Die Unter­neh­mens­sei­te auf Face­book – und die Ver­ant­wort­lich­keit für Daten­schutz­ver­stö­ße

Der Betrei­ber einer Face­book-Fan­page ist gemein­sam mit Face­book für die Ver­ar­bei­tung der per­so­nen­be­zo­ge­nen Daten der Besu­cher sei­ner Sei­te ver­ant­wort­lich.

Die Unter­neh­mens­sei­te auf Face­book – und die Ver­ant­wort­lich­keit für Daten­schutz­ver­stö­ße

Art. 2 Buchst. d der Richt­li­nie 95/​46/​EG des Euro­päi­schen Par­la­ments und des Rates vom 24.10.1995 zum Schutz natür­li­cher Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten und zum frei­en Daten­ver­kehr ist dahin aus­zu­le­gen, dass der Begriff des "für die Ver­ar­bei­tung Ver­ant­wort­li­chen" im Sin­ne die­ser Bestim­mung den Betrei­ber einer bei einem sozia­len Netz­werk unter­hal­te­nen Fan­page umfasst.

Die Daten­schutz­be­hör­de des Mit­glied­staats, in dem die­ser Betrei­ber sei­nen Sitz hat, konn­te auch – jeden­falls unter der Gel­tung der am 25.05.2018 außer Kraft getre­te­nen EU-Daten­schutz-Richt­li­nie 95/​46/​EG 1 – sowohl gegen ihn als auch gegen die in die­sem Mit­glied­staat nie­der­ge­las­se­ne Toch­ter­ge­sell­schaft von Face­book vor­ge­hen.

Die Art. 4 und 28 der Richt­li­nie 95/​46 sind dahin aus­zu­le­gen, dass dann, wenn ein außer­halb der Euro­päi­schen Uni­on ansäs­si­ges Unter­neh­men meh­re­re Nie­der­las­sun­gen in ver­schie­de­nen Mit­glied­staa­ten unter­hält, die Kon­troll­stel­le eines Mit­glied­staats zur Aus­übung der ihr durch Art. 28 Abs. 3 die­ser Richt­li­nie über­tra­ge­nen Befug­nis­se gegen­über einer im Hoheits­ge­biet die­ses Mit­glied­staats gele­ge­nen Nie­der­las­sung die­ses Unter­neh­mens auch dann befugt ist, wenn nach der kon­zern­in­ter­nen Auf­ga­ben­ver­tei­lung zum einen die­se Nie­der­las­sung allein für den Ver­kauf von Wer­be­flä­chen und sons­ti­ge Mar­ke­ting­tä­tig­kei­ten im Hoheits­ge­biet die­ses Mit­glied­staats zustän­dig ist und zum ande­ren die aus­schließ­li­che Ver­ant­wor­tung für die Erhe­bung und Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten für das gesam­te Gebiet der Euro­päi­schen Uni­on einer in einem ande­ren Mit­glied­staat gele­ge­nen Nie­der­las­sung obliegt.

Art. 4 Abs. 1 Buchst. a und Art. 28 Abs. 3 und 6 der Richt­li­nie 95/​46 sind dahin aus­zu­le­gen, dass die Kon­troll­stel­le eines Mit­glied­staats, wenn sie beab­sich­tigt, gegen­über einer im Hoheits­ge­biet die­ses Mit­glied­staats ansäs­si­gen Stel­le wegen Ver­stö­ßen gegen die Vor­schrif­ten über den Schutz per­so­nen­be­zo­ge­ner Daten, die von einem Drit­ten began­gen wur­den, der für die Ver­ar­bei­tung die­ser Daten ver­ant­wort­lich ist und sei­nen Sitz in einem ande­ren Mit­glied­staat hat, die Ein­wir­kungs­be­fug­nis­se nach Art. 28 Abs. 3 die­ser Richt­li­nie aus­zu­üben, zustän­dig ist, die Recht­mä­ßig­keit einer sol­chen Daten­ver­ar­bei­tung unab­hän­gig von der Kon­troll­stel­le des letzt­ge­nann­ten Mit­glied­staats zu beur­tei­len und ihre Ein­wir­kungs­be­fug­nis­se gegen­über der in ihrem Hoheits­ge­biet ansäs­si­gen Stel­le aus­zu­üben, ohne zuvor die Kon­troll­stel­le des ande­ren Mit­glied­staats um ein Ein­grei­fen zu ersu­chen.

