Unternehmensseite auf Facebook — und die datenschutzrechtliche Zuständigkeit

Der Gericht­shof der Europäis­chen Union soll in einem Vor­abentschei­dungsver­fahren die daten­schutzrechtliche Ver­ant­wortlichkeit für die beim Aufruf ein­er Face­book-Fan­page erhobe­nen Nutzer­dat­en klären.

Unternehmensseite auf Facebook — und die datenschutzrechtliche Zuständigkeit

Das Bun­desver­wal­tungs­gericht hat wegen dieser Frage in einem Ver­fahren, in dem es um die Bean­stan­dung des Betriebs ein­er Face­book-Fan­page seit­ens der pri­va­trechtlich organ­isierten Wirtschaft­sakademie Schleswig-Hol­stein durch die Daten­schutza­uf­sichts­be­hörde geht, den Gericht­shof der Europäis­chen Union zur Vor­abentschei­dung angerufen. Die dem Union­s­gericht­shof zur Vor­abentschei­dung vorgelegten Fra­gen betr­e­f­fen die Ausle­gung der Richtlin­ie 95/46/EG zum Schutz natür­lich­er Per­so­n­en bei der Ver­ar­beitung per­so­n­en­be­zo­gen­er Dat­en und zum freien Daten­verkehr (Daten­schutzrichtlin­ie). Diese dient u.a. dazu, im Bere­ich der Europäis­chen Union ein gle­ich­w­er­tiges Schutzniveau hin­sichtlich der Rechte und Frei­heit­en von Per­so­n­en bei der Ver­ar­beitung ihrer per­so­n­en­be­zo­ge­nen Dat­en zu gewährleis­ten.

Die Wirtschaft­sakademie ist eine Trägerin der beru­flichen Aus- und Weit­er­bil­dung, die neben ein­er eige­nen Home­page eine sog. Fan­page bei Face­book unter­hält. Das beklagte Unab­hängige Lan­deszen­trum für Daten­schutz (ULD) hat im Novem­ber 2011 gegenüber der Wirtschaft­sakademie die Deak­tivierung dieser Fan­page ange­ord­net. Die Nutzungs­dat­en der Besuch­er wür­den von Face­book über ein “Cook­ie” bei einem Aufruf der Fan­page erhoben. Sie wür­den von Face­book u.a. für Zwecke der Wer­bung sowie für eine auch der Wirtschaft­sakademie bere­it­gestellte Nutzer­sta­tis­tik genutzt, ohne dass die Nutzer hierüber hin­re­ichend aufgek­lärt wür­den und in diese Nutzung eingewil­ligt hät­ten. Das Ver­wal­tungs­gericht hat der Klage stattgegeben.

Das Schleswig-Hol­steinis­che Ver­wal­tungs­gericht hat der Klage der Wirtschaft­sakademie stattgegeben1; das Schleswig-Hol­steinis­che Oberver­wal­tungs­gericht hat die hierge­gen gerichtete Beru­fung des ULD zurück­gewiesen, weil es das in § 38 Abs. 5 BDSG vorge­se­hene gestufte Ver­fahren nicht einge­hal­ten habe2. Die Wirtschaft­sakademie sei als Fan­page­be­treiberin auch nicht i.S.v. § 3 Abs. 7 BDSG/Art. 2 d)) RL 95/46/EG ver­ant­wortliche Stelle im Hin­blick auf die von Face­book erhobe­nen Dat­en.

Das Bun­desver­wal­tungs­gericht hat nun die Vor­lage zur Vor­abentschei­dung an den Union­s­gericht­shof beschlossen. Nach Auf­fas­sung des Bun­desver­wal­tungs­gerichts wer­fen u.a. die Reich­weite der Prüf- und Hand­lungs­befug­nisse des ULD sowie die Frage, ob die Wirtschaft­sakademie als Fan­page­be­treiberin eine daten­schutzrechtliche Ver­ant­wortlichkeit für die Auswahl des Betreibers ihrer Inter­ne­trepräsen­tanz und dessen daten­schutzrecht­skon­for­men Umgang mit per­so­n­en­be­zo­ge­nen Dat­en trifft, union­srechtliche Zweifels­fra­gen in Bezug auf die Richtlin­ie 95/46/EG auf. Dabei hat das Bun­desver­wal­tungs­gericht — wie bere­its in der Vorin­stanz das Schleswig-Hol­steinis­che OVG — keine Beurteilung der Recht­mäßigkeit der Daten­ver­ar­beitung durch Face­book vorgenom­men.

