Face­book – und die daten­schutz­recht­li­che Zustän­dig­keit

Der Gerichts­hof der Euro­päi­schen Uni­on soll in einem Vor­ab­ent­schei­dungs­ver­fah­ren die daten­schutz­recht­li­che Ver­ant­wort­lich­keit für die beim Auf­ruf einer Face­book-Fan­page erho­be­nen Nut­zer­da­ten klä­ren.

Face­book – und die daten­schutz­recht­li­che Zustän­dig­keit

Das Bun­des­ver­wal­tungs­ge­richt hat wegen die­ser Fra­ge in einem Ver­fah­ren, in dem es um die Bean­stan­dung des Betriebs einer Face­book-Fan­page sei­tens der pri­vat­recht­lich orga­ni­sier­ten Wirt­schafts­aka­de­mie Schles­wig-Hol­stein durch die Daten­schutz­auf­sichts­be­hör­de geht, den Gerichts­hof der Euro­päi­schen Uni­on zur Vor­ab­ent­schei­dung ange­ru­fen. Die dem Uni­ons­ge­richts­hof zur Vor­ab­ent­schei­dung vor­ge­leg­ten Fra­gen betref­fen die Aus­le­gung der Richt­li­nie 95/​46/​EG zum Schutz natür­li­cher Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten und zum frei­en Daten­ver­kehr (Daten­schutz­richt­li­nie). Die­se dient u.a. dazu, im Bereich der Euro­päi­schen Uni­on ein gleich­wer­ti­ges Schutz­ni­veau hin­sicht­lich der Rech­te und Frei­hei­ten von Per­so­nen bei der Ver­ar­bei­tung ihrer per­so­nen­be­zo­ge­nen Daten zu gewähr­leis­ten.

Die Wirt­schafts­aka­de­mie ist eine Trä­ge­rin der beruf­li­chen Aus- und Wei­ter­bil­dung, die neben einer eige­nen Home­page eine sog. Fan­page bei Face­book unter­hält. Das beklag­te Unab­hän­gi­ge Lan­des­zen­trum für Daten­schutz (ULD) hat im Novem­ber 2011 gegen­über der Wirt­schafts­aka­de­mie die Deak­ti­vie­rung die­ser Fan­page ange­ord­net. Die Nut­zungs­da­ten der Besu­cher wür­den von Face­book über ein "Coo­kie" bei einem Auf­ruf der Fan­page erho­ben. Sie wür­den von Face­book u.a. für Zwe­cke der Wer­bung sowie für eine auch der Wirt­schafts­aka­de­mie bereit­ge­stell­te Nut­zer­sta­tis­tik genutzt, ohne dass die Nut­zer hier­über hin­rei­chend auf­ge­klärt wür­den und in die­se Nut­zung ein­ge­wil­ligt hät­ten. Das Ver­wal­tungs­ge­richt hat der Kla­ge statt­ge­ge­ben.

Das Schles­wig-Hol­stei­ni­sche Ver­wal­tungs­ge­richt hat der Kla­ge der Wirt­schafts­aka­de­mie statt­ge­ge­ben [1]; das Schles­wig-Hol­stei­ni­sche Ober­ver­wal­tungs­ge­richt hat die hier­ge­gen gerich­te­te Beru­fung des ULD zurück­ge­wie­sen, weil es das in § 38 Abs. 5 BDSG vor­ge­se­he­ne gestuf­te Ver­fah­ren nicht ein­ge­hal­ten habe [2]. Die Wirt­schafts­aka­de­mie sei als Fan­page­be­trei­be­rin auch nicht i.S.v. § 3 Abs. 7 BDSG/​Art. 2 d)) RL 95/​46/​EG ver­ant­wort­li­che Stel­le im Hin­blick auf die von Face­book erho­be­nen Daten.

Das Bun­des­ver­wal­tungs­ge­richt hat nun die Vor­la­ge zur Vor­ab­ent­schei­dung an den Uni­ons­ge­richts­hof beschlos­sen. Nach Auf­fas­sung des Bun­des­ver­wal­tungs­ge­richts wer­fen u.a. die Reich­wei­te der Prüf- und Hand­lungs­be­fug­nis­se des ULD sowie die Fra­ge, ob die Wirt­schafts­aka­de­mie als Fan­page­be­trei­be­rin eine daten­schutz­recht­li­che Ver­ant­wort­lich­keit für die Aus­wahl des Betrei­bers ihrer Inter­net­re­prä­sen­tanz und des­sen daten­schutz­rechts­kon­for­men Umgang mit per­so­nen­be­zo­ge­nen Daten trifft, uni­ons­recht­li­che Zwei­fels­fra­gen in Bezug auf die Richt­li­nie 95/​46/​EG auf. Dabei hat das Bun­des­ver­wal­tungs­ge­richt – wie bereits in der Vor­in­stanz das Schles­wig-Hol­stei­ni­sche OVG – kei­ne Beur­tei­lung der Recht­mä­ßig­keit der Daten­ver­ar­bei­tung durch Face­book vor­ge­nom­men.

