MIR-Logo mobil

Logo MEDIEN INTERNET und RECHT
Logo MEDIEN INTERNET und RECHT

Rechtsprechung: Datenschutzrecht


EuGH, Urteil vom 05.06.2018 - C-210/16

Facebook-Fanpages - Zur (gemeinsamen) Verantwortlichkeit von Facebook und des Betreibers einer Facebook-Fanpage f├╝r die Verarbeitung personenbezogener Daten der Besucher

Richtlinie 95/46/EG Art. 2 Buchst. d, Art. 4, Art. 28

Leits├Ątze:

1. Art. 2 Buchst. d der Richtlinie 95/46/EG des Europ├Ąischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz nat├╝rlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist dahin auszulegen, dass der Begriff des "f├╝r die Verarbeitung Verantwortlichen" im Sinne dieser Bestimmung den Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage umfasst.

2. Der Begriff des "f├╝r die Verarbeitung Verantwortlichen" in Art. 2 Buchst. d der Richtlinie 95/46/EG ist weit als nat├╝rliche oder juristische Person, Beh├Ârde, Einrichtung oder jede andere Stelle definiert, die allein oder gemeinsam mit anderen ├╝ber die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Das Ziel dieser Bestimmung besteht n├Ąmlich darin, durch eine weite Definition des Begriffs des "Verantwortlichen" einen wirksamen und umfassenden Schutz der betroffenen Personen zu gew├Ąhrleisten (mit Verweis auf: EuGH, Urteil vom 13.05.2014 - C‑131/12, EU:C:2014:317, Rn. 34 - Google Spain und Google).

3. Die Richtlinie 95/46/EG verlangt nicht, dass bei einer gemeinsamen Verantwortlichkeit mehrerer Betreiber f├╝r dieselbe Verarbeitung jeder Zugang zu den betreffenden personenbezogenen Daten hat (hier wurden Besucherstatistiken etwa nur in anonymisierter Form an den Fanpage-Betreiber ├╝bermittelt).

4. Der Betreiber einer auf Facebook unterhaltenen Fanpage ist durch die von ihm vorgenommene Parametrierung (u. a. entsprechend seinem Zielpublikum sowie den Zielen der Steuerung oder F├Ârderung seiner T├Ątigkeiten) an der Entscheidung ├╝ber die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt. Der Betreiber ist daher (in der Union) als gemeinsam mit Facebook f├╝r diese Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 einzustufen (wird weiter ausgef├╝hrt, Rz. 35 ff.).

5. Die gemeinsame Verantwortlichkeit des Betreibers eines sozialen Netzwerks und des Betreibers einer dort unterhaltenen Fanpage (hier: Facebook) f├╝r die Verarbeitung personenbezogener Daten der Besucher einer solchen Fanpage hat nicht zwangsl├Ąufig eine gleichwertige Verantwortlichkeit der Akteure zur Folge. Vielmehr k├Ânnen die Akteure in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausma├č in der Weise einbezogen sein, dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Ber├╝cksichtigung aller ma├čgeblichen Umst├Ąnde des Einzelfalls zu beurteilen ist.

6. Die Art. 4 und 28 der Richtlinie 95/46 sind dahin auszulegen, dass dann, wenn ein au├čerhalb der Europ├Ąischen Union ans├Ąssiges Unternehmen mehrere Niederlassungen in verschiedenen Mitgliedstaaten unterh├Ąlt, die Kontrollstelle eines Mitgliedstaats zur Aus├╝bung der ihr durch Art. 28 Abs. 3 dieser Richtlinie ├╝bertragenen Befugnisse gegen├╝ber einer im Hoheitsgebiet dieses Mitgliedstaats gelegenen Niederlassung dieses Unternehmens auch dann befugt ist, wenn nach der konzerninternen Aufgabenverteilung zum einen diese Niederlassung allein f├╝r den Verkauf von Werbefl├Ąchen und sonstige Marketingt├Ątigkeiten im Hoheitsgebiet dieses Mitgliedstaats zust├Ąndig ist und zum anderen die ausschlie├čliche Verantwortung f├╝r die Erhebung und Verarbeitung personenbezogener Daten f├╝r das gesamte Gebiet der Europ├Ąischen Union einer in einem anderen Mitgliedstaat gelegenen Niederlassung obliegt.

7. Art. 4 Abs. 1 Buchst. a und Art. 28 Abs. 3 und 6 der Richtlinie 95/46 sind dahin auszulegen, dass die Kontrollstelle eines Mitgliedstaats, wenn sie beabsichtigt, gegen├╝ber einer im Hoheitsgebiet dieses Mitgliedstaats ans├Ąssigen Stelle wegen Verst├Â├čen gegen die Vorschriften ├╝ber den Schutz personenbezogener Daten, die von einem Dritten begangen wurden, der f├╝r die Verarbeitung dieser Daten verantwortlich ist und seinen Sitz in einem anderen Mitgliedstaat hat, die Einwirkungsbefugnisse nach Art. 28 Abs. 3 dieser Richtlinie auszu├╝ben, zust├Ąndig ist, die Rechtm├Ą├čigkeit einer solchen Datenverarbeitung unabh├Ąngig von der Kontrollstelle des letztgenannten Mitgliedstaats zu beurteilen und ihre Einwirkungsbefugnisse gegen├╝ber der in ihrem Hoheitsgebiet ans├Ąssigen Stelle auszu├╝ben, ohne zuvor die Kontrollstelle des anderen Mitgliedstaats um ein Eingreifen zu ersuchen.

MIR 2018, Dok. 026


Anm. der Redaktion: Leits├Ątze 1, 6 und 7 geben den Tenor der Entscheidung wieder.
Download: Entscheidungsvolltext PDF

Bearbeiter: Rechtsanwalt Thomas Ch. Gramespacher (Google+ Profil)
Online seit: 05.06.2018
Kurz-Link zum Artikel: http://miur.de/2871
Weitere Beitr├Ąge die Sie interessieren k├Ânnten...
dejure.org StellenmarktAnzeige