Rechtsprechung // Datenschutzrecht
EuGH, Urteil vom 05.06.2018 - C-210/16
Facebook-Fanpages - Zur (gemeinsamen) Verantwortlichkeit von Facebook und des Betreibers einer Facebook-Fanpage für die Verarbeitung personenbezogener Daten der Besucher
Richtlinie 95/46/EG Art. 2 Buchst. d, Art. 4, Art. 28
Leitsätze:*1. Art. 2 Buchst. d der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist dahin auszulegen, dass der Begriff des "für die Verarbeitung Verantwortlichen" im Sinne dieser Bestimmung den Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage umfasst.
2. Der Begriff des "für die Verarbeitung Verantwortlichen" in Art. 2 Buchst. d der Richtlinie 95/46/EG ist weit als natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle definiert, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Das Ziel dieser Bestimmung besteht nämlich darin, durch eine weite Definition des Begriffs des "Verantwortlichen" einen wirksamen und umfassenden Schutz der betroffenen Personen zu gewährleisten (mit Verweis auf: EuGH, Urteil vom 13.05.2014 - C‑131/12, EU:C:2014:317, Rn. 34 - Google Spain und Google).
3. Die Richtlinie 95/46/EG verlangt nicht, dass bei einer gemeinsamen Verantwortlichkeit mehrerer Betreiber für dieselbe Verarbeitung jeder Zugang zu den betreffenden personenbezogenen Daten hat (hier wurden Besucherstatistiken etwa nur in anonymisierter Form an den Fanpage-Betreiber übermittelt).
4. Der Betreiber einer auf Facebook unterhaltenen Fanpage ist durch die von ihm vorgenommene Parametrierung (u. a. entsprechend seinem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten) an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt. Der Betreiber ist daher (in der Union) als gemeinsam mit Facebook für diese Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 einzustufen (wird weiter ausgeführt, Rz. 35 ff.).
5. Die gemeinsame Verantwortlichkeit des Betreibers eines sozialen Netzwerks und des Betreibers einer dort unterhaltenen Fanpage (hier: Facebook) für die Verarbeitung personenbezogener Daten der Besucher einer solchen Fanpage hat nicht zwangsläufig eine gleichwertige Verantwortlichkeit der Akteure zur Folge. Vielmehr können die Akteure in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß in der Weise einbezogen sein, dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist.
6. Die Art. 4 und 28 der Richtlinie 95/46 sind dahin auszulegen, dass dann, wenn ein außerhalb der Europäischen Union ansässiges Unternehmen mehrere Niederlassungen in verschiedenen Mitgliedstaaten unterhält, die Kontrollstelle eines Mitgliedstaats zur Ausübung der ihr durch Art. 28 Abs. 3 dieser Richtlinie übertragenen Befugnisse gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats gelegenen Niederlassung dieses Unternehmens auch dann befugt ist, wenn nach der konzerninternen Aufgabenverteilung zum einen diese Niederlassung allein für den Verkauf von Werbeflächen und sonstige Marketingtätigkeiten im Hoheitsgebiet dieses Mitgliedstaats zuständig ist und zum anderen die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten für das gesamte Gebiet der Europäischen Union einer in einem anderen Mitgliedstaat gelegenen Niederlassung obliegt.
7. Art. 4 Abs. 1 Buchst. a und Art. 28 Abs. 3 und 6 der Richtlinie 95/46 sind dahin auszulegen, dass die Kontrollstelle eines Mitgliedstaats, wenn sie beabsichtigt, gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats ansässigen Stelle wegen Verstößen gegen die Vorschriften über den Schutz personenbezogener Daten, die von einem Dritten begangen wurden, der für die Verarbeitung dieser Daten verantwortlich ist und seinen Sitz in einem anderen Mitgliedstaat hat, die Einwirkungsbefugnisse nach Art. 28 Abs. 3 dieser Richtlinie auszuüben, zuständig ist, die Rechtmäßigkeit einer solchen Datenverarbeitung unabhängig von der Kontrollstelle des letztgenannten Mitgliedstaats zu beurteilen und ihre Einwirkungsbefugnisse gegenüber der in ihrem Hoheitsgebiet ansässigen Stelle auszuüben, ohne zuvor die Kontrollstelle des anderen Mitgliedstaats um ein Eingreifen zu ersuchen.
Bearbeiter: Rechtsanwalt Thomas Ch. Gramespacher
Online seit: 05.06.2018
Kurz-Link zum Artikel: http://miur.de/2871
*Redaktionell. Amtliche Leit- und Orientierungssätze werden in einer "Anm. der Redaktion" benannt.
// Artikel gesammelt "frei Haus"? Hier den MIR-Newsletter abonnieren
BGH, Urteil vom 26.04.2018 - I ZR 248/16, MIR 2018, Dok. 059
Michael Wächter: Datenschutz im Unternehmen
Rechtsanwalt Thomas Ch. Gramespacher, MIR 2022, Dok. 015
Social-Media-Marketing - Zur Kennzeichnungspflicht von werblichen Beiträgen bei #Instagram
KG Berlin, Beschluss vom 17.10.2017 - 5 W 233/17, MIR 2018, Dok. 002
Trainer-Foto - Jedenfalls bei Urheberrechtsverletzungen kann die rein tatsächliche Beendigung der Verletzungslage dazu führen, dass der Verfügungsgrund (Dringlichkeit) entfällt
OLG Köln, Beschluss vom 12.04.2021 - 6 W 98/20, MIR 2021, Dok. 033
Flaschenpfand - Fragen zur Zulässigkeit der gesonderten Ausweisung des Pfandbetrags bei der Werbung für Waren in Pfandbehältern dem EuGH vorgelegt
Bundesgerichtshof, MIR 2021, Dok. 060