Die­se Ent­schei­dung des Gerichts­hofs der Euro­päi­schen Uni­on erging zwar nur zur (alten) EU-Daten­schutz-Richt­li­nie, die mit Wir­kung vom 25.05.2018 durch die EU-Daten­schutz-Grund­ver­ord­nung 2 (DSGVO) auf­ge­ho­ben wur­de, bleibt jedoch hin­sicht­lich ihrer Aus­sa­ge zur (gemein­sa­men) Ver­ant­wort­lich­keit der Face­book-Fan­page-Betrei­ber für (poten­ti­el­le) Daten­schutz­ver­stö­ße auf Face­book auch unter der DSGVO rele­vant, da die hier maß­geb­li­chen Vor­schrif­ten der Daten­schutz­richtin­ie nahe­zu wort­gleich auch in der DSGVO ent­hal­ten sind. Dage­gen betref­fen die wei­te­ren vom Uni­ons­ge­richts­hof ent­schie­de­nen Fra­gen zur Zustän­dig­keit (auch) der deut­schen Daten­schutz­be­hör­den ledig­lich das bis zum 25.05.2018 gel­ten­de Recht, da die DSGVO hier­für neue Rege­lun­gen ent­hält.

Das schles­wig-hol­stei­ni­sche Aus­gangs­ver­fah­ren[↑]

Anlass für die­se Ent­schei­dung des Gerichts­hofs der Euro­päi­schen Uni­on war ein Rechts­streit zwi­schen dem Unab­hän­gi­gen Lan­des­zen­trum für Daten­schutz Schles­wig-Hol­stein und der von den Indus­trie- und Han­dels­kam­mern des Lan­des Schles­wig-Hol­stein betrie­be­nen Wirt­schafts­aka­de­mie Schles­wig-Hol­stein GmbH. Die Wirt­schafts­aka­de­mie Schles­wig-Hol­stein ist ein auf den Bereich Bil­dung spe­zia­li­sier­tes Unter­neh­men. Sie bie­tet u. a. über eine auf Face­book unter der Adres­se www.facebook.com/wirtschaftsakademie unter­hal­te­ne Fan­page Bil­dungs­dienst­leis­tun­gen an. Der­ar­ti­ge Fan­pages sind Benut­zer­kon­ten, die bei Face­book von Pri­vat­per­so­nen oder Unter­neh­men ein­ge­rich­tet wer­den kön­nen. Der Fan­page-Anbie­ter kann nach einer Regis­trie­rung bei Face­book die von die­sem unter­hal­te­ne Platt­form dazu benut­zen, sich den Nut­zern die­ses sozia­len Netz­werks sowie Per­so­nen, die die Fan­page besu­chen, zu prä­sen­tie­ren und Äuße­run­gen aller Art in den Medi­en- und Mei­nungs­markt ein­zu­brin­gen. Die Betrei­ber von Fan­pages wie die Wirt­schafts­aka­de­mie kön­nen mit Hil­fe der Funk­ti­on Face­book Insight, die ihnen Face­book als nicht abding­ba­ren Teil des Benut­zungs­ver­hält­nis­ses kos­ten­frei zur Ver­fü­gung stellt, anony­mi­sier­te sta­tis­ti­sche Daten betref­fend die Nut­zer die­ser Sei­ten erhal­ten. Die­se Daten wer­den mit Hil­fe soge­nann­ter Coo­kies gesam­melt, die jeweils einen ein­deu­ti­gen Benut­zer­code ent­hal­ten, der für zwei Jah­re aktiv ist und den Face­book auf der Fest­plat­te des Com­pu­ters oder einem ande­ren Daten­trä­ger der Besu­cher der Fan­page spei­chert. Der Benut­zer­code, der mit den Anmel­dungs­da­ten sol­cher Nut­zer, die bei Face­book regis­triert sind, ver­knüpft wer­den kann, wird beim Auf­ru­fen der Fan­pages erho­ben und ver­ar­bei­tet.

Mit Bescheid vom 03.11.2011 ord­ne­te das Unab­hän­gi­ge Lan­des­zen­trum für Daten­schutz Schles­wig-Hol­stein – als nach der Richt­li­nie 95/​46 für die Über­wa­chung der Anwen­dung der von Deutsch­land zur Umset­zung die­ser Richt­li­nie erlas­se­nen Vor­schrif­ten im Gebiet des Bun­des­lan­des Schles­wig-Hol­stein zustän­di­ge Kon­troll­stel­le – gegen­über der Wirt­schafts­aka­de­mie an, ihre Fan­page zu deak­ti­vie­ren. Nach Auf­fas­sung des Unab­hän­gi­gen Lan­des­zen­trums für Daten­schutz wie­sen näm­lich weder die Wirt­schafts­aka­de­mie noch Face­book die Besu­cher der Fan­page dar­auf hin, dass Face­book mit­tels Coo­kies sie betref­fen­de per­so­nen­be­zo­ge­ne Daten erhebt und die­se Daten danach ver­ar­bei­tet.

