Es war einmal: Die Unternehmensseite auf Facebook

Der Betreiber ein­er Face­book-Fan­page ist gemein­sam mit Face­book für die Ver­ar­beitung der per­so­n­en­be­zo­ge­nen Dat­en der Besuch­er sein­er Seite ver­ant­wortlich.

Es war einmal: Die Unternehmensseite auf Facebook

Art. 2 Buchst. d der Richtlin­ie 95/46/EG des Europäis­chen Par­la­ments und des Rates vom 24.10.1995 zum Schutz natür­lich­er Per­so­n­en bei der Ver­ar­beitung per­so­n­en­be­zo­gen­er Dat­en und zum freien Daten­verkehr ist dahin auszule­gen, dass der Begriff des “für die Ver­ar­beitung Ver­ant­wortlichen” im Sinne dieser Bes­tim­mung den Betreiber ein­er bei einem sozialen Net­zw­erk unter­hal­te­nen Fan­page umfasst.

Die Daten­schutzbe­hörde des Mit­glied­staats, in dem dieser Betreiber seinen Sitz hat, kon­nte auch — jeden­falls unter der Gel­tung der am 25.05.2018 außer Kraft getrete­nen EU-Daten­schutz-Richtlin­ie 95/46/EG [1] — sowohl gegen ihn als auch gegen die in diesem Mit­glied­staat niederge­lassene Tochterge­sellschaft von Face­book vorge­hen.

Die Art. 4 und 28 der Richtlin­ie 95/46 sind dahin auszule­gen, dass dann, wenn ein außer­halb der Europäis­chen Union ansäs­siges Unternehmen mehrere Nieder­las­sun­gen in ver­schiede­nen Mit­glied­staat­en unter­hält, die Kon­troll­stelle eines Mit­glied­staats zur Ausübung der ihr durch Art. 28 Abs. 3 dieser Richtlin­ie über­tra­ge­nen Befug­nisse gegenüber ein­er im Hoheits­ge­bi­et dieses Mit­glied­staats gele­ge­nen Nieder­las­sung dieses Unternehmens auch dann befugt ist, wenn nach der konz­ern­in­ter­nen Auf­gaben­verteilung zum einen diese Nieder­las­sung allein für den Verkauf von Wer­be­flächen und son­stige Mar­ket­ingtätigkeit­en im Hoheits­ge­bi­et dieses Mit­glied­staats zuständig ist und zum anderen die auss­chließliche Ver­ant­wor­tung für die Erhe­bung und Ver­ar­beitung per­so­n­en­be­zo­gen­er Dat­en für das gesamte Gebi­et der Europäis­chen Union ein­er in einem anderen Mit­glied­staat gele­ge­nen Nieder­las­sung obliegt.

Art. 4 Abs. 1 Buchst. a und Art. 28 Abs. 3 und 6 der Richtlin­ie 95/46 sind dahin auszule­gen, dass die Kon­troll­stelle eines Mit­glied­staats, wenn sie beab­sichtigt, gegenüber ein­er im Hoheits­ge­bi­et dieses Mit­glied­staats ansäs­si­gen Stelle wegen Ver­stößen gegen die Vorschriften über den Schutz per­so­n­en­be­zo­gen­er Dat­en, die von einem Drit­ten began­gen wur­den, der für die Ver­ar­beitung dieser Dat­en ver­ant­wortlich ist und seinen Sitz in einem anderen Mit­glied­staat hat, die Ein­wirkungs­befug­nisse nach Art. 28 Abs. 3 dieser Richtlin­ie auszuüben, zuständig ist, die Recht­mäßigkeit ein­er solchen Daten­ver­ar­beitung unab­hängig von der Kon­troll­stelle des let­zt­ge­nan­nten Mit­glied­staats zu beurteilen und ihre Ein­wirkungs­befug­nisse gegenüber der in ihrem Hoheits­ge­bi­et ansäs­si­gen Stelle auszuüben, ohne zuvor die Kon­troll­stelle des anderen Mit­glied­staats um ein Ein­greifen zu ersuchen.

