliche“ zu qualifizieren sind, für die Einhaltung der datenschutzrechtlichen Pflichten haftbar, sondern haben diese nach Art 26 DSGVO auch zwingend Vereinbarungen über die Pflichtenverteilung zu schließen.