Die Wirt­schafts­aka­de­mie klag­te dar­auf­hin beim Ver­wal­tungs­ge­richt Schles­wig gegen die­sen Bescheid und mach­te gel­tend, dass ihr die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch Face­book nicht zuge­rech­net wer­den kön­ne und sie Face­book auch nicht mit einer von ihr kon­trol­lier­ten oder beein­fluss­ba­ren Daten­ver­ar­bei­tung beauf­tragt habe. Dar­aus lei­te­te die Wirt­schafts­aka­de­mie ab, dass das Unab­hän­gi­ge Lan­des­zen­trum direkt gegen Face­book und nicht gegen sie hät­te vor­ge­hen müs­sen.

Sowohl das Ver­wal­tungs­ge­richt wie auch das Ober­ver­wal­tungs­ge­richt Schles­wig-Hol­stein wie­sen die Kla­ge ab. Auf die Revi­si­on der Wirt­schafts­aka­de­mie rich­te­te sodann das Bun­des­ver­wal­tungs­ge­richt ein Vor­ab­ent­schei­dungs­er­su­chen nach Art. 267 AEUV an den Gerichts­hof der Euro­päi­schen Uni­on zur Aus­le­gung der EU-Daten­schutz-Richt­li­nie 95/​46/​EG.

Im Wege eines sol­chen Vor­ab­ent­schei­dungs­er­su­chens kön­nen die Gerich­te der EU-Mit­glied­staa­ten in einem bei ihnen anhän­gi­gen Rechts­streit dem Gerichts­hof der Euro­päi­schen Uni­on Fra­gen nach der Aus­le­gung des Uni­ons­rechts oder nach der Gül­tig­keit einer Hand­lung der Euro­päi­schen Uni­on vor­le­gen. Der Uni­ons­ge­richts­hof ent­schei­det dabei nur über die vor­ge­leg­te Rechts­fra­ge, nicht über den natio­na­len Rechts­streit. Es ist und bleibt viel­mehr Sache des natio­na­len Gerichts, über die Rechts­sa­che im Ein­klang mit der Ent­schei­dung des Uni­ons­ge­richts­hofs zu ent­schei­den. Die­se Ent­schei­dung des Gerichts­hofs der Euro­päi­schen Uni­on bin­det in glei­cher Wei­se auch ande­re natio­na­le Gerich­te, die mit einem ähn­li­chen Pro­blem befasst wer­den.

Gemein­sa­me Ver­ant­wort­lich­keit für Face­book-Fan­pages[↑]

In sei­nem jetzt ver­kün­de­ten Urteil stellt der Uni­ons­ge­richts­hof zunächst fest, dass in der vor­lie­gen­den Rechts­sa­che nicht in Zwei­fel gezo­gen wird, dass die ame­ri­ka­ni­sche Gesell­schaft Face­book und, was die Uni­on betrifft, deren iri­sche Toch­ter­ge­sell­schaft Face­book Ire­land als "für die Ver­ar­bei­tung" der per­so­nen­be­zo­ge­nen Daten der Face­book-Nut­zer und der Per­so­nen, die die auf Face­book unter­hal­te­nen Fan­pages besucht haben, "Ver­ant­wort­li­che" anzu­se­hen sind. Denn die­se Gesell­schaf­ten ent­schei­den in ers­ter Linie über die Zwe­cke und Mit­tel der Ver­ar­bei­tung die­ser Daten.

Sodann befin­det der Uni­ons­ge­richts­hof, dass ein Betrei­ber wie die Wirt­schafts­aka­de­mie als in der Uni­on gemein­sam mit Face­book Ire­land für die frag­li­che Daten­ver­ar­bei­tung ver­ant­wort­lich anzu­se­hen ist.

