Gestern Nacht hat mich „Joma“ auf Twitter darauf aufmerksam gemacht, dass nun der Beschluss des Bundesverwaltungsgerichts vom 25. Februar 2016 in dem Verfahren (BVerwG 1 C 28.14) zwischen dem Unabhängigen Landeszentrum für Datenschutz in Schleswig-Holstein (ULD) und der Wirtschaftsakademie Schleswig-Holstein GmbH (WAK) im Volltext veröffentlicht wurde.
Für die absolute Spätschicht: Die Vorlageentscheidung des BVerwG zu Fanpages im Volltext: https://t.co/1ZdPOMwYn1 @CarloPiltz @JotzoF
— Joma (@jmmarosi) 12. April 2016
Bekanntlich hat das Bundesverwaltungsgericht das Verfahren ausgesetzt und dem Europäischen Gerichtshof in Luxemburg mehrere Fragen zur Auslegung des geltenden Datenschutzrechts vorgelegt. Auch wenn das Bundesverwaltungsgericht noch nicht abschließend in diesem Verfahren entschieden hat, so ergeben sich aus dem Beschluss bereits einige rechtliche Aussagen des Gerichts, die für Facebook Fanpagebetreiber in Deutschland von Interesse sein dürften.
Das Bundesverwaltungsgericht geht nämlich davon aus, dass die WAK für die Erhebung und Verarbeitung der Nutzerdaten ihrer Fanpage durch Facebook nicht die „Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt“ (§ 3 Abs. 7 BDSG) bzw. die „Stelle, die allein oder gemeinsam mit anderen über die Zwecke, Bedingungen und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“ (Art. 2 Buchst. d) RL 95/46/EG) ist (Rz. 24). Nach Auffassung des Bundesverwaltungsgerichts ist also ein Facebook Fanpagebetreiber nicht als verantwortliche Stelle im Sinne des Datenschutzrechts anzusehen. Damit einher geht meines Erachtens zwingend die Schlussfolgerung, dass der Facebook Fanpagebetreiber, soweit es sich um Datenverarbeitungen handelt, die von Facebook durchgeführt werden und auf die der Fanpagebetreiber keinen Einfluss hat, auch nicht für eventuell unzulässige Datenverarbeitungen verantwortlich ist.
Nun mag sich der Leser fragen, warum dann überhaupt noch der Europäische Gerichtshof angerufen wird. Dies liegt daran, dass das Bundesverwaltungsgericht, auch wenn der Fanpagebetreiber nicht als verantwortliche Stelle im Sinne des Datenschutzrechts anzusehen ist, den Europäischen Gerichtshof fragt, ob nicht doch eine gewisse Auswahlverantwortlichkeit des Fanpagebetreibers besteht. Ohne selbst für die Datenverarbeitung verantwortlich zu sein, hält es das Bundesverwaltungsgericht nämlich für denkbar, die geltenden gesetzlichen Vorgaben eventuell in dem Sinne auszulegen, dass die zuständige Datenschutzaufsichtsbehörde wegen einer fehlerhaften Auswahl eines Plattformbetreibers (in diesem Beispiel etwa Facebook für Fanpages) durch den Fanpagebetreiber (also z.B. ein Unternehmen, einen Verein etc.), gegen diesen vorgehen kann. Das Bundesverwaltungsgericht beschreibt diese aus seiner Sicht möglicherweise existierende Verantwortlichkeit wie folgt:
Diese datenschutzrechtliche Verantwortung bezieht sich zwar nicht auf die Erhebung und Verarbeitung der Daten durch den Infrastrukturanbieter selbst, die in einer Infrastruktur wie der von der Beigeladenen angebotenen rechtlich und tatsächlich durch den Informationsanbieter nicht gesteuert werden kann. Sie bezieht sich aber auf die sorgfältige Auswahl des Betreibers der Infrastruktur, die für das eigene Informationsangebot genutzt wird.
