Das ist ein ordentlicher Paukenschlag: Im Streit darüber, ob Unternehmen, die eine Facebook-Fanpage betreiben, mitverantwortlich für die Einhaltung der Datenschutzregeln sind, schlägt sich Yves Bot, Generalanwalt am Europäischen Gerichtshof (EuGH), in seinen Schlussanträgen auf die Seite der deutschen Datenschützer. Bereits in unserem Blog Mitte April dieses Jahres (https://www.integr8.com/blog/facebook-europaeischer-gerichtshof-soll-datenschutz-streit-entscheiden/) haben wir die Ausgangslage beschrieben und berichtet, dass das Bundesverwaltungsgericht in Leipzig einige Grundsatzfragen an den Europäischen Gerichtshof weitergereicht hatte. Es ging um eine Klage des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) gegen die Wirtschaftsakademie Schleswig-Holstein, einem Bildungsinstitut der Industrie- und Handelskammer (IHK), das auf Facebook eine Fanpage betreibt, auf der sie für Veranstaltungen und Seminare wirbt. Das ULD hatte die IHK aufgefordert, die Fanpage zu deaktivieren, und ein Bußgeld in Höhe von 50.000 Euro angedroht.
Heikler Rechtsstreit mit Konsequenzen für sehr viele Unternehmen
Heikel nicht nur für die IHK, sondern für sämtliche Unternehmen und Institutionen, die eine Fanseite betreiben, ist die Auffassung der schleswig-holsteinischen Datenschützer, dass die Betreiber für die Verarbeitung personenbezogener Daten durch Facebook „mitverantwortlich“ seien und damit auch für etwaige Verstöße gegen den Datenschutz. In den deutschen Vorinstanzen hatten sich die Datenschützer mit ihrer Sicht der Dinge noch nicht durchsetzen können. Nun sollte es der EuGH klären. Auch die Frage, ob deutsche Datenschützer Facebook überhaupt kontrollieren und überprüfen dürfen. Denn Facebook hatte immer argumentiert, dass „Facebook Ireland Limited“ fürs Europageschäft des Konzerns zuständig sei und nur dem irischen Datenschutzrecht unterliege.
Der Spielraum wird eingegrenzt
Es sieht nicht danach aus, dass Facebook mit dieser Rechtsauslegung künftig noch Erfolg haben wird. Denn Generalanwalt Bot geht in seinen Schlussanträgen davon aus, dass die Anwendung des deutschen Datenschutzrechts erlaubt ist, wenn personenbezogene Daten in Deutschland verarbeitet werden. Im Hinblick auf den schleswig-holsteinischen Streitgegenstand sei die „deutsche Kontrollstelle (…) daher befugt, ihr nationales Recht auf die im Ausgangsverfahren in Rede stehende Verarbeitung personenbezogener Daten anzuwenden“. Das gelte auch dann, wenn der für die Verarbeitung Verantwortliche „seinen Sitz in einem anderen Mitgliedstaat oder einem Drittstaat hat“.
Auch Website-Betreiber sind betroffen
Was die datenschutzrechtliche Verantwortung von Unternehmen, Verbänden und sonstigen Institutionen angeht, die eine Fanpage unterhalten, begründet sie der Generalanwalt am Beispiel der IHK-Wirtschaftsakademie folgendermaßen: „Indem der Betreiber der Fanpage Facebook für die Verbreitung seines Informationsangebots nutzt, schließt er sich dem Grundsatz der Durchführung einer Verarbeitung personenbezogener Daten der Besucher seiner Seite zum Zweck der Erstellung von Besucherstatistiken an.“ Die Wirtschaftsakademie etwa sei für die in der Erhebung von personenbezogenen Daten durch Facebook bestehenden Phase der Verarbeitung „gemeinsam mit Facebook verantwortlich“. Dass der Generalanwalt diese Argumentation auf die Betreiber von Websites ausweitet, ist eine weitere (für betroffene Unternehmen eher unangenehme) Überraschung, die in seinen Schlussanträgen enthalten ist: Denn seiner Ansicht nach müsste der Betreiber einer Website, die ein Social Plugin enthält, „wie der Betreiber einer Fanpage“ als „für die Verarbeitung Verantwortlicher“ eingestuft werden.
„Keine Verantwortungslücken im Datenschutz“
Es kann nicht verwundern, dass Marit Hansen, die Leiterin des ULD, hochzufrieden ist und begrüßt, „dass wir bei der Klärung der Datenschutzverantwortung weiterkommen“. Ein Unternehmen dürfe bei der Einschaltung von Dienstleistern „nicht die Augen vor den damit einhergehenden Datenschutzrisiken verschließen“. Der Generalanwalt mache deutlich, dass dies nicht nur für Facebook-Seiten eines Unternehmens gelte, sondern beispielsweise auch fürs Webtracking, wenn Dienstleister Daten über die Nutzer mithilfe von Cookies sammelten. Die Aussage sei klar: „Es darf keine Verantwortungslücken im Datenschutz geben.“ Falls sich der EuGH der Ansicht seines Generalanwalts anschließen sollte, was er ja in den meisten Fällen auch tut, fürchten einige Juristen bereits, dass dies das Aus für die Fanpages bedeuten würde. (rst, datenschutzzentrum.de, delegedata.de, beckmannundnorda.de)