Ein sol­cher Betrei­ber ist näm­lich durch die von ihm vor­ge­nom­me­ne Para­me­trie­rung (u. a. ent­spre­chend sei­nem Ziel­pu­bli­kum sowie den Zie­len der Steue­rung oder För­de­rung sei­ner Tätig­kei­ten) an der Ent­schei­dung über die Zwe­cke und Mit­tel der Ver­ar­bei­tung der per­so­nen­be­zo­ge­nen Daten der Besu­cher sei­ner Fan­page betei­ligt. Der Uni­ons­ge­richts­hof weist inso­weit dar­auf hin, dass der Fan­page-Betrei­ber ins­be­son­de­re demo­gra­fi­sche Daten über sei­ne Ziel­grup­pe – und damit die Ver­ar­bei­tung die­ser Daten – ver­lan­gen kann (u. a. Ten­den­zen in den Berei­chen Alter, Geschlecht, Bezie­hungs­sta­tus und beruf­li­che Situa­ti­on), Infor­ma­tio­nen über den Lebens­stil und die Inter­es­sen sei­ner Ziel­grup­pe (ein­schließ­lich Infor­ma­tio­nen über die Käu­fe und das Online-Kauf­ver­hal­ten der Besu­cher sei­ner Sei­te sowie über die Kate­go­ri­en von Waren oder Dienst­leis­tun­gen, die sie am meis­ten inter­es­sie­ren) und geo­gra­fi­sche Daten, die ihn dar­über infor­mie­ren, wo spe­zi­el­le Wer­be­ak­tio­nen durch­zu­füh­ren oder Ver­an­stal­tun­gen zu orga­ni­sie­ren sind und ihm ganz all­ge­mein ermög­li­chen, sein Infor­ma­ti­ons­an­ge­bot so ziel­ge­rich­tet wie mög­lich zu gestal­ten.

Nach Ansicht des Gerichts­hofs der Euro­päi­schen Uni­on kann der Umstand, dass ein Betrei­ber einer Fan­page die von Face­book ein­ge­rich­te­te Platt­form nutzt, um die dazu­ge­hö­ri­gen Dienst­leis­tun­gen in Anspruch zu neh­men, die­sen nicht von der Beach­tung sei­ner Ver­pflich­tun­gen im Bereich des Schut­zes per­so­nen­be­zo­ge­ner Daten befrei­en.

Der Uni­ons­ge­richts­hof betont, dass die Aner­ken­nung einer gemein­sa­men Ver­ant­wort­lich­keit des Betrei­bers des sozia­len Netz­werks und des Betrei­bers einer bei die­sem Netz­werk unter­hal­te­nen Fan­page im Zusam­men­hang mit der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten der Besu­cher die­ser Fan­page dazu bei­trägt, ent­spre­chend den Anfor­de­run­gen der Richt­li­nie 95/​46 einen umfas­sen­de­ren Schutz der Rech­te sicher­zu­stel­len, über die die Per­so­nen ver­fü­gen, die eine Fan­page besu­chen.

Zur Beant­wor­tung der auf Art. 2 Buchst. d, Art. 17 Abs. 2, Art. 24 und Art. 28 Abs. 3 zwei­ter Gedan­ken­strich der EU-Daten­schutz-Richt­li­nie 95/​46/​EG zie­len­den Vor­la­ge­fra­gen des Bun­des­ver­wal­tungs­ge­richts weist der Gerichts­hof der Euro­päi­schen Uni­on zunächst dar­auf hin, dass die Daten­schutz-Richt­li­nie 95/​46/​EG, wie sich aus ihrem Art. 1 Abs. 1 und ihrem zehn­ten Erwä­gungs­grund ergibt, dar­auf abzielt, ein hohes Niveau des Schut­zes der Grund­frei­hei­ten und Grund­rech­te natür­li­cher Per­so­nen, ins­be­son­de­re ihrer Pri­vat­sphä­re, bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten zu gewähr­leis­ten 3.

Die­sem Ziel ent­spre­chend ist der Begriff des "für die Ver­ar­bei­tung Ver­ant­wort­li­chen" in Art. 2 Buchst. d der Richt­li­nie weit defi­niert als natür­li­che oder juris­ti­sche Per­son, Behör­de, Ein­rich­tung oder jede ande­re Stel­le, die allein oder gemein­sam mit ande­ren über die Zwe­cke und Mit­tel der Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten ent­schei­det.

Wie der Uni­ons­ge­richts­hof bereits ent­schie­den hat, besteht das Ziel die­ser Bestim­mung näm­lich dar­in, durch eine wei­te Defi­ni­ti­on des Begriffs des "Ver­ant­wort­li­chen" einen wirk­sa­men und umfas­sen­den Schutz der betrof­fe­nen Per­so­nen zu gewähr­leis­ten 4.

Zudem ver­weist der Begriff des "für die Ver­ar­bei­tung Ver­ant­wort­li­chen", da er sich, wie Art. 2 Buchst. d der Richt­li­nie 95/​46 aus­drück­lich vor­sieht, auf die Stel­le bezieht, die "allein oder gemein­sam mit ande­ren" über die Zwe­cke und Mit­tel der Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten ent­schei­det, nicht zwin­gend auf eine ein­zi­ge Stel­le und kann meh­re­re an die­ser Ver­ar­bei­tung betei­lig­te Akteu­re betref­fen, wobei dann jeder von ihnen den Daten­schutz­vor­schrif­ten unter­liegt.

