Auslöser für das Urteil war ein Streit zwischen dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) und der Wirtschaftsakademie Schleswig Holstein.Das ULD hatte bereits 2011 die Akademie dazu aufgefordert, ihre Facebook Fan-Seite zu schließen. Das ULD störte sich daran, dass über die Facebook-Seite der Akademie Nutzerdaten erfasst wurden, ohne dass Nutzer darüber ausreichend in Kenntnis gesetzt wurden. Die Akademie wehrte sich gegen die Anordnung juristisch. Sie vertrat die Auffassung, dass nur Facebook für die Verarbeitung der Daten verantwortlich sei. Der Fall ging vor mehrere deutsche Gerichte, die jeweils der Akademie Recht gaben. 2016 reichte das Bundesverwaltungsgericht den Fall an das EuGH weiter, um die Sache grundsätzlich zu klären.
Fan-Pages an der Verarbeitung personenbezogener Daten beteiligt
Die europäischen Richter entschieden nun zu Gunsten des ULD, dass auch die Seitenbetreiber bei Facebook eine Verantwortung für die Datenerhebung, -verarbeitung und -verbreitung haben. In einer Mitteilung des EuGH zu dem Urteil heißt es zur Begründung:
Die Betreiber von Fanpages wie die Wirtschaftsakademie können mit Hilfe der Funktion Facebook Insight, die ihnen Facebook als nicht abdingbaren Teil des Benutzungsverhältnisses kostenfrei zur Verfügung stellt, anonymisierte statistische Daten betreffend die Nutzer dieser Seiten erhalten. Diese Daten werden mit Hilfe sogenannter Cookies gesammelt, die jeweils einen eindeutigen Benutzercode enthalten, der für zwei Jahre aktiv ist und den Facebook auf der Festplatte des Computers oder einem anderen Datenträger der Besucher der Fanpage speichert. Der Benutzercode, der mit den Anmeldungsdaten solcher Nutzer, die bei Facebook registriert sind, verknüpft werden kann, wird beim Aufrufen der Fanpages erhoben und verarbeitet.
Durch die Parametrierung, die Seitenbetreiber bei Facebook vornehmen, seien diese an der Verarbeitung personenbezogener Daten der Fan-Seite beteiligt, so der EuGH weiter. Mit Hilfe der Daten könnte der Seiten-Betreiber Werbeaktionen, Veranstaltungen und sein Info-Angebot so zielgerichtet wie möglich gestalten. Dass die Betreiber Facebook als Plattform nutzen, entbindet sie nach Ansicht der Richter nicht von der Verantwortung für den Datenschutz. Das bedeutet im Klartext: Sollte Facebook Daten nicht gesetzeskonform verarbeiten, wären die Betreiber von Fan-Seiten automatisch mit in der Haftung.
Deutsche Behörden können Ansprüche geltend machen
Kai-Uwe Loser, Vorstand des Berufsverbands der Datenschutzbeauftragten erwartet, dass das Urteil in der Praxis dazu führen wird, dass „viele Unternehmen und Selbständige ihre Fanpages – jedenfalls zunächst – schließen und die Reaktion von Facebook abwarten.“ Nebenbei hat der EuGH noch entschieden, dass das Vorgehen des ULD, die deutsche Facebook-Tochterfirma zur Verantwortung zu ziehen, rechtens war. Das Gericht formuliert dies folgendermaßen:
Wenn ein außerhalb der Union ansässiges Unternehmen (wie die amerikanische Gesellschaft Facebook) mehrere Niederlassungen in verschiedenen Mitgliedstaaten unterhält, ist die Kontrollstelle eines Mitgliedstaats nämlich auch dann zur Ausübung der ihr durch die Richtlinie 95/463 übertragenen Befugnisse gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats gelegenen Niederlassung dieses Unternehmens befugt, wenn nach der konzerninternen Aufgabenverteilung zum einen diese Niederlassung (hier Facebook Germany) allein für den Verkauf von Werbeflächen und sonstige Marketingtätigkeiten im Hoheitsgebiet des betreffenden Mitgliedstaats zuständig ist, und zum anderen die ausschließliche Verantwortung für die Erhebung 3 Konkret Art. 28 Abs. 3 der Richtlinie 95/46. www.curia.europa.eu und Verarbeitung personenbezogener Daten für das gesamte Gebiet der Union einer in einem anderen Mitgliedstaat gelegenen Niederlassung (hier Facebook Ireland) obliegt.
Will heißen: Deutsche Behörden können generell ihre Ansprüche gegenüber Facebook Germany geltend machen. Das Social Network kann sich nicht damit herausreden, dass es in Deutschland lediglich Verkaufsbüros betreibe und die Geschäfte von Irland aus geführt werden. Unklar ist, welche Auswirkungen die Datenschutzgrundverordnung (DSGVO) der EU auf das Urteil hat. Das Urteil bezieht sich nämlich auf die alte EU-Datenschutzrichtlinie, die seit Inkrafttreten der DSGVO am 25. Mai aufgehoben ist. Hierzu hat das Gericht keine Ausführungen gemacht.