Diese Entschei­dung des Gericht­shofs der Europäis­chen Union erg­ing zwar nur zur (alten) EU-Daten­schutz-Richtlin­ie, die mit Wirkung vom 25.05.2018 durch die EU-Daten­schutz-Grund­verord­nung [2] (DSGVO) aufge­hoben wurde, bleibt jedoch hin­sichtlich ihrer Aus­sage zur (gemein­samen) Ver­ant­wortlichkeit der Face­book-Fan­page-Betreiber für (poten­tielle) Daten­schutzver­stöße auf Face­book auch unter der DSGVO rel­e­vant, da die hier maßge­blichen Vorschriften der Daten­schutzrichtinie nahezu wort­gle­ich auch in der DSGVO enthal­ten sind. Dage­gen betr­e­f­fen die weit­eren vom Union­s­gericht­shof entsch­iede­nen Fra­gen zur Zuständigkeit (auch) der deutschen Daten­schutzbe­hör­den lediglich das bis zum 25.05.2018 gel­tende Recht, da die DSGVO hier­für neue Regelun­gen enthält.

Das schleswig-holsteinische Ausgangsverfahren[↑]

Anlass für diese Entschei­dung des Gericht­shofs der Europäis­chen Union war ein Rechtsstre­it zwis­chen dem Unab­hängi­gen Lan­deszen­trum für Daten­schutz Schleswig-Hol­stein und der von den Indus­trie- und Han­del­skam­mern des Lan­des Schleswig-Hol­stein betriebe­nen Wirtschaft­sakademie Schleswig-Hol­stein GmbH. Die Wirtschaft­sakademie Schleswig-Hol­stein ist ein auf den Bere­ich Bil­dung spezial­isiertes Unternehmen. Sie bietet u. a. über eine auf Face­book unter der Adresse www.facebook.com/wirtschaftsakademie unter­hal­tene Fan­page Bil­dungs­di­en­stleis­tun­gen an. Der­ar­tige Fan­pages sind Benutzerkon­ten, die bei Face­book von Pri­vat­per­so­n­en oder Unternehmen ein­gerichtet wer­den kön­nen. Der Fan­page-Anbi­eter kann nach ein­er Reg­istrierung bei Face­book die von diesem unter­hal­tene Plat­tform dazu benutzen, sich den Nutzern dieses sozialen Net­zw­erks sowie Per­so­n­en, die die Fan­page besuchen, zu präsen­tieren und Äußerun­gen aller Art in den Medi­en- und Mei­n­ungs­markt einzubrin­gen. Die Betreiber von Fan­pages wie die Wirtschaft­sakademie kön­nen mit Hil­fe der Funk­tion Face­book Insight, die ihnen Face­book als nicht abd­ing­baren Teil des Benutzungsver­hält­niss­es kosten­frei zur Ver­fü­gung stellt, anonymisierte sta­tis­tis­che Dat­en betr­e­f­fend die Nutzer dieser Seit­en erhal­ten. Diese Dat­en wer­den mit Hil­fe soge­nan­nter Cook­ies gesam­melt, die jew­eils einen ein­deuti­gen Benutzer­code enthal­ten, der für zwei Jahre aktiv ist und den Face­book auf der Fest­plat­te des Com­put­ers oder einem anderen Daten­träger der Besuch­er der Fan­page spe­ichert. Der Benutzer­code, der mit den Anmel­dungs­dat­en solch­er Nutzer, die bei Face­book reg­istri­ert sind, verknüpft wer­den kann, wird beim Aufrufen der Fan­pages erhoben und ver­ar­beit­et.

Mit Bescheid vom 03.11.2011 ord­nete das Unab­hängige Lan­deszen­trum für Daten­schutz Schleswig-Hol­stein – als nach der Richtlin­ie 95/46 für die Überwachung der Anwen­dung der von Deutsch­land zur Umset­zung dieser Richtlin­ie erlasse­nen Vorschriften im Gebi­et des Bun­des­lan­des Schleswig-Hol­stein zuständi­ge Kon­troll­stelle – gegenüber der Wirtschaft­sakademie an, ihre Fan­page zu deak­tivieren. Nach Auf­fas­sung des Unab­hängi­gen Lan­deszen­trums für Daten­schutz wiesen näm­lich wed­er die Wirtschaft­sakademie noch Face­book die Besuch­er der Fan­page darauf hin, dass Face­book mit­tels Cook­ies sie betr­e­f­fende per­so­n­en­be­zo­gene Dat­en erhebt und diese Dat­en danach ver­ar­beit­et.