Es ist fest­zu­stel­len, dass im vor­lie­gen­den Fall in ers­ter Linie die Face­book Inc. und, was die Uni­on betrifft, Face­book Ire­land über die Zwe­cke und Mit­tel der Ver­ar­bei­tung der per­so­nen­be­zo­ge­nen Daten der Face­book-Nut­zer und der Per­so­nen ent­schei­den, die die auf Face­book unter­hal­te­nen Fan­pages besucht haben, und somit unter den Begriff des "für die Ver­ar­bei­tung Ver­ant­wort­li­chen" im Sin­ne von Art. 2 Buchst. d der Richt­li­nie 95/​46 fal­len, was in der vor­lie­gen­den Rechts­sa­che nicht in Zwei­fel gezo­gen wird.

Zur Beant­wor­tung der vor­ge­leg­ten Fra­gen ist jedoch zu prü­fen, ob und inwie­weit der Betrei­ber einer auf Face­book unter­hal­te­nen Fan­page wie die Wirt­schafts­aka­de­mie im Rah­men die­ser Fan­page gemein­sam mit Face­book Ire­land und der Face­book Inc. einen Bei­trag zur Ent­schei­dung über die Zwe­cke und Mit­tel der Ver­ar­bei­tung der per­so­nen­be­zo­ge­nen Daten der Besu­cher die­ser Fan­page leis­tet und somit eben­falls als "für die Ver­ar­bei­tung Ver­ant­wort­li­cher" im Sin­ne von Art. 2 Buchst. d der Richt­li­nie 95/​46 ange­se­hen wer­den kann.

Inso­weit schließt offen­bar jede Per­son, die eine Fan­page auf Face­book ein­rich­ten möch­te, mit Face­book Ire­land einen spe­zi­el­len Ver­trag über die Eröff­nung einer sol­chen Sei­te und unter­zeich­net dazu die Nut­zungs­be­din­gun­gen die­ser Sei­te ein­schließ­lich der ent­spre­chen­den Coo­kie-Richt­li­nie, was zu prü­fen Sache des natio­na­len Gerichts ist.

Wie aus den dem Uni­ons­ge­richts­hof vor­ge­leg­ten Akten her­vor­geht, erfolgt die im Aus­gangs­ver­fah­ren in Rede ste­hen­de Daten­ver­ar­bei­tung im Wesent­li­chen in der Wei­se, dass Face­book auf dem Com­pu­ter oder jedem ande­ren Gerät der Per­so­nen, die die Fan­page besucht haben, Coo­kies plat­ziert, die die Spei­che­rung von Infor­ma­tio­nen in den Web-Brow­sern bezwe­cken und für die Dau­er von zwei Jah­ren wirk­sam blei­ben, sofern sie nicht gelöscht wer­den. Außer­dem geht aus den Akten her­vor, dass in der Pra­xis Face­book die in den Coo­kies gespei­cher­ten Infor­ma­tio­nen emp­fängt, auf­zeich­net und ver­ar­bei­tet, ins­be­son­de­re wenn eine Per­son die "Face­book-Diens­te, Diens­te, die von ande­ren Mit­glie­dern der Face­book-Unter­neh­mens­grup­pe bereit­ge­stellt wer­den, und Diens­te, die von ande­ren Unter­neh­men bereit­ge­stellt wer­den, die die Face­book-Diens­te nut­zen", besucht. Außer­dem kön­nen ande­re Stel­len wie Face­book-Part­ner oder sogar Drit­te "auf den Face­book-Diens­ten Coo­kies ver­wen­den, um [die­sem sozia­len Netz­werk direkt] bzw. den auf Face­book wer­ben­den Unter­neh­men Dienst­leis­tun­gen bereit­zu­stel­len".

Die­se Ver­ar­bei­tun­gen per­so­nen­be­zo­ge­ner Daten sol­len u. a. zum einen Face­book ermög­li­chen, sein Sys­tem der Wer­bung, die es über sein Netz­werk ver­brei­tet, zu ver­bes­sern. Zum ande­ren sol­len sie dem Betrei­ber der Fan­page ermög­li­chen, zum Zweck der Steue­rung der Ver­mark­tung sei­ner Tätig­keit Sta­tis­ti­ken, die Face­book auf­grund der Besu­che die­ser Sei­te erstellt, zu erhal­ten, die es ihm bei­spiels­wei­se ermög­li­chen, Kennt­nis von den Pro­fi­len der Besu­cher zu erlan­gen, die sei­ne Fan­page schät­zen oder die sei­ne Anwen­dun­gen nut­zen, um ihnen rele­van­te­re Inhal­te bereit­stel­len und Funk­tio­nen ent­wi­ckeln zu kön­nen, die für sie von grö­ße­rem Inter­es­se sein könn­ten.