Hier­zu hat das Bun­des­ver­wal­tungs­ge­richt dem Gerichts­hof der Euro­päi­schen Uni­on fol­gen­de Fra­gen zur Vor­ab­ent­schei­dung gemäß Art. 267 AEUV vor­ge­legt:

  1. Ist Art. 2 Buchst. d)) RL 95/​46/​EG dahin aus­zu­le­gen, dass er Haf­tung und Ver­ant­wort­lich­keit für Daten­schutz­ver­stö­ße abschlie­ßend und erschöp­fend regelt oder ver­bleibt im Rah­men der "geeig­ne­ten Maß­nah­men" nach Art. 24 RL 95/​46/​EG und der "wirk­sa­men Ein­griffs­be­fug­nis­se" nach Art. 28 Abs. 3 Spie­gel­strich 2 RL 95/​46/​EG in mehr­stu­fi­gen Infor­ma­ti­ons­an­bie­ter­ver­hält­nis­sen Raum für eine Ver­ant­wort­lich­keit einer Stel­le, die nicht i.S.d. Art. 2 Buchst. d)) RL 95/​46/​EG für die Daten­ver­ar­bei­tung ver­ant­wort­lich ist, bei der Aus­wahl eines Betrei­bers für sein Infor­ma­ti­ons­an­ge­bot?
  2. Folgt aus der Pflicht der Mit­glied­staa­ten nach Art. 17 Abs. 2 RL 95/​46/​EG, bei der Daten­ver­ar­bei­tung im Auf­trag vor­zu­schrei­ben, dass der für die Ver­ar­bei­tung Ver­ant­wort­li­che einen ‚Auf­trags­ver­ar­bei­ter aus­zu­wäh­len hat, der hin­sicht­lich der für die Ver­ar­bei­tung zu tref­fen­den tech­ni­schen Sicher­heits­maß­nah­men und orga­ni­sa­to­ri­schen Vor­keh­run­gen aus­rei­chend Gewähr bie­tet‘, im Umkehr­schluss, dass bei ande­ren Nut­zungs­ver­hält­nis­sen, die nicht mit einer Daten­ver­ar­bei­tung im Auf­trag i.S.d. Art. 2 Buchst. e)) RL 95/​46/​EG ver­bun­den sind, kei­ne Pflicht zur sorg­fäl­ti­gen Aus­wahl besteht und auch nach natio­na­lem Recht nicht begrün­det wer­den kann?
  3. Ist in Fäl­len, in denen ein außer­halb der Euro­päi­schen Uni­on ansäs­si­ger Mut­ter­kon­zern in ver­schie­de­nen Mit­glied­staa­ten recht­lich selb­stän­di­ge Nie­der­las­sun­gen (Toch­ter­ge­sell­schaf­ten) unter­hält, nach Art. 4, Art. 28 Abs. 6 RL 95/​46/​EG die Kon­troll­stel­le eines Mit­glied­staa­tes (hier: Deutsch­land) zur Aus­übung der nach Art. 28 Abs. 3 RL 95/​46/​EG über­tra­ge­nen Befug­nis­se gegen die im eige­nen Hoheits­ge­biet gele­ge­ne Nie­der­las­sung auch dann befugt, wenn die­se Nie­der­las­sung allein für die För­de­rung des Ver­kaufs von Wer­bung und sons­ti­ge Mar­ke­ting­maß­nah­men mit Aus­rich­tung auf die Ein­woh­ner die­ses Mit­glied­staa­tes zustän­dig ist, wäh­rend der in einem ande­ren Mit­glied­staat (hier: Irland) gele­ge­nen selb­stän­di­gen Nie­der­las­sung (Toch­ter­ge­sell­schaft) nach der kon­zern­in­ter­nen Auf­ga­ben­ver­tei­lung die aus­schließ­li­che Ver­ant­wor­tung für die Erhe­bung und Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten im gesam­ten Gebiet der Euro­päi­schen Uni­on und damit auch in dem ande­ren Mit­glied­staat (hier: Deutsch­land) obliegt, wenn tat­säch­lich die Ent­schei­dung über die Daten­ver­ar­bei­tung durch den Mut­ter­kon­zern getrof­fen wird?
