Wer trägt die Verantwortung für den Datenschutz?

Die Vorgeschichte

Die Entscheidung des EuGHs in der Rechtssache C-210/16 vom 5.6.2018, einem Vorabentscheidungsersuchen des Bundesverwaltungsgerichts aus dem April 2016 in Datenschutzfragen, erzeugte ein erhebliches Echo in der Kommentatorenwelt. Vieles, was man lesen konnte, war schief dargestellt und vorschnell gefolgert. Man konnte glauben, der EuGH habe der Fachwelt die eigentlichen Kernfragen der jüngst in Kraft getretenen DSGVO erläutert und dabei die schlimmsten Befürchtungen bestätigt. Man konnte auch glauben, die einzige Chance, einer Abmahnserie und horrenden Bußgeldern zu entgehen, sei es, die eigenen Webseiten und sämtliche Profilseiten auf sozialen Netzwerken sofort zu löschen. Man konnte glauben, der Datenschutz habe eine dem § 427 BGB entlehnte Gesamtschuldnerschaft in das Datenschutzrecht implantiert, das eine Verantwortlichkeit für fremdes Tun oder Unterlassen mit sich bringe. All das und vieles mehr wurde als Reaktion auf das Urteil vom 5.6.2018 angedacht und verbalisiert.

Der Kern der Streitfrage

Der EuGH hatte sich mit der Auslegung der Richtlinie 95/46/EG aus dem Jahr 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr auseinanderzusetzen. Das Urteil wäre weitgehend unbeachtet geblieben, wäre es zeitlich nicht in die noch immer brodelnde DSGVO-Hysterie gefallen und wäre nicht ein Hauptbeteiligter des Falles Facebook Ireland Ltd., der Verkörperung des gewissenlosen Datenkraken, der kürzlich auf frischer Tat ertappt wurde und sich nun als Datenschutzbösewicht weltweit in der Defensive befindet.

Tatsächlich geht es bei dem Rechtsstreit um eine Deaktivierungsverfügung des Unabhängigen Landeszentrums für Datenschutz im beschaulichen Schleswig-Holstein gegen eine privatrechtlich organisierte Wirtschaftsakademie. Deaktiviert werden sollte eine Facebook Website der Akademie auf Facebook, weil Schutzprinzipien der Datenschutzrichtlinie missachtet worden seien. Unbestritten nutzte die sog. ‚Fanpage‘ der Akademie die Funktion Facebook Insight, die es ermöglichte, mit Hilfe von Cookies erhobene, anonymisierte statistische Daten betreffend die Nutzer dieser Seiten zu erhalten. Weder die Akademie noch Facebook hatten potenzielle Nutzer auf die Tatsache der Speicherung, die Funktionsweise der Cookies und die nachfolgende Datenverarbeitung hingewiesen.

Gegen die verhängten Maßnahmen der Datenschutzbehörde machte die Akademie geltend, sie sei nach geltendem Datenschutzrecht nicht für die Datenverarbeitung von Facebook oder die eingesetzten Instrumente verantwortlich zu machen. Auch habe sie Facebook keinen Verarbeitungsauftrag erteilt. Die Datenschutzbehörde hingegen warf der Akademie vor, sie habe mit dem Betreiben der Profilseite und der damit verbundenen Nutzung von Facebook Insight einen ungeeigneten Anbieter mit der Bereithaltung und Wartung ihres Internetauftritts beauftragt, weil Facebook Ireland Ltd. den geltenden Datenschutz nicht beachte.

Die Argumentation des EuGHs

Die beiden ersten Vorlagefragen beschäftigten sich mit der Datenschutzverantwortlichkeit eines Betreibers einer Fanpage bei einem sozialen Netzwerk unter Nutzung von deren Informationsangebot, wenn das Netzwerk mit seinen Angeboten gegen Vorschriften über den Schutz personenbezogener Daten verstößt.

Die Überlegungen des EuGHs sind dabei in der Tat propädeutisch für die unlängst angebrochene DSGVO-Zeitrechnung, denn die Kernfrage besteht weiter, ob der Nutzer auf Facebook verweisen kann, Facebook auf den Nutzer oder ob beide und in welchem Maße Datenschutz und Aufklärung im Interesse Dritter betreiben müssen.