Die Wirtschaft­sakademie klagte daraufhin beim Ver­wal­tungs­gericht Schleswig gegen diesen Bescheid und machte gel­tend, dass ihr die Ver­ar­beitung per­so­n­en­be­zo­gen­er Dat­en durch Face­book nicht zugerech­net wer­den könne und sie Face­book auch nicht mit ein­er von ihr kon­trol­lierten oder bee­in­fluss­baren Daten­ver­ar­beitung beauf­tragt habe. Daraus leit­ete die Wirtschaft­sakademie ab, dass das Unab­hängige Lan­deszen­trum direkt gegen Face­book und nicht gegen sie hätte vorge­hen müssen.

Sowohl das Ver­wal­tungs­gericht wie auch das Oberver­wal­tungs­gericht Schleswig-Hol­stein wiesen die Klage ab. Auf die Revi­sion der Wirtschaft­sakademie richtete sodann das Bun­desver­wal­tungs­gericht ein Vor­abentschei­dungser­suchen nach Art. 267 AEUV an den Gericht­shof der Europäis­chen Union zur Ausle­gung der EU-Daten­schutz-Richtlin­ie 95/46/EG.

Im Wege eines solchen Vor­abentschei­dungser­suchens kön­nen die Gerichte der EU-Mit­glied­staat­en in einem bei ihnen anhängi­gen Rechtsstre­it dem Gericht­shof der Europäis­chen Union Fra­gen nach der Ausle­gung des Union­srechts oder nach der Gültigkeit ein­er Hand­lung der Europäis­chen Union vor­legen. Der Union­s­gericht­shof entschei­det dabei nur über die vorgelegte Rechts­frage, nicht über den nationalen Rechtsstre­it. Es ist und bleibt vielmehr Sache des nationalen Gerichts, über die Rechtssache im Ein­klang mit der Entschei­dung des Union­s­gericht­shofs zu entschei­den. Diese Entschei­dung des Gericht­shofs der Europäis­chen Union bindet in gle­ich­er Weise auch andere nationale Gerichte, die mit einem ähn­lichen Prob­lem befasst wer­den.

Gemeinsame Verantwortlichkeit für Facebook-Fanpages[↑]

In seinem jet­zt verkün­de­ten Urteil stellt der Union­s­gericht­shof zunächst fest, dass in der vor­liegen­den Rechtssache nicht in Zweifel gezo­gen wird, dass die amerikanis­che Gesellschaft Face­book und, was die Union bet­rifft, deren irische Tochterge­sellschaft Face­book Ire­land als “für die Ver­ar­beitung” der per­so­n­en­be­zo­ge­nen Dat­en der Face­book-Nutzer und der Per­so­n­en, die die auf Face­book unter­hal­te­nen Fan­pages besucht haben, “Ver­ant­wortliche” anzuse­hen sind. Denn diese Gesellschaften entschei­den in erster Lin­ie über die Zwecke und Mit­tel der Ver­ar­beitung dieser Dat­en.

Sodann befind­et der Union­s­gericht­shof, dass ein Betreiber wie die Wirtschaft­sakademie als in der Union gemein­sam mit Face­book Ire­land für die fragliche Daten­ver­ar­beitung ver­ant­wortlich anzuse­hen ist.

Ein solch­er Betreiber ist näm­lich durch die von ihm vorgenommene Para­me­trierung (u. a. entsprechend seinem Zielpub­likum sowie den Zie­len der Steuerung oder Förderung sein­er Tätigkeit­en) an der Entschei­dung über die Zwecke und Mit­tel der Ver­ar­beitung der per­so­n­en­be­zo­ge­nen Dat­en der Besuch­er sein­er Fan­page beteiligt. Der Union­s­gericht­shof weist insoweit darauf hin, dass der Fan­page-Betreiber ins­beson­dere demografis­che Dat­en über seine Ziel­gruppe – und damit die Ver­ar­beitung dieser Dat­en – ver­lan­gen kann (u. a. Ten­den­zen in den Bere­ichen Alter, Geschlecht, Beziehungssta­tus und beru­fliche Sit­u­a­tion), Infor­ma­tio­nen über den Lebensstil und die Inter­essen sein­er Ziel­gruppe (ein­schließlich Infor­ma­tio­nen über die Käufe und das Online-Kaufver­hal­ten der Besuch­er sein­er Seite sowie über die Kat­e­gorien von Waren oder Dien­stleis­tun­gen, die sie am meis­ten inter­essieren) und geografis­che Dat­en, die ihn darüber informieren, wo spezielle Wer­beak­tio­nen durchzuführen oder Ver­anstal­tun­gen zu organ­isieren sind und ihm ganz all­ge­mein ermöglichen, sein Infor­ma­tion­sange­bot so ziel­gerichtet wie möglich zu gestal­ten.

