EuGH muss zu Facebook – Fanseiten entscheiden

Der 1. Revisionssenat des Bundesverwaltungsgerichts (BVerwG) hat jetzt beschlossen dem Europäischen Gerichtshof (EuGH) einen Streit vorzulegen, in dem es um den Datenschutz bei Facebook-Fanseiten geht. Die aufgeworfenen Rechtsfragen betreffen hauptsächlich die Auslegung der europäischen Datenschutzrichtlinie (Beschluss des BVerwG vom 25. Fe­bru­ar 2016, AZ. 1 C 28.14).

Hintergrund: Das unabhängige Landeszentrum für Datenschutz (ULD) hatte von der Klägerin, der Wirtschaftsakademie Schleswig-Holstein, die Deaktivierung ihrer Facebook-Fanseite verlangt. Beim Aufruf dieser Seite würden mittels eines „Cookies“ Nutzerdaten erhoben, ohne dass die Nutzer zuvor darüber ausreichend informiert seien. Diese Daten würden anschließend von Facebook zu Werbezwecken und für eine Nutzungsstatistik, die auch der Klägerin zur Verfügung stand, genutzt. Das ULD vermutete daher datenschutzrechtliche Verstöße und verlangte die Deaktivierung der Seite.

Der Klage der Wirtschaftsakademie gegen diese Anordnung wurde in den vorherigen Instanzen zwar stattgegeben. Nun hat das BVerwG jedoch entschieden, den Fall dem EuGH vorzulegen. Die vorherigen Verfahren hatten Auslegungs- und Kompetenzfragen aufgeworfen. Unter anderem wird der EuGH jetzt zu entscheiden haben, ob das ULD überhaupt befugt war, die Fanseite auf eventuelle datenschutzrechtliche Verstöße zu prüfen, und inwiefern es bei solchen Verstößen zum Handeln berechtigt ist. Auch die Verantwortlichkeit für die beim Aufruf einer Facebook-Fanseite erhobenen Nutzerdaten wird zu klären sein.

Das sind die Rechtsfragen, die dem EuGH vorgelegt wurden:

1.

Der EuGH wird klären müssen, inwiefern die Wirtschaftsakademie Schleswig-Holstein für Datenschutzverstöße von Facebook verantwortlich ist. Ist bei einem mehrstufigen Informationsanbieterverhältnis auch derjenige für Datenschutzverstöße verantwortlich, der zwar die Daten nicht direkt verarbeitet, sich aber den Betreiber der Seite für das Angebot seiner Informationen ausgesucht hat?

2.

Die Mitgliedstaaten trifft nach Art. 17 Abs. 2 RL 95/46/EG die Pflicht, bei Datenverarbeitung im Auftrag (d.h. wenn ein Auftragsverarbeiter im Auftrag des für die Verarbeitung Verantwortlichen handelt) vorzuschreiben, dass der für die Verarbeitung Verantwortliche den Auftragsverarbeiter sorgfältig auszuwählen hat, sodass dieser die erforderlichen Sicherheitsmaßnahmen und organisatorischen Vorkehrungen trifft. Ist aus dieser Regelung im Umkehrschluss zu schließen, dass diese Pflicht zur ordnungsgemäßen Auswahl für andere Verhältnisse als das der Datenverarbeitung im Auftrag nicht gilt? Kann dies auch nicht im nationalen Recht begründet werden?

3.

Die Tochtergesellschaft eines außerhalb der Europäischen Union ansässigen Mutterkonzerns hat ihren Sitz in einem Mitgliedsstaat (hier: Deutschland) und ist laut konzerninterner Aufgabenverteilung nur für Marketingmaßnahmen und die Förderung des Verkaufs von Werbung, mit Ausrichtung auf die Einwohner des Mitgliedstaates in dem sie ansässig ist, zuständig. Die ausschließliche Verantwortung für die Erhebung und Verarbeitung der personenbezogenen Daten im ganzen Gebiet der europäischen Union trägt dagegen eine andere Niederlassung in einem anderen Mitgliedsstaat (hier: Irland). Kann eine deutsche Kontrollstelle die Befugnisse, die ihr nach einer EU-Richtlinie übertragen worden sind, auch gegenüber der in Deutschland ansässigen Tochtergesellschaft ausüben, wenn tatsächlich die Erhebung und Verarbeitung der personenbezogenen Daten  in Irland erfolgen und Entscheidungen über die Datenverarbeitung beim Mutterkonzern (hier: USA) liegen?

4.

Es stellt sich außerdem die Frage, wer für die Kontrolle und für die Maßnahmen und Anordnungen zur Durchsetzung der Datenschutzrechts zuständig ist, wenn der für die Verarbeitung der Daten Verantwortliche eine Niederlassung im Hoheitsgebiet eines Mitgliedstaates (hier: Irland) hat, und eine weitere rechtlich selbstständige Niederlassung in einem anderen Mitgliedsstaat (hier: Deutschland) besteht, die u.a. für den Verkauf von Werbeflächen zuständig ist und deren Tätigkeit auf die Einwohner dieses Staates ausgerichtet ist. Können sich Maßnahmen und Anordnungen einer deutschen Kontrollstelle gegen die nach der konzerninternen Aufgaben- und Verantwortungsverteilung für die Datenverarbeitung nicht verantwortliche weitere Niederlassung (hier: in Deutschland) richten, oder ist dann die Kontrollbehörde des Mitgliedstaates zuständig, in dessen Hoheitsgebiet die verantwortliche Stelle ihren Sitz hat?

5.

Darf die Kontrollstelle eines Mitgliedstaates (hier: Deutschland) die Rechtmäßigkeit der Datenverarbeitung durch in einem anderen Mitgliedstaat (hier: Irland) niedergelassenen Dritten als Vorfrage des eigenen Tätigwerdens selbstständig auf seine Rechtmäßigkeit prüfen, wenn sie eine in ihrem Hoheitsgebiet tätige Person oder Stelle wegen der nicht sorgfältigen Auswahl eines in den Datenverarbeitungsprozess eingebundenen Dritten (hier: Facebook) in Anspruch nimmt, weil dieser Dritte gegen Datenschutzrecht verstößt, oder ist die deutsche Kontrollbehörde in diesem Fall an die datenschutzrechtliche Beurteilung der Kontrollbehörde Irlands gebunden?

6.

Sollte der deutschen Behörde eine selbständige Prüfung der Rechtmäßigkeit der Datenverarbeitung zustehen, ist Art. 28 Abs. 6 Satz 2 RL 95/46/EG so auszulegen, dass sie die Kontrollstelle des anderen Mitgliedstaates (hier: Irland) um die Ausübung ihrer Befugnisse ersuchen muss, bevor sie gegen eine in ihrem Hoheitsgebiet niedergelassene Person oder Stelle wegen der Mitverantwortung für die Datenschutzverstöße des in einem anderen Mitgliedstaat niedergelassenen Dritten vorgeht?

 

 

geschrieben von: Florian Decker

Florian Decker

Fragen zum Thema? Mailen Sie einfach an decker@res-media.net.

Florian Decker
Fachanwalt für Informationstechnologierecht (IT-Recht)

RESMEDIA Mainz – Anwälte für IT-IP-Medien
Am Winterhafen 78 | 55131 Mainz
Fon +49 6131 144 56 -0 | Fax +49 6131 144 56 – 20
E-Mail: decker@res-media.net
Internet: www.res-media.net

 

Related Posts

No Comments Yet.

Leave a comment