Urteil zu Medienrecht

EuGH zur Haftung des Betreibers einer Facebook-Fanpage

Der Europäische Gerichtshof entschied am 5. Juni 2018 in der Rechtssache C-210/16, dass der Betreiber einer Facebook-Fanpage gemeinsam mit Facebook für die Verarbeitung personen­bezogener Daten der Besucher der Fanpage datenschutz­rechtlich verantwortlich ist. Der EuGH hat diese Entscheidung auf die Auslegung des Art. 2 lit. d der EU-Datenschutz-Richtlinie (DSRL) 95/46/EG gestützt. Die Erwägungen des Urteils lassen sich jedoch in vollem Umfang auf die aktuell geltende Rechtslage übertragen, denn die Definition der verantwortlichen Stelle in Art. 2 lit. d der DSRL 95/46/EG, als eine Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personen­bezogenen Daten entscheidet“, stimtm mit der Definition des Verantwortlichen in Art. 4 Nr. 7 DS-GVO überein. Vor diesem Hintergrund gilt Entscheidung auch mit der DS-GVO.

Im Falle der gemeinsamen Verantwortung sieht die DS-GVO in Art. 26 zusätzliche Anforderungen vor:

  • Gemeinsam Verantwortliche sind verpflichtet, in einer Vereinbarung transparent festzulegen, wer welche Verpflichtungen nach der DS-GVO erfüllt
  • Darüber hinaus müssen die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber den betroffenen Personen in der Vereinbarung deutlich gemacht werden.

Die Konferenz der unabhängigen Datenschutz­auf­sichtsbehörden des Bundes und der Länder (DSK) fasste am 5. September 2018 einen Beschluss zu der Thematik und stellte fest, dass der Betrieb einer Fanpage, wie sie derzeit von Facebook angeboten wird, ohne Vereinbarung nach Art. 26 DS-GVO rechtswidrig sei. Die DSK machte deutlich, dass Fanpage-Betreiber uneingeschränkt die Rechtmäßigkeit der gemeinsam zu verantwortenden Datenver­arbeitung gewährleisten und dies nachweisen können müssen, Art. 2 II DS-GVO. Zudem können betroffene Personen ihre Rechte aus der DS-GVO bei und gegenüber jedem Verantwortlichen geltend machen (Art. 26 III DS-GVO). Zusammen mit dem Beschluss hatte die DSK daher eine Reihe von Fragen veröffentlicht, die Fanpage-Betreiberinnen und -Betreiber beantworten können sollten.

Am 11. September 2018 veröffentlichte Facebook eine sog. Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ (abrufbar hier ; im Folgenden Insights-Ergänzung“) sowie Informationen zu Seiten Insights“ (abrufbar unter hier ; im Folgenden Insights-Information“).
Vor dem Hintergrund der EuGH-Entscheidung vom 5. Juni 2018 sowie des o. g. Beschlusses der DSK geht die Berliner Beauftragte für Datenschutz und Informati­onsfreiheit davon aus, dass Facebook mit der Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ seinen Verpflichtungen aus Art. 26 DS-GVO nachkommen möchte, ohne dabei direkt auf Art. 26 DS-GVO zu verweisen.

Fragenkatalog der Anhörungen siehe Pressemitteilung Berliner Datenschutz­be­auftragte eröffnet umfassende Prüfung des Betriebs von Facebook-Fanpages“, vom 16. November 2018 :