Nach Ansicht des Gericht­shofs der Europäis­chen Union kann der Umstand, dass ein Betreiber ein­er Fan­page die von Face­book ein­gerichtete Plat­tform nutzt, um die dazuge­höri­gen Dien­stleis­tun­gen in Anspruch zu nehmen, diesen nicht von der Beach­tung sein­er Verpflich­tun­gen im Bere­ich des Schutzes per­so­n­en­be­zo­gen­er Dat­en befreien.

Der Union­s­gericht­shof betont, dass die Anerken­nung ein­er gemein­samen Ver­ant­wortlichkeit des Betreibers des sozialen Net­zw­erks und des Betreibers ein­er bei diesem Net­zw­erk unter­hal­te­nen Fan­page im Zusam­men­hang mit der Ver­ar­beitung per­so­n­en­be­zo­gen­er Dat­en der Besuch­er dieser Fan­page dazu beiträgt, entsprechend den Anforderun­gen der Richtlin­ie 95/46 einen umfassenderen Schutz der Rechte sicherzustellen, über die die Per­so­n­en ver­fü­gen, die eine Fan­page besuchen.

Zur Beant­wor­tung der auf Art. 2 Buchst. d, Art. 17 Abs. 2, Art. 24 und Art. 28 Abs. 3 zweit­er Gedanken­strich der EU-Daten­schutz-Richtlin­ie 95/46/EG zie­len­den Vor­lage­fra­gen des Bun­desver­wal­tungs­gerichts weist der Gericht­shof der Europäis­chen Union zunächst darauf hin, dass die Daten­schutz-Richtlin­ie 95/46/EG, wie sich aus ihrem Art. 1 Abs. 1 und ihrem zehn­ten Erwä­gungs­grund ergibt, darauf abzielt, ein hohes Niveau des Schutzes der Grund­frei­heit­en und Grun­drechte natür­lich­er Per­so­n­en, ins­beson­dere ihrer Pri­vat­sphäre, bei der Ver­ar­beitung per­so­n­en­be­zo­gen­er Dat­en zu gewährleis­ten [3].

Diesem Ziel entsprechend ist der Begriff des “für die Ver­ar­beitung Ver­ant­wortlichen” in Art. 2 Buchst. d der Richtlin­ie weit definiert als natür­liche oder juris­tis­che Per­son, Behörde, Ein­rich­tung oder jede andere Stelle, die allein oder gemein­sam mit anderen über die Zwecke und Mit­tel der Ver­ar­beitung von per­so­n­en­be­zo­ge­nen Dat­en entschei­det.

Wie der Union­s­gericht­shof bere­its entsch­ieden hat, beste­ht das Ziel dieser Bes­tim­mung näm­lich darin, durch eine weite Def­i­n­i­tion des Begriffs des “Ver­ant­wortlichen” einen wirk­samen und umfassenden Schutz der betrof­fe­nen Per­so­n­en zu gewährleis­ten [4].

Zudem ver­weist der Begriff des “für die Ver­ar­beitung Ver­ant­wortlichen”, da er sich, wie Art. 2 Buchst. d der Richtlin­ie 95/46 aus­drück­lich vor­sieht, auf die Stelle bezieht, die “allein oder gemein­sam mit anderen” über die Zwecke und Mit­tel der Ver­ar­beitung von per­so­n­en­be­zo­ge­nen Dat­en entschei­det, nicht zwin­gend auf eine einzige Stelle und kann mehrere an dieser Ver­ar­beitung beteiligte Akteure betr­e­f­fen, wobei dann jed­er von ihnen den Daten­schutzvorschriften unter­liegt.