  4. Sind Art. 4 Abs. 1 Buchst. a)), Art. 28 Abs. 3 RL 95/​46/​EG dahin aus­zu­le­gen, dass in Fäl­len, in denen der für die Ver­ar­bei­tung Ver­ant­wort­li­che eine Nie­der­las­sung im Hoheits­ge­biet eines Mit­glied­staa­tes (hier: Irland) besitzt und eine wei­te­re, recht­lich selb­stän­di­ge Nie­der­las­sung in dem Hoheits­ge­biet eines ande­ren Mit­glied­staa­tes (hier: Deutsch­land) besteht, die u.a. für den Ver­kauf von Wer­be­flä­chen zustän­dig ist und deren Tätig­keit auf die Ein­woh­ner die­ses Staa­tes aus­ge­rich­tet ist, die in die­sem ande­ren Mit­glied­staat (hier: Deutsch­land) zustän­di­ge Kon­troll­stel­le Maß­nah­men und Anord­nun­gen zur Durch­set­zung des Daten­schutz­rechts auch gegen die nach der kon­zern­in­ter­nen Auf­ga­ben- und Ver­ant­wor­tungs­ver­tei­lung für die Daten­ver­ar­bei­tung nicht ver­ant­wort­li­che wei­te­re Nie­der­las­sung (hier: in Deutsch­land) rich­ten kann oder sind Maß­nah­men und Anord­nun­gen dann nur durch die Kon­troll­be­hör­de des Mit­glied­staa­tes (hier: Irland) mög­lich, in des­sen Hoheits­ge­biet die kon­zern­in­tern ver­ant­wort­li­che Stel­le ihren Sitz hat?
  5. Sind Art. 4 Abs. 1 Buchst. a)), Art. 28 Abs. 3 und 6 RL 95/​46/​EG dahin aus­zu­le­gen, dass in Fäl­len, in denen die Kon­troll­be­hör­de eines Mit­glied­staa­tes (hier: Deutsch­land) eine in ihrem Hoheits­ge­biet täti­ge Per­son oder Stel­le nach Art. 28 Abs. 3 RL 95/​46/​EG wegen der nicht sorg­fäl­ti­gen Aus­wahl eines in den Daten­ver­ar­bei­tungs­pro­zess ein­ge­bun­de­nen Drit­ten (hier: Face­book) in Anspruch nimmt, weil die­ser Drit­te gegen Daten­schutz­recht ver­sto­ße, die tätig wer­den­de Kon­troll­be­hör­de (hier: Deutsch­land) an die daten­schutz­recht­li­che Beur­tei­lung der Kon­troll­be­hör­de des ande­ren Mit­glied­staa­tes, in dem der für die Daten­ver­ar­bei­tung ver­ant­wort­li­che Drit­te sei­ne Nie­der­las­sung hat (hier: Irland), in dem Sin­ne gebun­den ist, dass sie kei­ne hier­von abwei­chen­de recht­li­che Beur­tei­lung vor­neh­men darf, oder darf die tätig wer­den­de Kon­troll­stel­le (hier: Deutsch­land) die Recht­mä­ßig­keit der Daten­ver­ar­bei­tung durch den in einem ande­ren Mit­glied­staat (hier: Irland) nie­der­ge­las­se­nen Drit­ten als Vor­fra­ge des eige­nen Tätig­wer­dens selb­stän­dig auf sei­ne Recht­mä­ßig­keit prü­fen?
  6. Soweit der tätig wer­den­den Kon­troll­stel­le (hier: Deutsch­land) eine selb­stän­di­ge Über­prü­fung eröff­net ist: Ist Art. 28 Abs. 6 Satz 2 RL 95/​46/​EG dahin aus­zu­le­gen, dass die­se Kon­troll­stel­le die ihr nach Art. 28 Abs. 3 RL 95/​46/​EG über­tra­ge­nen wirk­sa­men Ein­wir­kungs­be­fug­nis­se gegen eine in ihrem Hoheits­ge­biet nie­der­ge­las­se­ne Per­son oder Stel­le wegen der Mit­ver­ant­wor­tung für die Daten­schutz­ver­stö­ße des in einem ande­ren Mit­glied­staat nie­der­ge­las­se­nen Drit­ten nur und erst dann aus­üben darf, wenn sie zuvor die Kon­troll­stel­le die­ses ande­ren Mit­glied­staa­tes (hier: Irland) um die Aus­übung ihrer Befug­nis­se ersucht hat?

Bis zur Ent­schei­dung des Uni­ons­ge­richts­hofs hat das Bun­des­ver­wal­tungs­ge­richt das Revi­si­ons­ver­fah­ren aus­ge­setzt.

Bun­des­ver­wal­tungs­ge­richt, Beschluss vom 25. Febru­ar 2016 – 1 C 28.2014 -

  1. VG Schles­wig, urteil vom 09.10.2013 – 8 A 14/​12[]
  2. OVG Schles­wig-Hol­stein, Urteil vom 04.09.2014 – 4 LB 20/​13[]