Auch wenn der blo­ße Umstand der Nut­zung eines sozia­len Netz­werks wie Face­book für sich genom­men einen Face­book-Nut­zer nicht für die von die­sem Netz­werk vor­ge­nom­me­ne Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten mit­ver­ant­wort­lich macht, ist indes dar­auf hin­zu­wei­sen, dass der Betrei­ber einer auf Face­book unter­hal­te­nen Fan­page mit der Ein­rich­tung einer sol­chen Sei­te Face­book die Mög­lich­keit gibt, auf dem Com­pu­ter oder jedem ande­ren Gerät der Per­son, die sei­ne Fan­page besucht hat, Coo­kies zu plat­zie­ren, unab­hän­gig davon, ob die­se Per­son über ein Face­book-Kon­to ver­fügt.

In die­sem Rah­men geht aus den dem Uni­ons­ge­richts­hof unter­brei­te­ten Anga­ben her­vor, dass die Ein­rich­tung einer Fan­page auf Face­book von Sei­ten ihres Betrei­bers eine Para­me­trie­rung u. a. ent­spre­chend sei­nem Ziel­pu­bli­kum sowie den Zie­len der Steue­rung oder För­de­rung sei­ner Tätig­kei­ten impli­ziert, die sich auf die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten zum Zweck der Erstel­lung der auf­grund der Besu­che der Fan­page erstell­ten Sta­tis­ti­ken aus­wirkt. Mit Hil­fe von durch Face­book zur Ver­fü­gung gestell­ten Fil­tern kann der Betrei­ber die Kri­te­ri­en fest­le­gen, nach denen die­se Sta­tis­ti­ken erstellt wer­den sol­len, und sogar die Kate­go­ri­en von Per­so­nen bezeich­nen, deren per­so­nen­be­zo­ge­ne Daten von Face­book aus­ge­wer­tet wer­den. Folg­lich trägt der Betrei­ber einer auf Face­book unter­hal­te­nen Fan­page zur Ver­ar­bei­tung der per­so­nen­be­zo­ge­nen Daten der Besu­cher sei­ner Sei­te bei.

Ins­be­son­de­re kann der Fan­page-Betrei­ber demo­gra­fi­sche Daten über sei­ne Ziel­grup­pe – und damit die Ver­ar­bei­tung die­ser Daten – ver­lan­gen, so u. a. Ten­den­zen in den Berei­chen Alter, Geschlecht, Bezie­hungs­sta­tus und beruf­li­che Situa­ti­on, Infor­ma­tio­nen über den Lebens­stil und die Inter­es­sen sei­ner Ziel­grup­pe und Infor­ma­tio­nen über die Käu­fe und das Online-Kauf­ver­hal­ten der Besu­cher sei­ner Sei­te, die Kate­go­ri­en von Waren oder Dienst­leis­tun­gen, die sie am meis­ten inter­es­sie­ren, sowie geo­gra­fi­sche Daten, die ihn dar­über infor­mie­ren, wo spe­zi­el­le Wer­be­ak­tio­nen durch­zu­füh­ren oder Ver­an­stal­tun­gen zu orga­ni­sie­ren sind, und ihm ganz all­ge­mein ermög­li­chen, sein Infor­ma­ti­ons­an­ge­bot so ziel­ge­rich­tet wie mög­lich zu gestal­ten.

Zwar wer­den die von Face­book erstell­ten Besu­cher­sta­tis­ti­ken aus­schließ­lich in anony­mi­sier­ter Form an den Betrei­ber der Fan­page über­mit­telt, jedoch beruht die Erstel­lung die­ser Sta­tis­ti­ken auf der vor­her­ge­hen­den Erhe­bung – durch die von Face­book auf dem Com­pu­ter oder jedem ande­ren Gerät der Per­so­nen, die die­se Sei­te besucht haben, gesetz­ten Coo­kies – und der Ver­ar­bei­tung der per­so­nen­be­zo­ge­nen Daten die­ser Besu­cher für die­se sta­tis­ti­schen Zwe­cke. Die Richt­li­nie 95/​46 ver­langt jeden­falls nicht, dass bei einer gemein­sa­men Ver­ant­wort­lich­keit meh­re­rer Betrei­ber für die­sel­be Ver­ar­bei­tung jeder Zugang zu den betref­fen­den per­so­nen­be­zo­ge­nen Daten hat.

