Die Datenschutzbehörde des Mitgliedstaats, in dem dieser Betreiber seinen Sitz hat, kann nach der Richtlinie 95/46/EG sowohl gegen ihn als auch gegen die in diesem Mitgliedstaat niedergelassene Tochtergesellschaft Facebook vorgehen.

Der Sachverhalt:
Die Wirtschaftsakademie Schleswig-Holstein ist ein auf den Bereich Bildung spezialisiertes Unternehmen. Sie bietet u.a. über eine auf Facebook unterhaltene Fanpage Bildungsleistungen an. Die Betreiber von Fanpages können mit Hilfe der Funktion Facebook Insight, die ihnen Facebook als nicht abdingbaren Teil des Benutzungsverhältnisses kostenfrei zur Verfügung stellt, anonymisierte statistische Daten bezüglich der Nutzer dieser Seiten erhalten. Die Daten werden dabei mittels sog. Cookies gesammelte, die jeweils einen eindeutigen Benutzercode enthalten, der für zwei Jahre aktiv ist. Der Benutzercode wird beim Aufrufen der Fanpages erhoben und verarbeitet.

Im November 2011 ordnete das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein - als zuständige Kontrollstelle der Umsetzung der Richtlinie 95/46 im Gebiet des Bundeslandes Schleswig-Holstein - gegenüber der Wirtschaftsakademie an, ihre Fanpage zu deaktivieren, da nach ihrer Auffassung weder die Wirtschaftsakademie noch Facebook die Besucher der Fanpage darauf hinwies, dass Facebook mittels Cookies sie betreffende personenbezogene Daten erhebt und verarbeitet.

Die Wirtschaftsakademie erhob Klage diesen Bescheid und machte geltend, dass ihr die Verarbeitung personenbezogener Daten durch Facebook nicht zugerechnet werden könne und sie Facebook auch nicht dazu beauftragt habe. Die Kontrollstelle müsse daher direkt gegen Facebook und nicht gegen sie vorgehen. Vor diesem Hintergrund ersuchte das Bundesverwaltungsgericht den EuGH um Auslegung der Richtlinie 95/46/EG vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. Er entschied die gemeinsame Verantwortlichkeit von Facebook und dem Betreiber.

Die Gründe:
Es ist klar, dass Facebook und, was die Union betrifft, die irische Tochtergesellschaft Facebook Ireland als für die Verarbeitung der personenbezogenen Daten der Facebook-Nutzer und der Personen, die die auf Facebook unterhaltenen Fanpages besucht haben, als Verantwortliche anzusehen sind, denn diese entschieden in erster Linie über die Zwecke und Mittel der Verarbeitung der Daten.

Trotzdem ist ein Betreiber wie die Wirtschaftsakademie als in der Union gemeinsam mit Facebook Ireland für die fragliche Datenverarbeitung verantwortlich anzusehen. Ein solcher Betreiber ist durch die von ihm vorgenommene Parametrierung (Zielpublikum, Ziele u. Steuerung oder Förderung seiner Tätigkeiten) an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt. Der Fanpage-Betreiber kann insbesondere demografische Daten über seine Zielgruppe, Informationen über den Lebensstil und Interessen seiner Zielgruppe sowie geografische Daten, die ihn darüber informieren, wo spezielle Werbeaktionen durchzuführen oder Veranstaltungen zu organisieren sind, verlangen. Die ermöglicht ihm, sein Informationsangebot so zielgerichtet wie möglich zu gestalten.

Dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt und die dazugehörigen Dienstleistungen in Anspruch nimmt, befreit diesen nicht von der Beachtung seiner Verpflichtung personenbezogene Daten zu schützen. Die Anerkennung einer gemeinsamen Verantwortlichkeit trägt dazu bei, dass entsprechend den Anforderungen der Richtlinie ein umfassenderer Schutz sichergestellt wird.

Das Unabhängige Landeszentrum Schleswig-Holstein war zudem zuständig, zur Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten im deutschen Hoheitsgebiet von sämtliche Befugnissen nicht nur gegenüber der Wirtschaftsakademie, sondern auch gegenüber Facebook Germany Gebrauch zu machen, da die Niederlassung allein für Marketingtätigkeiten im Hoheitsgebiet verantwortlich ist und die Verarbeitung der Daten für das gesamte Unionsgebiert der Niederlassung in der EU obliegt.

Hinweis:
Die Richtlinie 95/46 wurde mit Wirkung vom 25.5.2018 durch die Verordnung (EU) 2016/679 vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr aufgehoben.

Linkhinweis:
Für die auf den Webseiten des EuGH veröffentlichte Pressemitteilung klicken Sie bitte hier.

Im CRonline Blog präsentiert Härting diese Entscheidung in 10 Fragen & Antworten für Fanpage-Betreiber und begrüßt den Bedeutungszuwachs für "gemeinsame Verantwortlichkeit" nach Art. 26 DSGVO.