MIR-Newsletter

Der MIR-Newsletter informiert Sie regelmäßig über neue Inhalte in MEDIEN INTERNET und RECHT!

Schließen Abonnieren
MIR-Logo mobil

Logo MEDIEN INTERNET und RECHT
Logo MEDIEN INTERNET und RECHT

Rechtsprechung // Datenschutzrecht



EuGH, Urteil vom 05.06.2018 - C-210/16

Facebook-Fanpages - Zur (gemeinsamen) Verantwortlichkeit von Facebook und des Betreibers einer Facebook-Fanpage für die Verarbeitung personenbezogener Daten der Besucher

Richtlinie 95/46/EG Art. 2 Buchst. d, Art. 4, Art. 28

Leitsätze:*

1. Art. 2 Buchst. d der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist dahin auszulegen, dass der Begriff des "für die Verarbeitung Verantwortlichen" im Sinne dieser Bestimmung den Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage umfasst.

2. Der Begriff des "für die Verarbeitung Verantwortlichen" in Art. 2 Buchst. d der Richtlinie 95/46/EG ist weit als natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle definiert, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Das Ziel dieser Bestimmung besteht nämlich darin, durch eine weite Definition des Begriffs des "Verantwortlichen" einen wirksamen und umfassenden Schutz der betroffenen Personen zu gewährleisten (mit Verweis auf: EuGH, Urteil vom 13.05.2014 - C‑131/12, EU:C:2014:317, Rn. 34 - Google Spain und Google).

3. Die Richtlinie 95/46/EG verlangt nicht, dass bei einer gemeinsamen Verantwortlichkeit mehrerer Betreiber für dieselbe Verarbeitung jeder Zugang zu den betreffenden personenbezogenen Daten hat (hier wurden Besucherstatistiken etwa nur in anonymisierter Form an den Fanpage-Betreiber übermittelt).

4. Der Betreiber einer auf Facebook unterhaltenen Fanpage ist durch die von ihm vorgenommene Parametrierung (u. a. entsprechend seinem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten) an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt. Der Betreiber ist daher (in der Union) als gemeinsam mit Facebook für diese Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 einzustufen (wird weiter ausgeführt, Rz. 35 ff.).

5. Die gemeinsame Verantwortlichkeit des Betreibers eines sozialen Netzwerks und des Betreibers einer dort unterhaltenen Fanpage (hier: Facebook) für die Verarbeitung personenbezogener Daten der Besucher einer solchen Fanpage hat nicht zwangsläufig eine gleichwertige Verantwortlichkeit der Akteure zur Folge. Vielmehr können die Akteure in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß in der Weise einbezogen sein, dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist.

6. Die Art. 4 und 28 der Richtlinie 95/46 sind dahin auszulegen, dass dann, wenn ein außerhalb der Europäischen Union ansässiges Unternehmen mehrere Niederlassungen in verschiedenen Mitgliedstaaten unterhält, die Kontrollstelle eines Mitgliedstaats zur Ausübung der ihr durch Art. 28 Abs. 3 dieser Richtlinie übertragenen Befugnisse gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats gelegenen Niederlassung dieses Unternehmens auch dann befugt ist, wenn nach der konzerninternen Aufgabenverteilung zum einen diese Niederlassung allein für den Verkauf von Werbeflächen und sonstige Marketingtätigkeiten im Hoheitsgebiet dieses Mitgliedstaats zuständig ist und zum anderen die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten für das gesamte Gebiet der Europäischen Union einer in einem anderen Mitgliedstaat gelegenen Niederlassung obliegt.

7. Art. 4 Abs. 1 Buchst. a und Art. 28 Abs. 3 und 6 der Richtlinie 95/46 sind dahin auszulegen, dass die Kontrollstelle eines Mitgliedstaats, wenn sie beabsichtigt, gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats ansässigen Stelle wegen Verstößen gegen die Vorschriften über den Schutz personenbezogener Daten, die von einem Dritten begangen wurden, der für die Verarbeitung dieser Daten verantwortlich ist und seinen Sitz in einem anderen Mitgliedstaat hat, die Einwirkungsbefugnisse nach Art. 28 Abs. 3 dieser Richtlinie auszuüben, zuständig ist, die Rechtmäßigkeit einer solchen Datenverarbeitung unabhängig von der Kontrollstelle des letztgenannten Mitgliedstaats zu beurteilen und ihre Einwirkungsbefugnisse gegenüber der in ihrem Hoheitsgebiet ansässigen Stelle auszuüben, ohne zuvor die Kontrollstelle des anderen Mitgliedstaats um ein Eingreifen zu ersuchen.

MIR 2018, Dok. 026


Anm. der Redaktion: Leitsätze 1, 6 und 7 geben den Tenor der Entscheidung wieder.
Download: Entscheidungsvolltext PDF

Bearbeiter: Rechtsanwalt Thomas Ch. Gramespacher
Online seit: 05.06.2018
Kurz-Link zum Artikel: http://miur.de/2871

*Redaktionell. Amtliche Leit- und Orientierungssätze werden in einer "Anm. der Redaktion" benannt.

// Artikel gesammelt "frei Haus"? Hier den MIR-Newsletter abonnieren
dejure.org StellenmarktAnzeige