EuGH soll zur datenschutzrechtlichen Verantwortlichkeit für Facebook-Fanpage entscheiden
5 Min.
Zitiervorschlag
EuGH soll zur datenschutzrechtlichen Verantwortlichkeit für Facebook-Fanpage entscheiden. beck-aktuell, 26.02.2016 (abgerufen am: 13.05.2026 von https://www.beck-aktuell.de/node/180141)
Der Europäische Gerichtshof soll die datenschutzrechtliche Verantwortlichkeit für die beim Aufruf einer Facebook-Fanpage erhobenen Nutzerdaten klären. Das Bundesverwaltungsgericht hat mit Beschluss vom 25.02.2016 in einem Verfahren, in dem es um die Beanstandung des Betriebs einer Facebook-Fanpage der privatrechtlich organisierten Wirtschaftsakademie Schleswig-Holstein durch die Datenschutzaufsichtsbehörde geht, den EuGH angerufen. Bis zur Entscheidung des Gerichtshofs hat das BVerwG das Revisionsverfahren ausgesetzt (Az.: 1 C 28.14).
Anzeige
Auslegung der Datenschutzrichtlinie unklar
Die dem EuGH zur Vorabentscheidung vorgelegten Fragen betreffen insbesondere die Auslegung der Datenschutzrichtlinie RL 95/46/EG. Diese dient unter anderem dazu, im Bereich der Europäischen Union ein gleichwertiges Schutzniveau hinsichtlich der Rechte und Freiheiten von Personen bei der Verarbeitung ihrer personenbezogenen Daten zu gewährleisten.
Nutzer nicht hinreichend aufgeklärt
Die Klägerin des Ausgangsverfahrens ist eine Trägerin der beruflichen Aus- und Weiterbildung, die neben einer eigenen Homepage eine sogenannte Fanpage bei Facebook unterhält. Das beklagte Unabhängige Landeszentrum für Datenschutz (ULD) hatte im November 2011 gegenüber der Klägerin die Deaktivierung dieser Fanpage angeordnet. Die Nutzungsdaten der Besucher würden von Facebook über ein "Cookie" bei einem Aufruf der Fanpage erhoben. Sie würden von Facebook unter anderem für Zwecke der Werbung sowie für eine auch der Klägerin bereitgestellte Nutzerstatistik genutzt, ohne dass die Nutzer hierüber hinreichend aufgeklärt würden und in diese Nutzung eingewilligt hätten. Das Verwaltungsgericht hat der Klage stattgegeben. Das Oberverwaltungsgericht hat die Berufung zurückgewiesen, weil das ULD das in § 38 Abs. 5 BDSG vorgesehene gestufte Verfahren nicht eingehalten habe. Die Klägerin sei als Fanpagebetreiberin auch nicht im Sinne von § 3 Abs. 7 BDSG/Art. 2 d) RL 95/46/EG verantwortliche Stelle im Hinblick auf die von Facebook erhobenen Daten.
Keine Beurteilung der Rechtmäßigkeit der Datenverarbeitung durch Facebook
Der Erste Revisionssenat des BVerwG hat jetzt eine Vorlage an den EuGH beschlossen. Nach seiner Auffassung werfen unter anderem die Reichweite der Prüf- und Handlungsbefugnisse des ULD sowie die Frage, ob die Klägerin als Fanpagebetreiberin eine datenschutzrechtliche Verantwortlichkeit für die Auswahl des Betreibers ihrer Internetrepräsentanz und dessen datenschutzrechtskonformen Umgang mit personenbezogenen Daten trifft, unionsrechtliche Zweifelsfragen in Bezug auf die RL 95/46/EG auf. Dabei hat es - wie das OVG - keine Beurteilung der Rechtmäßigkeit der Datenverarbeitung durch Facebook vorgenommen.
BVerwG befragt EuGH zur Haftung und Verantwortlichkeit für Datenschutzverstöße
Der EuGH soll jetzt klären, ob Art. 2 Buchst. d) RL 95/46/EG dahin auszulegen ist, dass er Haftung und Verantwortlichkeit für Datenschutzverstöße abschließend und erschöpfend regelt. Unklar sei, ob im Rahmen der "geeigneten Maßnahmen" nach Art. 24 RL 95/46/EG und der "wirksamen Eingriffsbefugnisse" nach Art. 28 Abs. 3 Spiegelstrich 2 RL 95/46/EG in mehrstufigen Informationsanbieterverhältnissen Raum für eine Verantwortlichkeit einer Stelle bleibe, die nicht im Sinn des Art. 2 Buchst. d) RL 95/46/EG für die Datenverarbeitung verantwortlich ist, bei der Auswahl eines Betreibers für sein Informationsangebot.
Zweifel bei Pflicht zur sorgfältigen Auswahl
Das BVerwG hat Zweifel, ob aus der Pflicht der Mitgliedstaaten nach Art. 17 Abs. 2 RL 95/46/EG, bei der Datenverarbeitung im Auftrag vorzuschreiben, dass der für die Verarbeitung Verantwortliche einen "Auftragsverarbeiter auszuwählen hat, der hinsichtlich der für die Verarbeitung zu treffenden technischen Sicherheitsmaßnahmen und organisatorischen Vorkehrungen ausreichend Gewähr bietet", im Umkehrschluss folgt, dass bei anderen Nutzungsverhältnissen, die nicht mit einer Datenverarbeitung im Auftrag im Sinne des Art. 2 Buchst. e) RL 95/46/EG verbunden sind, keine Pflicht zur sorgfältigen Auswahl besteht und auch nach nationalem Recht nicht begründet werden kann.