Unter die­sen Umstän­den ist fest­zu­stel­len, dass der Betrei­ber einer auf Face­book unter­hal­te­nen Fan­page wie die Wirt­schafts­aka­de­mie durch die von ihm vor­ge­nom­me­ne Para­me­trie­rung u. a. ent­spre­chend sei­nem Ziel­pu­bli­kum sowie den Zie­len der Steue­rung oder För­de­rung sei­ner Tätig­kei­ten an der Ent­schei­dung über die Zwe­cke und Mit­tel der Ver­ar­bei­tung der per­so­nen­be­zo­ge­nen Daten der Besu­cher sei­ner Fan­page betei­ligt ist. Daher ist der Betrei­ber im vor­lie­gen­den Fall als in der Uni­on gemein­sam mit Face­book Ire­land für die­se Ver­ar­bei­tung Ver­ant­wort­li­cher im Sin­ne von Art. 2 Buchst. d der Richt­li­nie 95/​46 ein­zu­stu­fen.

Der Umstand, dass ein Betrei­ber einer Fan­page die von Face­book ein­ge­rich­te­te Platt­form nutzt, um die dazu­ge­hö­ri­gen Dienst­leis­tun­gen in Anspruch zu neh­men, kann die­sen näm­lich nicht von der Beach­tung sei­ner Ver­pflich­tun­gen im Bereich des Schut­zes per­so­nen­be­zo­ge­ner Daten befrei­en.

Im Übri­gen ist her­vor­zu­he­ben, dass die bei Face­book unter­hal­te­nen Fan­pages auch von Per­so­nen besucht wer­den kön­nen, die kei­ne Face­book-Nut­zer sind und somit nicht über ein Benut­zer­kon­to bei die­sem sozia­len Netz­werk ver­fü­gen. In die­sem Fall erscheint die Ver­ant­wort­lich­keit des Betrei­bers der Fan­page hin­sicht­lich der Ver­ar­bei­tung der per­so­nen­be­zo­ge­nen Daten die­ser Per­so­nen noch höher, da das blo­ße Auf­ru­fen der Fan­page durch Besu­cher auto­ma­tisch die Ver­ar­bei­tung ihrer per­so­nen­be­zo­ge­nen Daten aus­löst.

Unter die­sen Umstän­den trägt die Aner­ken­nung einer gemein­sa­men Ver­ant­wort­lich­keit des Betrei­bers des sozia­len Netz­werks und des Betrei­bers einer bei die­sem Netz­werk unter­hal­te­nen Fan­page im Zusam­men­hang mit der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten der Besu­cher die­ser Fan­page dazu bei, ent­spre­chend den Anfor­de­run­gen der Richt­li­nie 95/​46 einen umfas­sen­de­ren Schutz der Rech­te sicher­zu­stel­len, über die die Per­so­nen ver­fü­gen, die eine Fan­page besu­chen.

Klar­zu­stel­len ist, dass das Bestehen einer gemein­sa­men Ver­ant­wort­lich­keit, wie der Gene­ral­an­walt in den Nrn. 75 und 76 sei­ner Schluss­an­trä­ge aus­ge­führt hat, aber nicht zwangs­läu­fig eine gleich­wer­ti­ge Ver­ant­wort­lich­keit der ver­schie­de­nen Akteu­re zur Fol­ge hat, die von einer Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten betrof­fen sind. Viel­mehr kön­nen die­se Akteu­re in die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten in ver­schie­de­nen Pha­sen und in unter­schied­li­chem Aus­maß in der Wei­se ein­be­zo­gen sein, dass der Grad der Ver­ant­wort­lich­keit eines jeden von ihnen unter Berück­sich­ti­gung aller maß­geb­li­chen Umstän­de des Ein­zel­falls zu beur­tei­len ist.

Nach alle­dem ist auf die ers­te und die zwei­te Fra­ge zu ant­wor­ten, dass Art. 2 Buchst. d der Richt­li­nie 95/​46 dahin aus­zu­le­gen ist, dass der Begriff des "für die Ver­ar­bei­tung Ver­ant­wort­li­chen" im Sin­ne die­ser Bestim­mung den Betrei­ber einer bei einem sozia­len Netz­werk unter­hal­te­nen Fan­page umfasst.