Es ist festzustellen, dass im vor­liegen­den Fall in erster Lin­ie die Face­book Inc. und, was die Union bet­rifft, Face­book Ire­land über die Zwecke und Mit­tel der Ver­ar­beitung der per­so­n­en­be­zo­ge­nen Dat­en der Face­book-Nutzer und der Per­so­n­en entschei­den, die die auf Face­book unter­hal­te­nen Fan­pages besucht haben, und somit unter den Begriff des “für die Ver­ar­beitung Ver­ant­wortlichen” im Sinne von Art. 2 Buchst. d der Richtlin­ie 95/46 fall­en, was in der vor­liegen­den Rechtssache nicht in Zweifel gezo­gen wird.

Zur Beant­wor­tung der vorgelegten Fra­gen ist jedoch zu prüfen, ob und inwieweit der Betreiber ein­er auf Face­book unter­hal­te­nen Fan­page wie die Wirtschaft­sakademie im Rah­men dieser Fan­page gemein­sam mit Face­book Ire­land und der Face­book Inc. einen Beitrag zur Entschei­dung über die Zwecke und Mit­tel der Ver­ar­beitung der per­so­n­en­be­zo­ge­nen Dat­en der Besuch­er dieser Fan­page leis­tet und somit eben­falls als “für die Ver­ar­beitung Ver­ant­wortlich­er” im Sinne von Art. 2 Buchst. d der Richtlin­ie 95/46 ange­se­hen wer­den kann.

Insoweit schließt offen­bar jede Per­son, die eine Fan­page auf Face­book ein­richt­en möchte, mit Face­book Ire­land einen speziellen Ver­trag über die Eröff­nung ein­er solchen Seite und unterze­ich­net dazu die Nutzungs­be­din­gun­gen dieser Seite ein­schließlich der entsprechen­den Cook­ie-Richtlin­ie, was zu prüfen Sache des nationalen Gerichts ist.

Wie aus den dem Union­s­gericht­shof vorgelegten Akten her­vorge­ht, erfol­gt die im Aus­gangsver­fahren in Rede ste­hende Daten­ver­ar­beitung im Wesentlichen in der Weise, dass Face­book auf dem Com­put­er oder jedem anderen Gerät der Per­so­n­en, die die Fan­page besucht haben, Cook­ies platziert, die die Spe­icherung von Infor­ma­tio­nen in den Web-Browsern bezweck­en und für die Dauer von zwei Jahren wirk­sam bleiben, sofern sie nicht gelöscht wer­den. Außer­dem geht aus den Akten her­vor, dass in der Prax­is Face­book die in den Cook­ies gespe­icherten Infor­ma­tio­nen empfängt, aufze­ich­net und ver­ar­beit­et, ins­beson­dere wenn eine Per­son die “Face­book-Dien­ste, Dien­ste, die von anderen Mit­gliedern der Face­book-Unternehmensgruppe bere­it­gestellt wer­den, und Dien­ste, die von anderen Unternehmen bere­it­gestellt wer­den, die die Face­book-Dien­ste nutzen”, besucht. Außer­dem kön­nen andere Stellen wie Face­book-Part­ner oder sog­ar Dritte “auf den Face­book-Dien­sten Cook­ies ver­wen­den, um [diesem sozialen Net­zw­erk direkt] bzw. den auf Face­book wer­ben­den Unternehmen Dien­stleis­tun­gen bere­itzustellen”.

Diese Ver­ar­beitun­gen per­so­n­en­be­zo­gen­er Dat­en sollen u. a. zum einen Face­book ermöglichen, sein Sys­tem der Wer­bung, die es über sein Net­zw­erk ver­bre­it­et, zu verbessern. Zum anderen sollen sie dem Betreiber der Fan­page ermöglichen, zum Zweck der Steuerung der Ver­mark­tung sein­er Tätigkeit Sta­tis­tiken, die Face­book auf­grund der Besuche dieser Seite erstellt, zu erhal­ten, die es ihm beispiel­sweise ermöglichen, Ken­nt­nis von den Pro­filen der Besuch­er zu erlan­gen, die seine Fan­page schätzen oder die seine Anwen­dun­gen nutzen, um ihnen rel­e­van­tere Inhalte bere­it­stellen und Funk­tio­nen entwick­eln zu kön­nen, die für sie von größerem Inter­esse sein kön­nten.

