Facebook-Fanpage geht vor den EuGH

Der Streit um die datenschutzrechtliche Verantwortlichkeit von Facebook-Fanpages geht vor den Europäischen Gerichtshof (EuGH). Das Bundesverwaltungsgericht (BVerwG) hat entschieden, den Fall dem EuGH vorzulegen (Beschluss v. 25.2.‌2016 – 1 C 28.14).

EuGH soll gleich mehrere Fragen klären

Das BVerwG möchte vom EuGH gleich mehrere Fragen beantwortet wissen. Hauptsächlich geht es im vorliegenden Fall um die Auslegung der sog. Datenschutzrichtlinie RL 95/46/EG. Besonders relevant sind folgende Punkte:

Reichweite der Befugnisse nationaler Datenschutzbehörden

Ein erster Punkt, den das BVerwG vom EuGH beantwortet haben möchte, ist wie weit die Befugnisse der nationalen Datenschutzbehörden reichen. Im konkreten Fall hatte das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) die Abschaltung einer Facebook-Fanpage angeordnet. Grund sei eine rechtswidrige Datenverarbeitung durch Facebook. Dessen Europa-Niederlassung hat ihren Sitz jedoch in Irland, sodass fraglich ist, ob das ULD überhaupt zuständig sein kann

Datenschutzrechtliche Verantwortlichkeit bezüglich der Fanpage

Weiter muss der EuGH der Frage nachgehen, ob den Inhaber der Fanpage eine Verantwortlichkeit hinsichtlich der Auswahl des Betreibers seiner Fanpage im datenschutzkonformen Umgang mit Besucherdaten trifft. Im vorliegenden Fall ist also fraglich, ob jeder den datenschutzkonformen Umgang von Facebook überprüfen muss, der eine Fanpage auf Facebook anlegt. Würde der EuGH dies bejahen, könnte die vollständige Rechtswidrigkeit aller Fanpages eintreten – solange nicht letztinstanzlich die Konformität von Facebook mit dem geltenden Datenschutzrecht bestätigt ist. Zur Debatte steht, „ob Art. 2 lit. d) DS-RL dahin auszulegen ist, dass er Haftung und Verantwortlichkeit für Datenschutzverstöße abschließend und erschöpfend regelt“.

Behördliche Zuständigkeit bei rechtlich selbstständigen Niederlassungen

Ein letzter gravierender Punkt ist die Frage nach der behördlichen Zuständigkeit bei rechtlich voneinander unabhängiger Niederlassungen in mehreren EU-Mitgliedsstaaten. Im vorliegenden Fall besteht die Konstellation, dass das UDL gegen die deutsche Niederlassung von Facebook vorgeht, die Datenverarbeitung aber von der Europa-Niederlassung in Irland durchgeführt wird. Kann dennoch wirksam gegen die deutsche Niederlassung behördlich vorgegangen werden?

Wenn nein schließen sich weitere Fragen direkt an. Kann dann nur diejenige Datenschutzbehörde aktiv werden, in deren Mitgliedsstaat die für die Datenverarbeitung konzerninterne Stelle ihren Sitz hat? In diesem Fall hätte das UDL keine rechtliche Handhabe, verantwortlich wäre die irische Behörde. Fraglich ist weiterhin, ob in einer solchen Konstellation alle Datenschutzbehörden mit rechtlich selbstständigen Konzernniederlassungen an die Entscheidungen und Beurteilungen jener Behörde gebunden sind, die für die datenverarbeitende konzerninterne Stelle zuständig ist. Konkret: wäre das UDL an die Entscheidungen und Beurteilungen der irischen Datenschutzbehörde gebunden? Welches nationale Datenschutzrecht müsste die zuständige Behörde eigentlich anwenden? Würde die irische Behörde nach deutschem Recht entscheiden oder nach irischem? Was aber, wenn der Verstoß nur in einem der beiden Mitgliedsstaaten einen Verstoß darstellt?

Gerade dieser Punkt verdeutlicht die komplexe Problematik der behördlichen Zuständigkeiten innerhalb der EU in Belangen des Datenschutzrechts. Zu diesem Thema haben wir in der Vergangenheit ebenfalls publiziert.

Entscheidung wegweisend

Die Entscheidung des EuGH wird in Bezug auf den Datenschutz im internationalen Kontext hoffentlich viele Fragen beantworten. In einem Extremfall könnten deutsche Behörden keine rechtliche Handhabe bei Verstößen gegen deutsches Datenschutzrecht haben. Der andere Extremfall könnte das Datenschutzrecht vollständig „unionisieren“, nationale Datenschutzbehörden wären an Weisungen aus anderen Mitgliedsstaaten gebunden.