Facebook Insight und andere Tools dienen im Ergebnis immer dazu, die Steuerung von Marketingmaßnahmen zu optimieren, indem jeder Klick, jedes ‚Like‘, jeder Kommentar, jede persönliche Angabe, jeder Upload in eine Auswertungsstatistik einfließt, die selbst bei einer Anonymisierung Rückschlüsse auf Alter, Lebensstil, Beziehungsstatus, Kaufverhalten und viele andere Kategorien der Fanpage-Besucher zulässt. Dabei hat das soziale Netzwerk sogar die Möglichkeit, auf Geräten der Besucher Cookies zu platzieren, auch wenn diese Personen über kein Facebook-Konto verfügen. Unter der Zweckrichtung der zielgerichteten Verbesserung des Informationsangebotes wird also eine explosionsartige Datenabschöpfung auch von Nicht-Netzwerksnutzern betrieben. Datenschutzrechtlich erfordert das die gründliche Aufklärung und Einholung der Zustimmung durch die Betroffenen.

Der EuGH argumentiert, dass das Betreiben einer Fanpage mit dem automatisch geschalteten Auswertungstool Facebook Insight nicht bedeuten kann, dass nur Facebook Verantwortlichkeit für die Nutzerdaten trägt, weil Facebook das Tool entwickelt und platziert hat und die Erhebung, Anonymisierung und Auswertung steuert. Immerhin habe der Fanpage-Betreiber wissentlich und willentlich in die Zusammenarbeit mit Facebook eingewilligt und mit der von ihm vorgenommenen Parametrierung einen Beitrag in der Datenverarbeitung vorgenommen. Es entstehe eine gemeinsame Verantwortlichkeit für den Datenschutz, denn

‚Der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleitungen in Anspruch zu nehmen, kann diesen nämlich nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien.‘

Damit meint der EuGH allerdings nicht zwangsläufig eine gleichwertige Verantwortlichkeit im Sinne einer Gesamtschuldnerschaft. Vielmehr bestehe die Notwendigkeit, die Verantwortlichkeitsgrade der Akteure nach Verarbeitungsphasen, Verarbeitungsanteilen und Verantwortungshierarchien nach den Umständen des Einzelfalls abzuschichten. Das klingt vernünftig, macht es für die Beteiligten jedoch nicht einfacher.

Schlussfolgerungen für die Praxis

Auch zu DSGVO-Zeiten hat das Urteil des EuGH Bedeutung. Jeder, der auf sozialen Netzwerken Profil- und Fanangebote betreibt, jeder, der Drittinhalte über Social Plug-Ins auf seine Website lädt, jeder, dessen YouTube Channel im Netz Kommentarfunktionen eröffnet, hat eigene Datenschutzverantwortung, und zwar in genau dem Ausmaß, in dem ihm diese Verantwortung durch den Betrieb seiner Page zuzurechnen ist.

Das bedeutet nicht, dass eine Gesamtschuldnerverantwortung geschaffen wurde, sondern die Entscheidung sollte das Bewusstsein schärfen, man könne sich bei derart geteilter Verantwortung nicht durch den Verweis auf den jeweils anderen exkulpieren.

Allerdings sind die unbeantwortet gebliebenen Folgefragen erheblich. Können z.B. Fanpage-Betreiber gegenüber Facebook durchsetzen, dass die Facebook-Insight-Funktion abgeschaltet werden kann? Werden die mächtigen sozialen Netzwerke ihre Partner vollständig und transparent darüber informieren, welche Tracking- und Verarbeitungstools im Einsatz sind? Ist die Symbiose aus Netzwerk und Netzwerkpartner ein Fall des Art. 26 DSGVO, der es erfordert, dass zwei oder mehrere für die Verarbeitung Verantwortliche untereinander in einer Vereinbarung festlegen und gegenüber Nutzern nach außen kommunizieren müssen, wer welche Datenschutzverantwortung trägt? Ist das überhaupt für die schwächeren Partner zumutbar und praktikabel oder bleibt aus Gestaltungsnot wirklich nur der Weg der vollständigen Löschung?

Der Kampf um die Deutungshoheit hat gerade erst begonnen.