Auch wenn der bloße Umstand der Nutzung eines sozialen Net­zw­erks wie Face­book für sich genom­men einen Face­book-Nutzer nicht für die von diesem Net­zw­erk vorgenommene Ver­ar­beitung per­so­n­en­be­zo­gen­er Dat­en mitver­ant­wortlich macht, ist indes darauf hinzuweisen, dass der Betreiber ein­er auf Face­book unter­hal­te­nen Fan­page mit der Ein­rich­tung ein­er solchen Seite Face­book die Möglichkeit gibt, auf dem Com­put­er oder jedem anderen Gerät der Per­son, die seine Fan­page besucht hat, Cook­ies zu platzieren, unab­hängig davon, ob diese Per­son über ein Face­book-Kon­to ver­fügt.

In diesem Rah­men geht aus den dem Union­s­gericht­shof unter­bre­it­eten Angaben her­vor, dass die Ein­rich­tung ein­er Fan­page auf Face­book von Seit­en ihres Betreibers eine Para­me­trierung u. a. entsprechend seinem Zielpub­likum sowie den Zie­len der Steuerung oder Förderung sein­er Tätigkeit­en impliziert, die sich auf die Ver­ar­beitung per­so­n­en­be­zo­gen­er Dat­en zum Zweck der Erstel­lung der auf­grund der Besuche der Fan­page erstell­ten Sta­tis­tiken auswirkt. Mit Hil­fe von durch Face­book zur Ver­fü­gung gestell­ten Fil­tern kann der Betreiber die Kri­te­rien fes­tle­gen, nach denen diese Sta­tis­tiken erstellt wer­den sollen, und sog­ar die Kat­e­gorien von Per­so­n­en beze­ich­nen, deren per­so­n­en­be­zo­gene Dat­en von Face­book aus­gew­ertet wer­den. Fol­glich trägt der Betreiber ein­er auf Face­book unter­hal­te­nen Fan­page zur Ver­ar­beitung der per­so­n­en­be­zo­ge­nen Dat­en der Besuch­er sein­er Seite bei.

Ins­beson­dere kann der Fan­page-Betreiber demografis­che Dat­en über seine Ziel­gruppe – und damit die Ver­ar­beitung dieser Dat­en – ver­lan­gen, so u. a. Ten­den­zen in den Bere­ichen Alter, Geschlecht, Beziehungssta­tus und beru­fliche Sit­u­a­tion, Infor­ma­tio­nen über den Lebensstil und die Inter­essen sein­er Ziel­gruppe und Infor­ma­tio­nen über die Käufe und das Online-Kaufver­hal­ten der Besuch­er sein­er Seite, die Kat­e­gorien von Waren oder Dien­stleis­tun­gen, die sie am meis­ten inter­essieren, sowie geografis­che Dat­en, die ihn darüber informieren, wo spezielle Wer­beak­tio­nen durchzuführen oder Ver­anstal­tun­gen zu organ­isieren sind, und ihm ganz all­ge­mein ermöglichen, sein Infor­ma­tion­sange­bot so ziel­gerichtet wie möglich zu gestal­ten.

Zwar wer­den die von Face­book erstell­ten Besuch­er­sta­tis­tiken auss­chließlich in anonymisiert­er Form an den Betreiber der Fan­page über­mit­telt, jedoch beruht die Erstel­lung dieser Sta­tis­tiken auf der vorherge­hen­den Erhe­bung – durch die von Face­book auf dem Com­put­er oder jedem anderen Gerät der Per­so­n­en, die diese Seite besucht haben, geset­zten Cook­ies – und der Ver­ar­beitung der per­so­n­en­be­zo­ge­nen Dat­en dieser Besuch­er für diese sta­tis­tis­chen Zwecke. Die Richtlin­ie 95/46 ver­langt jeden­falls nicht, dass bei ein­er gemein­samen Ver­ant­wortlichkeit mehrerer Betreiber für dieselbe Ver­ar­beitung jed­er Zugang zu den betr­e­f­fend­en per­so­n­en­be­zo­ge­nen Dat­en hat.