Kontrolle von Tochtergesellschaften unklar
Das BVerwG hat dem EuGH zudem die Frage vorgelegt, ob in Fällen, in denen ein außerhalb der Europäischen Union ansässiger Mutterkonzern in verschiedenen Mitgliedstaaten rechtlich selbstständige Niederlassungen (Tochtergesellschaften) unterhält, nach Art. 4, Art. 28 Abs. 6 RL 95/46/EG die Kontrollstelle eines Mitgliedstaates (hier: Deutschland) zur Ausübung der nach Art. 28 Abs. 3 RL 95/46/EG übertragenen Befugnisse gegen die im eigenen Hoheitsgebiet gelegene Niederlassung auch dann befugt ist, wenn diese Niederlassung allein für die Förderung des Verkaufs von Werbung und sonstige Marketingmaßnahmen mit Ausrichtung auf die Einwohner dieses Mitgliedstaates zuständig ist, während der in einem anderen Mitgliedstaat (hier: Irland) gelegenen selbstständigen Niederlassung (Tochtergesellschaft) nach der konzerninternen Aufgabenverteilung die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten im gesamten Gebiet der Europäischen Union und damit auch in dem anderen Mitgliedstaat (hier: Deutschland) obliegt, wenn tatsächlich die Entscheidung über die Datenverarbeitung durch den Mutterkonzern getroffen wird.
Gericht soll über Möglichkeit von Maßnahmen gegen weitere Niederlassung entscheiden
Der EuGH soll zudem darüber entscheiden, ob Art. 4 Abs. 1Buchst. a), Art. 28 Abs. 3 RL 95/46/EG dahin auszulegen ist, dass in Fällen, in denen der für die Verarbeitung Verantwortliche eine Niederlassung im Hoheitsgebiet eines Mitgliedstaates (hier: Irland) besitzt und eine weitere, rechtlich selbstständige Niederlassung in dem Hoheitsgebiet eines anderen Mitgliedstaates (hier: Deutschland) besteht, die unter anderem für den Verkauf von Werbeflächen zuständig ist und deren Tätigkeit auf die Einwohner dieses Staates ausgerichtet ist, die in diesem anderen Mitgliedstaat (hier: Deutschland) zuständige Kontrollstelle Maßnahmen und Anordnungen zur Durchsetzung des Datenschutzrechts auch gegen die nach der konzerninternen Aufgaben- und Verantwortungsverteilung für die Datenverarbeitung nicht verantwortliche weitere Niederlassung (hier: in Deutschland) richten kann. Unklar sei, ob alternativ Maßnahmen und Anordnungen dann nur durch die Kontrollbehörde des Mitgliedstaates (hier: Irland) möglich sind, in dessen Hoheitsgebiet die konzernintern verantwortliche Stelle ihren Sitz hat.
Zweifel bei abweichender rechtlicher Beurteilung
Das BVerwG befragt den EuGH zudem, ob Art. 4 Abs. 1 Buchst. a), Art. 28 Abs. 3 und 6 RL 95/46/EG dahin auszulegen sind, dass in Fällen, in denen die Kontrollbehörde eines Mitgliedstaates (hier: Deutschland) eine in ihrem Hoheitsgebiet tätige Person oder Stelle nach Art. 28 Abs. 3 RL 95/46/EG wegen der nicht sorgfältigen Auswahl eines in den Datenverarbeitungsprozess eingebundenen Dritten (hier: Facebook) in Anspruch nimmt, weil dieser Dritte gegen Datenschutzrecht verstoße, die tätig werdende Kontrollbehörde (hier: Deutschland) an die datenschutzrechtliche Beurteilung der Kontrollbehörde des anderen Mitgliedstaates, in dem der für die Datenverarbeitung verantwortliche Dritte seine Niederlassung hat (hier: Irland), in dem Sinne gebunden ist, dass sie keine hiervon abweichende rechtliche Beurteilung vornehmen darf. Zu klären sei, ob die tätig werdende Kontrollstelle (hier: Deutschland) die Rechtmäßigkeit der Datenverarbeitung durch den in einem anderen Mitgliedstaat (hier: Irland) niedergelassenen Dritten als Vorfrage des eigenen Tätigwerdens selbstständig auf seine Rechtmäßigkeit prüfen darf.
Muss andere Kontrollstelle um Ausübung der Befugnisse ersucht werden?
Soweit der tätig werdenden Kontrollstelle (hier: Deutschland) eine selbstständige Überprüfung eröffnet ist, fragt das BVerwG, ob Art. 28 Abs. 6 Satz 2 RL 95/46/EG dahin auszulegen ist, dass diese Kontrollstelle die ihr nach Art. 28 Abs. 3 RL 95/46/EG übertragenen wirksamen Einwirkungsbefugnisse gegen eine in ihrem Hoheitsgebiet niedergelassene Person oder Stelle wegen der Mitverantwortung für die Datenschutzverstöße des in einem anderen Mitgliedstaat niedergelassenen Dritten nur und erst dann ausüben darf, wenn sie zuvor die Kontrollstelle dieses anderen Mitgliedstaates (hier: Irland) um die Ausübung ihrer Befugnisse ersucht hat.
EuGH soll zur datenschutzrechtlichen Verantwortlichkeit für Facebook-Fanpage entscheiden. beck-aktuell, 26.02.2016 (abgerufen am: 13.05.2026 von https://www.beck-aktuell.de/node/180141)