Hierzu hat das Bun­desver­wal­tungs­gericht dem Gericht­shof der Europäis­chen Union fol­gende Fra­gen zur Vor­abentschei­dung gemäß Art. 267 AEUV vorgelegt:

  1. Ist Art. 2 Buchst. d)) RL 95/46/EG dahin auszule­gen, dass er Haf­tung und Ver­ant­wortlichkeit für Daten­schutzver­stöße abschließend und erschöpfend regelt oder verbleibt im Rah­men der “geeigneten Maß­nah­men” nach Art. 24 RL 95/46/EG und der “wirk­samen Ein­griffs­befug­nisse” nach Art. 28 Abs. 3 Spiegel­strich 2 RL 95/46/EG in mehrstu­fi­gen Infor­ma­tion­san­bi­eter­ver­hält­nis­sen Raum für eine Ver­ant­wortlichkeit ein­er Stelle, die nicht i.S.d. Art. 2 Buchst. d)) RL 95/46/EG für die Daten­ver­ar­beitung ver­ant­wortlich ist, bei der Auswahl eines Betreibers für sein Infor­ma­tion­sange­bot?
  2. Fol­gt aus der Pflicht der Mit­glied­staat­en nach Art. 17 Abs. 2 RL 95/46/EG, bei der Daten­ver­ar­beitung im Auf­trag vorzuschreiben, dass der für die Ver­ar­beitung Ver­ant­wortliche einen ‚Auf­tragsver­ar­beit­er auszuwählen hat, der hin­sichtlich der für die Ver­ar­beitung zu tre­f­fend­en tech­nis­chen Sicher­heits­maß­nah­men und organ­isatorischen Vorkehrun­gen aus­re­ichend Gewähr bietet‘, im Umkehrschluss, dass bei anderen Nutzungsver­hält­nis­sen, die nicht mit ein­er Daten­ver­ar­beitung im Auf­trag i.S.d. Art. 2 Buchst. e)) RL 95/46/EG ver­bun­den sind, keine Pflicht zur sorgfälti­gen Auswahl beste­ht und auch nach nationalem Recht nicht begrün­det wer­den kann?
  3. Ist in Fällen, in denen ein außer­halb der Europäis­chen Union ansäs­siger Mut­terkonz­ern in ver­schiede­nen Mit­glied­staat­en rechtlich selb­ständi­ge Nieder­las­sun­gen (Tochterge­sellschaften) unter­hält, nach Art. 4, Art. 28 Abs. 6 RL 95/46/EG die Kon­troll­stelle eines Mit­glied­staates (hier: Deutsch­land) zur Ausübung der nach Art. 28 Abs. 3 RL 95/46/EG über­tra­ge­nen Befug­nisse gegen die im eige­nen Hoheits­ge­bi­et gele­gene Nieder­las­sung auch dann befugt, wenn diese Nieder­las­sung allein für die Förderung des Verkaufs von Wer­bung und son­stige Mar­ket­ing­maß­nah­men mit Aus­rich­tung auf die Ein­wohn­er dieses Mit­glied­staates zuständig ist, während der in einem anderen Mit­glied­staat (hier: Irland) gele­ge­nen selb­ständi­gen Nieder­las­sung (Tochterge­sellschaft) nach der konz­ern­in­ter­nen Auf­gaben­verteilung die auss­chließliche Ver­ant­wor­tung für die Erhe­bung und Ver­ar­beitung per­so­n­en­be­zo­gen­er Dat­en im gesamten Gebi­et der Europäis­chen Union und damit auch in dem anderen Mit­glied­staat (hier: Deutsch­land) obliegt, wenn tat­säch­lich die Entschei­dung über die Daten­ver­ar­beitung durch den Mut­terkonz­ern getrof­fen wird?