Unter diesen Umstän­den ist festzustellen, dass der Betreiber ein­er auf Face­book unter­hal­te­nen Fan­page wie die Wirtschaft­sakademie durch die von ihm vorgenommene Para­me­trierung u. a. entsprechend seinem Zielpub­likum sowie den Zie­len der Steuerung oder Förderung sein­er Tätigkeit­en an der Entschei­dung über die Zwecke und Mit­tel der Ver­ar­beitung der per­so­n­en­be­zo­ge­nen Dat­en der Besuch­er sein­er Fan­page beteiligt ist. Daher ist der Betreiber im vor­liegen­den Fall als in der Union gemein­sam mit Face­book Ire­land für diese Ver­ar­beitung Ver­ant­wortlich­er im Sinne von Art. 2 Buchst. d der Richtlin­ie 95/46 einzustufen.

Der Umstand, dass ein Betreiber ein­er Fan­page die von Face­book ein­gerichtete Plat­tform nutzt, um die dazuge­höri­gen Dien­stleis­tun­gen in Anspruch zu nehmen, kann diesen näm­lich nicht von der Beach­tung sein­er Verpflich­tun­gen im Bere­ich des Schutzes per­so­n­en­be­zo­gen­er Dat­en befreien.

Im Übri­gen ist her­vorzuheben, dass die bei Face­book unter­hal­te­nen Fan­pages auch von Per­so­n­en besucht wer­den kön­nen, die keine Face­book-Nutzer sind und somit nicht über ein Benutzerkon­to bei diesem sozialen Net­zw­erk ver­fü­gen. In diesem Fall erscheint die Ver­ant­wortlichkeit des Betreibers der Fan­page hin­sichtlich der Ver­ar­beitung der per­so­n­en­be­zo­ge­nen Dat­en dieser Per­so­n­en noch höher, da das bloße Aufrufen der Fan­page durch Besuch­er automa­tisch die Ver­ar­beitung ihrer per­so­n­en­be­zo­ge­nen Dat­en aus­löst.

Unter diesen Umstän­den trägt die Anerken­nung ein­er gemein­samen Ver­ant­wortlichkeit des Betreibers des sozialen Net­zw­erks und des Betreibers ein­er bei diesem Net­zw­erk unter­hal­te­nen Fan­page im Zusam­men­hang mit der Ver­ar­beitung per­so­n­en­be­zo­gen­er Dat­en der Besuch­er dieser Fan­page dazu bei, entsprechend den Anforderun­gen der Richtlin­ie 95/46 einen umfassenderen Schutz der Rechte sicherzustellen, über die die Per­so­n­en ver­fü­gen, die eine Fan­page besuchen.

Klarzustellen ist, dass das Beste­hen ein­er gemein­samen Ver­ant­wortlichkeit, wie der Gen­er­alan­walt in den Nrn. 75 und 76 sein­er Schlus­santräge aus­ge­führt hat, aber nicht zwangsläu­fig eine gle­ich­w­er­tige Ver­ant­wortlichkeit der ver­schiede­nen Akteure zur Folge hat, die von ein­er Ver­ar­beitung per­so­n­en­be­zo­gen­er Dat­en betrof­fen sind. Vielmehr kön­nen diese Akteure in die Ver­ar­beitung per­so­n­en­be­zo­gen­er Dat­en in ver­schiede­nen Phasen und in unter­schiedlichem Aus­maß in der Weise ein­be­zo­gen sein, dass der Grad der Ver­ant­wortlichkeit eines jeden von ihnen unter Berück­sich­ti­gung aller maßge­blichen Umstände des Einzelfalls zu beurteilen ist.

Nach alle­dem ist auf die erste und die zweite Frage zu antworten, dass Art. 2 Buchst. d der Richtlin­ie 95/46 dahin auszule­gen ist, dass der Begriff des “für die Ver­ar­beitung Ver­ant­wortlichen” im Sinne dieser Bes­tim­mung den Betreiber ein­er bei einem sozialen Net­zw­erk unter­hal­te­nen Fan­page umfasst.

(Ehemalige) Zuständigkeit der deutschen Datenschutzbehörden[↑]

Des Weit­eren stellt der Gericht­shof der Europäis­chen Union fest, dass das Unab­hängige Lan­deszen­trum zuständig war, zur Gewährleis­tung der Ein­hal­tung der Vorschriften zum Schutz per­so­n­en­be­zo­gen­er Dat­en im deutschen Hoheits­ge­bi­et von sämtlichen Befug­nis­sen, über die es nach den deutschen Bes­tim­mungen zur Umset­zung der EU-Daten­schutz-Richtlin­ie 95/46/EG ver­fügt, nicht nur gegenüber der Wirtschaft­sakademie, son­dern auch gegenüber Face­book Ger­many Gebrauch zu machen.