  1. Haben Sie die Insights-Ergänzung mit Facebook abgeschlossen? Wenn ja, auf welche Weise ist dies erfolgt?
  2. Zu welchem Text / zu welcher Vereinbarung stellt die Insights-Ergänzung eine Ergänzung dar? Bitte stellen Sie uns diesen Text zur Verfügung bzw. legen Sie die entsprechenden Inhalte dar, die von der Insights-Ergänzung ergänzt werden.
  3. Handelt es sich bei der Insights-Ergänzung um eine Vereinbarung i. S. d. Art. 26 I Satz 1 DS-GVO?
  4. Für welche konkreten Verarbeitungen personen­bezogener Daten besteht nach dieser Vereinbarung eine gemeinsame Verantwortung? Bitte stellen Sie dies im Detail dar.
  5. Was ist unter den in der Insights-Ergänzung und in den Insights-Informationen genannten Insights-Daten“ zu verstehen? Bitte erläutern Sie abschließend.
  6. In der Insights-Ergänzung wird auf die Verarbeitung von Insights-Daten“ Bezug genommen. Um welche konkreten Verarbeitungen zu welchen Zwecken handelt es sich hierbei? Bitte erläutern Sie im Detail.
  7. Auf welche Art und Weise werden die betroffenen Personen (Facebook-Mitglieder sowie Nicht-Mitglieder) über das Wesentliche der Vereinbarung nach Art. 26 II DS-GVO informiert?
  8. Welche Informationen haben Sie erhalten bzw. erhalten Sie von Facebook über die Verarbeitung personen­bezogener Daten der Besucherinnen und Besucher ihrer Fanpage? Ermöglichen es die Ihnen zur Verfügung stehenden Informationen, dass Sie Ihren Verpflichtungen nach der DS-GVO, insbesondere Ihrer Pflicht aus Art. 5 II DS-GVO, nachkommen können?
  9. Bitte erläutern Sie, wie die personen­bezogenen Daten der Besucherinnen und Besucher ihrer Fanpage verarbeitet werden. Zu welchen Zwecken erfolgen diese Verarbeitungen?
  10. Auf welcher Rechtsgrundlage bzw. auf welchen Rechtsgrundlagen verarbeiten Sie die personen­bezogenen Daten der Besucherinnen und Besucher Ihrer Fanpage?
  11. Auf welche Art und Weise und mit welchem Inhalt werden die betroffenen Personen (Facebook-Mitglieder sowie Nicht-Mitglieder) über die Verarbeitung ihrer Daten beim Besuch Ihrer Fanpage gem. Art 12 und Art. 13 informiert?
  12. Wie stellen Sie sicher, dass die Betroffe­nenrechte (Art. 12 ff. DS-GVO) erfüllt werden können, insbesondere die Rechte auf Löschung nach Art. 17 DS-GVO, auf Einschränkung der Verarbeitung nach Art. 18 DS-GVO, auf Widerspruch nach Art. 21 DS-GVO und auf Auskunft nach Art. 15 DS-GVO?
  13. In der Insights-Ergänzung heißt es im Zusammenhang mit den Betroffe­nenrechten: Wenn eine betroffene Person oder eine Aufsichtsbehörde gemäß DS-GVO hinsichtlich der Verarbeitung von Insights-Daten und der von Facebook Ireland im Rahmen dieser Seiten-Insights-Ergänzung übernommenen Pflichten Kontakt mit dir aufnimmt (jeweils eine Anfrage“), bist du verpflichtet, uns unverzüglich, jedoch spätestens innerhalb von 7 Kalendertagen sämtliche relevanten Informationen weiterzuleiten. Zu diesem Zweck kannst du dieses Formular einreichen. Facebook Ireland wird Anfragen im Einklang mit den uns gemäß dieser Seiten-Insights-Ergänzung obliegenden Pflichten beantworten. Du stimmst zu, zeitnah sämtliche angemessenen Anstrengungen zu unternehmen, um mit uns an der Beantwortung jedweder derartigen Anfrage zusammen­zuarbeiten. Du bist nicht berechtigt, im Namen von Facebook Ireland zu handeln oder zu antworten.“ Bitte erläutern Sie konkret, wie Facebook mit den von Ihnen eingereichten Anfragen verfährt und welche konkreten Maßnahmen Sie ergriffen haben, um zu prüfen, ob die Rechte der betroffenen Personen auf diesem Wege entsprechend der DS-GVO erfüllt werden.
  14. Werden beim Erstaufruf Ihrer Fanpage auch bei Nicht-Mitgliedern Einträge im sog. Local Storage erzeugt? Zu welchen Zwecken und auf welcher Rechtsgrundlage erfolgt dies?
  15. Werden nach Aufruf einer Unterseite innerhalb Ihres Fanpage-Angebots ein Session-Cookie und drei Cookies mit Lebenszeiten zwischen vier Monaten und zwei Jahren gespeichert? Zu welchen Zwecken und auf welcher Rechtsgrundlage erfolgt dies?

Zum ganzen Artikel des Berliner Beauftragten für Datenschutz und Informati­onsfreiheit hier.
Zum Urteil des EuGH hier.