Der Fanpagebetreiber wäre also nicht für die Rechtmäßigkeit der Datenverarbeitung verantwortlich und müsste diese, auch bei einer eventuell existierenden Auswahlverantwortlichkeit, nicht prüfen.
die Nutzer von Infrastrukturangeboten und Plattformen bleiben zudem von der Notwendigkeit befreit, die Rechtmäßigkeit der Datenverarbeitung durch den ausgewählten Anbieter (inzident) überprüfen zu müssen. (Rz. 36)
Jedoch könnten den Fanpagebetreiber im Rahmen der Auswahl einer Plattform vorgelagerte Prüfungspflichten („Auswahl- und Überprüfungspflichten“) treffen, deren Herleitung das das Bundesverwaltungsgericht (unter Hinweis auf Martini/Fritzsche, Mitverantwortung in sozialen Netzwerken. Facebook-Fanpage-Betreiber in der datenschutzrechtlichen Grauzone, NVwZ-Extra 21/2015) aus den Regelungen zur Auftragsdatenverarbeitung (§ 11 Abs. 2 Satz 1 und 4 BDSG) zumindest für möglich hält.
Ein Aktenzeichen beim Europäischen Gerichtshof für dieses Verfahren ist mir derzeit noch nicht bekannt.
Hallo Carlo, mich überzeugt diese Argumentation des BVerwG nicht.
In dem Moment, in dem ich problematische Infrastrukturdienste Dritter einsetze, bin ich derjenige, der Daten erhebt, speichert, verarbeitet, nutzt. Ich habe die totale Kontrolle über das „Ob“, denn ich kann die Plattform „anschalten“ und „abschalten“, d.h. den Dienst beenden und z.B. die Fanpage löschen.
Dass ich mich selbst der Einwirkungsmöglichkeiten auf das „Wie“ der Dienstleistung begebe, ist ein Argument, das weder im Vertragsrecht, nur teilweise im Deliktsrecht und niemals im UWG oder MarkenG zur Exkulpation führen kann. Siehe die zahllosen Entscheidungen zur Haftung von Händlern auf Plattformen wie eBay und Amazon.
Nun eine neue Rechtsfigur zu schaffen, wonach man nicht „Verantwortliche Stelle“ ist, wohl aber „Unverantwortliche Stelle“, führt zur Ungleichbehandlung in ähnlich liegenden Fällen der Offline-Wirtschaft, die bisher eher unproblematisch waren, zB beim Outsourcing.
Es zeichnt sich hier das gleiche Chaos am Horizont ab, wie bei der zivilrechtlichen Störerhaftung. Ich hoffe, der EuGH klärt entsprechend auf.
Viele Grüße, Peter
Hi Carlo,
danke, dass Du das ausgegraben hast. Nach den Vorlagefragen ist diese etwas eigenartige Rechtsansicht des BVerwG nicht überraschend. Ich frage mich allerdings, wieso das BVewG den EuGH dann nicht auch gleich zur Auslegung „verantwortliche Stelle“ und „ADV“ gefragt hat. Das wäre doch wirklich interessant gewesen….
BG
Andy
Als DSB (und Nicht-Jurist) kann ich der Argumentation auch nicht folgen.
Das Konzept ja knapp skizziert: Firma o.ä. nimmt das unverhandelbare Angebot für einen Medienauftritt an, wird Diensteanbieter mit FB als Provider und erhält im Gegenzug einfache Statistiken. FB hat im Gegenzug „die“ User Daten (welche auch immer), die es nutzt (wie auch immer), jenseits seiner Rolle als Provider.
Weisungsmöglichkeit des Auftraggebers gibt es nicht, also sei es kein ADV.
Besonders schön ist das in Rn. 30 gesagt: „Die Datenverarbeitung durch Facebook ist auch sonst von den Beteiligten des Fanpage-Nutzungsverhältnisses weder objektiv als gemeinsam verantwortete Datennutzung ausgestaltet noch subjektiv von diesen als gemeinsame gewollt.“
Nun ist für mich (nur für mich?) eine ADV eine „Sonderregel“, unter der eine Übermittlung von p.b. Daten zulässig ist (ich ignoriere jetzt mal den Nicht-EU-Fall).
Und wenn man die nicht anwenden kann, dann ist es (mir ?) eine unzulässige Übermittlung.
Mal abgesehen vom BDSG ist eine anonyme Nutzung des Auftritts nicht möglich. Ich vermisse die Wertung der Pflichten des Diensteanbieters nach TMG (auch das geht nicht bei FB). Oder ist das der Grund, sofort auf BDSG zu fallen?
PS und Off Topic: ich frage mich gelegentlich, ob Behörden solche Auseinandersetzungen nur mit den Hausjuristen bestreiten, oder ob sie spezialisierte Kanzleien beauftragen (was in der Wirtschaft die Regel ist).