Wenn ein außer­halb der Union ansäs­siges Unternehmen (wie die amerikanis­che Gesellschaft Face­book) mehrere Nieder­las­sun­gen in ver­schiede­nen Mit­glied­staat­en unter­hält, ist die Kon­troll­stelle eines Mit­glied­staats näm­lich auch dann zur Ausübung der ihr durch Art. 28 Abs. 3 der EU-Daten­schutz-Richtlin­ie 95/463/EG über­tra­ge­nen Befug­nisse gegenüber ein­er im Hoheits­ge­bi­et dieses Mit­glied­staats gele­ge­nen Nieder­las­sung dieses Unternehmens befugt, wenn nach der konz­ern­in­ter­nen Auf­gaben­verteilung zum einen diese Nieder­las­sung (hier Face­book Ger­many) allein für den Verkauf von Wer­be­flächen und son­stige Mar­ket­ingtätigkeit­en im Hoheits­ge­bi­et des betr­e­f­fend­en Mit­glied­staats zuständig ist, und zum anderen die auss­chließliche Ver­ant­wor­tung für die Erhe­bung und Ver­ar­beitung per­so­n­en­be­zo­gen­er Dat­en für das gesamte Gebi­et der Europäis­chen Union ein­er in einem anderen Mit­glied­staat gele­ge­nen Nieder­las­sung (hier Face­book Ire­land) obliegt.

Weit­er führt der Gericht­shof der Europäis­chen Union aus, dass dann, wenn die Kon­troll­stelle eines Mit­glied­staats (hier das Unab­hängige Lan­deszen­trum in Deutsch­land) beab­sichtigt, gegenüber ein­er im Hoheits­ge­bi­et dieses Mit­glied­staats ansäs­si­gen Stelle (hier die Wirtschaft­sakademie) wegen Ver­stößen gegen die Vorschriften über den Schutz per­so­n­en­be­zo­gen­er Dat­en, die von einem Drit­ten began­gen wur­den, der für die Ver­ar­beitung dieser Dat­en ver­ant­wortlich ist und seinen Sitz in einem anderen Mit­glied­staat hat (hier Face­book Ire­land), die Ein­wirkungs­befug­nisse nach der Richtlin­ie 95/464 auszuüben, diese Kon­troll­stelle zuständig ist, die Recht­mäßigkeit ein­er solchen Daten­ver­ar­beitung unab­hängig von der Kon­troll­stelle des let­zt­ge­nan­nten Mit­glied­staats (Irland) zu beurteilen und ihre Ein­wirkungs­befug­nisse gegenüber der in ihrem Hoheits­ge­bi­et ansäs­si­gen Stelle auszuüben, ohne zuvor die Kon­troll­stelle des anderen Mit­glied­staats um ein Ein­greifen zu ersuchen.

Gericht­shof der Europäis­chen Union, Urteil vom 5. Juni 2018 — C ‑210/16

  1. Richtlin­ie 95/46/EG des Europäis­chen Par­la­ments und des Rates vom 24.10.1995 zum Schutz natür­lich­er Per­so­n­en bei der Ver­ar­beitung per­so­n­en­be­zo­gen­er Dat­en und zum freien Daten­verkehr, ABl.1995, L 281, S. 31[]
  2. Verord­nung (EU) 2016/679 des Europäis­chen Par­la­ments und des Rates vom 27.04.2016 zum Schutz natür­lich­er Per­so­n­en bei der Ver­ar­beitung per­so­n­en­be­zo­gen­er Dat­en, zum freien Daten­verkehr und zur Aufhe­bung der Richtlin­ie 95/46/EG, ABl.2016, L 119, S. 1[]
  3. EuGH, Urteil vom 11.12 2014 — Ryneš, C‑212/13, EU:C:2014:2428, Rn. 27 und die dort ange­führte Recht­sprechung[]
  4. EuGH, Urteil vom 13.05.2014, Google Spain und Google, C‑131/12, EU:C:2014:317, Rn. 34[]