MIR-Logo mobil

Logo MEDIEN INTERNET und RECHT
Logo MEDIEN INTERNET und RECHT

Rechtsprechung: Datenschutzrecht


EuGH, Urteil vom 05.06.2018 - C-210/16

Facebook-Fanpages - Zur (gemeinsamen) Verantwortlichkeit von Facebook und des Betreibers einer Facebook-Fanpage f√ľr die Verarbeitung personenbezogener Daten der Besucher

Richtlinie 95/46/EG Art. 2 Buchst. d, Art. 4, Art. 28

Leitsätze:

1. Art. 2 Buchst. d der Richtlinie 95/46/EG des Europ√§ischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz nat√ľrlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist dahin auszulegen, dass der Begriff des "f√ľr die Verarbeitung Verantwortlichen" im Sinne dieser Bestimmung den Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage umfasst.

2. Der Begriff des "f√ľr die Verarbeitung Verantwortlichen" in Art. 2 Buchst. d der Richtlinie 95/46/EG ist weit als nat√ľrliche oder juristische Person, Beh√∂rde, Einrichtung oder jede andere Stelle definiert, die allein oder gemeinsam mit anderen √ľber die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Das Ziel dieser Bestimmung besteht n√§mlich darin, durch eine weite Definition des Begriffs des "Verantwortlichen" einen wirksamen und umfassenden Schutz der betroffenen Personen zu gew√§hrleisten (mit Verweis auf: EuGH, Urteil vom 13.05.2014 - C‑131/12, EU:C:2014:317, Rn. 34 - Google Spain und Google).

3. Die Richtlinie 95/46/EG verlangt nicht, dass bei einer gemeinsamen Verantwortlichkeit mehrerer Betreiber f√ľr dieselbe Verarbeitung jeder Zugang zu den betreffenden personenbezogenen Daten hat (hier wurden Besucherstatistiken etwa nur in anonymisierter Form an den Fanpage-Betreiber √ľbermittelt).

4. Der Betreiber einer auf Facebook unterhaltenen Fanpage ist durch die von ihm vorgenommene Parametrierung (u. a. entsprechend seinem Zielpublikum sowie den Zielen der Steuerung oder F√∂rderung seiner T√§tigkeiten) an der Entscheidung √ľber die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt. Der Betreiber ist daher (in der Union) als gemeinsam mit Facebook f√ľr diese Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 einzustufen (wird weiter ausgef√ľhrt, Rz. 35 ff.).

5. Die gemeinsame Verantwortlichkeit des Betreibers eines sozialen Netzwerks und des Betreibers einer dort unterhaltenen Fanpage (hier: Facebook) f√ľr die Verarbeitung personenbezogener Daten der Besucher einer solchen Fanpage hat nicht zwangsl√§ufig eine gleichwertige Verantwortlichkeit der Akteure zur Folge. Vielmehr k√∂nnen die Akteure in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausma√ü in der Weise einbezogen sein, dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Ber√ľcksichtigung aller ma√ügeblichen Umst√§nde des Einzelfalls zu beurteilen ist.

6. Die Art. 4 und 28 der Richtlinie 95/46 sind dahin auszulegen, dass dann, wenn ein au√üerhalb der Europ√§ischen Union ans√§ssiges Unternehmen mehrere Niederlassungen in verschiedenen Mitgliedstaaten unterh√§lt, die Kontrollstelle eines Mitgliedstaats zur Aus√ľbung der ihr durch Art. 28 Abs. 3 dieser Richtlinie √ľbertragenen Befugnisse gegen√ľber einer im Hoheitsgebiet dieses Mitgliedstaats gelegenen Niederlassung dieses Unternehmens auch dann befugt ist, wenn nach der konzerninternen Aufgabenverteilung zum einen diese Niederlassung allein f√ľr den Verkauf von Werbefl√§chen und sonstige Marketingt√§tigkeiten im Hoheitsgebiet dieses Mitgliedstaats zust√§ndig ist und zum anderen die ausschlie√üliche Verantwortung f√ľr die Erhebung und Verarbeitung personenbezogener Daten f√ľr das gesamte Gebiet der Europ√§ischen Union einer in einem anderen Mitgliedstaat gelegenen Niederlassung obliegt.

7. Art. 4 Abs. 1 Buchst. a und Art. 28 Abs. 3 und 6 der Richtlinie 95/46 sind dahin auszulegen, dass die Kontrollstelle eines Mitgliedstaats, wenn sie beabsichtigt, gegen√ľber einer im Hoheitsgebiet dieses Mitgliedstaats ans√§ssigen Stelle wegen Verst√∂√üen gegen die Vorschriften √ľber den Schutz personenbezogener Daten, die von einem Dritten begangen wurden, der f√ľr die Verarbeitung dieser Daten verantwortlich ist und seinen Sitz in einem anderen Mitgliedstaat hat, die Einwirkungsbefugnisse nach Art. 28 Abs. 3 dieser Richtlinie auszu√ľben, zust√§ndig ist, die Rechtm√§√üigkeit einer solchen Datenverarbeitung unabh√§ngig von der Kontrollstelle des letztgenannten Mitgliedstaats zu beurteilen und ihre Einwirkungsbefugnisse gegen√ľber der in ihrem Hoheitsgebiet ans√§ssigen Stelle auszu√ľben, ohne zuvor die Kontrollstelle des anderen Mitgliedstaats um ein Eingreifen zu ersuchen.

MIR 2018, Dok. 026


Anm. der Redaktion: Leitsätze 1, 6 und 7 geben den Tenor der Entscheidung wieder.
Download: Entscheidungsvolltext PDF

Bearbeiter: Rechtsanwalt Thomas Ch. Gramespacher (Google+ Profil)
Online seit: 05.06.2018
Kurz-Link zum Artikel: http://miur.de/2871
Weitere Beiträge die Sie interessieren könnten...
dejure.org StellenmarktAnzeige