  4. Sind Art. 4 Abs. 1 Buchst. a)), Art. 28 Abs. 3 RL 95/46/EG dahin auszule­gen, dass in Fällen, in denen der für die Ver­ar­beitung Ver­ant­wortliche eine Nieder­las­sung im Hoheits­ge­bi­et eines Mit­glied­staates (hier: Irland) besitzt und eine weit­ere, rechtlich selb­ständi­ge Nieder­las­sung in dem Hoheits­ge­bi­et eines anderen Mit­glied­staates (hier: Deutsch­land) beste­ht, die u.a. für den Verkauf von Wer­be­flächen zuständig ist und deren Tätigkeit auf die Ein­wohn­er dieses Staates aus­gerichtet ist, die in diesem anderen Mit­glied­staat (hier: Deutsch­land) zuständi­ge Kon­troll­stelle Maß­nah­men und Anord­nun­gen zur Durch­set­zung des Daten­schutzrechts auch gegen die nach der konz­ern­in­ter­nen Auf­gaben- und Ver­ant­wor­tungsverteilung für die Daten­ver­ar­beitung nicht ver­ant­wortliche weit­ere Nieder­las­sung (hier: in Deutsch­land) richt­en kann oder sind Maß­nah­men und Anord­nun­gen dann nur durch die Kon­troll­be­hörde des Mit­glied­staates (hier: Irland) möglich, in dessen Hoheits­ge­bi­et die konz­ern­in­tern ver­ant­wortliche Stelle ihren Sitz hat?
  5. Sind Art. 4 Abs. 1 Buchst. a)), Art. 28 Abs. 3 und 6 RL 95/46/EG dahin auszule­gen, dass in Fällen, in denen die Kon­troll­be­hörde eines Mit­glied­staates (hier: Deutsch­land) eine in ihrem Hoheits­ge­bi­et tätige Per­son oder Stelle nach Art. 28 Abs. 3 RL 95/46/EG wegen der nicht sorgfälti­gen Auswahl eines in den Daten­ver­ar­beitung­sprozess einge­bun­de­nen Drit­ten (hier: Face­book) in Anspruch nimmt, weil dieser Dritte gegen Daten­schutzrecht ver­stoße, die tätig wer­dende Kon­troll­be­hörde (hier: Deutsch­land) an die daten­schutzrechtliche Beurteilung der Kon­troll­be­hörde des anderen Mit­glied­staates, in dem der für die Daten­ver­ar­beitung ver­ant­wortliche Dritte seine Nieder­las­sung hat (hier: Irland), in dem Sinne gebun­den ist, dass sie keine hier­von abwe­ichende rechtliche Beurteilung vornehmen darf, oder darf die tätig wer­dende Kon­troll­stelle (hier: Deutsch­land) die Recht­mäßigkeit der Daten­ver­ar­beitung durch den in einem anderen Mit­glied­staat (hier: Irland) niederge­lasse­nen Drit­ten als Vor­frage des eige­nen Tätig­w­er­dens selb­ständig auf seine Recht­mäßigkeit prüfen?
  6. Soweit der tätig wer­den­den Kon­troll­stelle (hier: Deutsch­land) eine selb­ständi­ge Über­prü­fung eröffnet ist: Ist Art. 28 Abs. 6 Satz 2 RL 95/46/EG dahin auszule­gen, dass diese Kon­troll­stelle die ihr nach Art. 28 Abs. 3 RL 95/46/EG über­tra­ge­nen wirk­samen Ein­wirkungs­befug­nisse gegen eine in ihrem Hoheits­ge­bi­et niederge­lassene Per­son oder Stelle wegen der Mitver­ant­wor­tung für die Daten­schutzver­stöße des in einem anderen Mit­glied­staat niederge­lasse­nen Drit­ten nur und erst dann ausüben darf, wenn sie zuvor die Kon­troll­stelle dieses anderen Mit­glied­staates (hier: Irland) um die Ausübung ihrer Befug­nisse ersucht hat?

Bis zur Entschei­dung des Union­s­gericht­shofs hat das Bun­desver­wal­tungs­gericht das Revi­sionsver­fahren aus­ge­set­zt.

Bun­desver­wal­tungs­gericht, Beschluss vom 25. Feb­ru­ar 2016 — 1 C 28.2014 -

  1. VG Schleswig, urteil vom 09.10.2013 — 8 A 14/12 []
  2. OVG Schleswig-Hol­stein, Urteil vom 04.09.2014 — 4 LB 20/13 []