(Ehe­ma­li­ge) Zustän­dig­keit der deut­schen Daten­schutz­be­hör­den[↑]

Des Wei­te­ren stellt der Gerichts­hof der Euro­päi­schen Uni­on fest, dass das Unab­hän­gi­ge Lan­des­zen­trum zustän­dig war, zur Gewähr­leis­tung der Ein­hal­tung der Vor­schrif­ten zum Schutz per­so­nen­be­zo­ge­ner Daten im deut­schen Hoheits­ge­biet von sämt­li­chen Befug­nis­sen, über die es nach den deut­schen Bestim­mun­gen zur Umset­zung der EU-Daten­schutz-Richt­li­nie 95/​46/​EG ver­fügt, nicht nur gegen­über der Wirt­schafts­aka­de­mie, son­dern auch gegen­über Face­book Ger­ma­ny Gebrauch zu machen.

Wenn ein außer­halb der Uni­on ansäs­si­ges Unter­neh­men (wie die ame­ri­ka­ni­sche Gesell­schaft Face­book) meh­re­re Nie­der­las­sun­gen in ver­schie­de­nen Mit­glied­staa­ten unter­hält, ist die Kon­troll­stel­le eines Mit­glied­staats näm­lich auch dann zur Aus­übung der ihr durch Art. 28 Abs. 3 der EU-Daten­schutz-Richt­li­nie 95/​463/​EG über­tra­ge­nen Befug­nis­se gegen­über einer im Hoheits­ge­biet die­ses Mit­glied­staats gele­ge­nen Nie­der­las­sung die­ses Unter­neh­mens befugt, wenn nach der kon­zern­in­ter­nen Auf­ga­ben­ver­tei­lung zum einen die­se Nie­der­las­sung (hier Face­book Ger­ma­ny) allein für den Ver­kauf von Wer­be­flä­chen und sons­ti­ge Mar­ke­ting­tä­tig­kei­ten im Hoheits­ge­biet des betref­fen­den Mit­glied­staats zustän­dig ist, und zum ande­ren die aus­schließ­li­che Ver­ant­wor­tung für die Erhe­bung und Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten für das gesam­te Gebiet der Euro­päi­schen Uni­on einer in einem ande­ren Mit­glied­staat gele­ge­nen Nie­der­las­sung (hier Face­book Ire­land) obliegt.

Wei­ter führt der Gerichts­hof der Euro­päi­schen Uni­on aus, dass dann, wenn die Kon­troll­stel­le eines Mit­glied­staats (hier das Unab­hän­gi­ge Lan­des­zen­trum in Deutsch­land) beab­sich­tigt, gegen­über einer im Hoheits­ge­biet die­ses Mit­glied­staats ansäs­si­gen Stel­le (hier die Wirt­schafts­aka­de­mie) wegen Ver­stö­ßen gegen die Vor­schrif­ten über den Schutz per­so­nen­be­zo­ge­ner Daten, die von einem Drit­ten began­gen wur­den, der für die Ver­ar­bei­tung die­ser Daten ver­ant­wort­lich ist und sei­nen Sitz in einem ande­ren Mit­glied­staat hat (hier Face­book Ire­land), die Ein­wir­kungs­be­fug­nis­se nach der Richt­li­nie 95/​464 aus­zu­üben, die­se Kon­troll­stel­le zustän­dig ist, die Recht­mä­ßig­keit einer sol­chen Daten­ver­ar­bei­tung unab­hän­gig von der Kon­troll­stel­le des letzt­ge­nann­ten Mit­glied­staats (Irland) zu beur­tei­len und ihre Ein­wir­kungs­be­fug­nis­se gegen­über der in ihrem Hoheits­ge­biet ansäs­si­gen Stel­le aus­zu­üben, ohne zuvor die Kon­troll­stel­le des ande­ren Mit­glied­staats um ein Ein­grei­fen zu ersu­chen.

Gerichts­hof der Euro­päi­schen Uni­on, Urteil vom 5. Juni 2018 – C ‑210/​16

  1. Richt­li­nie 95/​46/​EG des Euro­päi­schen Par­la­ments und des Rates vom 24.10.1995 zum Schutz natür­li­cher Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten und zum frei­en Daten­ver­kehr, ABl.1995, L 281, S. 31[]
  2. Ver­ord­nung (EU) 2016/​679 des Euro­päi­schen Par­la­ments und des Rates vom 27.04.2016 zum Schutz natür­li­cher Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten, zum frei­en Daten­ver­kehr und zur Auf­he­bung der Richt­li­nie 95/​46/​EG, ABl.2016, L 119, S. 1[]
  3. EuGH, Urteil vom 11.12 2014 – Ryneš, C‑212/​13, EU:C:2014:2428, Rn. 27 und die dort ange­führ­te Recht­spre­chung[]
  4. EuGH, Urteil vom 13.05.2014, Goog­le Spain und Goog­le, C‑131/​12, EU:C:2014:317, Rn. 34[]