Datenschutzrechtliche Verantwortlichkeit bei der Nutzung von Fanpages und Social Plug-ins
Die Beliebtheit von Fanpages und Social Plug-ins ist ungebrochen. Bisher hielten sich Verwender für die dabei ablaufende Datenverarbeitung nicht für datenschutzrechtlich verantwortlich. Das Fanpage-Urteil des Europäischen Gerichtshofs hat dem eindeutig widersprochen. Der folgende Beitrag zeichnet die zugrundeliegenden Fragen zur Begründung der Verantwortlichkeit von Betreibern öffentlicher Profilseiten nach und untersucht, ob die Rechtsprechung des Europäischen Gerichtshofs auch auf Verwender von Social Plug-ins übertragen werden kann.
I. Like us on Facebook!
Schon seit Jahren nutzen Unternehmen, in der Öffentlichkeit stehende Personen, Vereine oder andere Interessenvertretungen die sozialen Online-Netzwerke, um diese in die eigene öffentliche Kommunikationsstruktur einzubinden. Viele nutzen öffentliche Profilseiten wie die Fanpage bei Facebook. Sie dienen dazu, dass sich das Unternehmen, die öffentliche Person oder der Verein mit ihrer Marke, Botschaft oder einem guten Zweck präsentieren, und damit dem Öffentlichkeitsauftritt und der Werbung für die eigene Sache. Durch die enge Verknüpfung mit dem sozialen Netzwerk erleichtert eine solche Seite das Bekanntwerden und die Kommunikation mit dem Publikum. Mit jedem Besuch einer öffentlichen Profilseite werden personenbezogene Daten erhoben sowie Cookies auf dem Gerät des Nutzers platziert, die es dem sozialen Netzwerk gegebenenfalls erlauben, den Nutzer zu identifizieren und zu tracken.
Eine andere Möglichkeit besteht darin, ein Social Plug-in wie den „Teilen“- oder „Gefällt-mir“-Button in den eigenen Webauftritt zu integrieren. Social Plug-ins sind Programmcodes oder Steuerungsbefehle, die soziale Netzwerke für Website-Betreiber zur Verfügung stellen und die letztere in ihren Internetauftritt integrieren können. Bei Aufruf der Seite werden – je nach Ausgestaltung – automatisch Daten an das soziale Netzwerk geschickt, zumindest die aufgerufene URL und die IP-Adresse des Nutzers. Ist der Nutzer zusätzlich gegenüber dem sozialen Netzwerk authentifiziert, können ihm die erhobenen Daten zugeordnet werden. Betätigt der Nutzer das Social Plug-in, bekommt das soziale Netzwerk die Möglichkeit, Cookies im Browser des Nutzers zu implementieren.
Die Mittel des sozialen Netzwerks für den eigenen Öffentlichkeitsauftritt zu nutzen, ist für die Verwender einfach und vor allem kostengünstig, weil der Code und die Infrastruktur vom sozialen Netzwerk kostenfrei zur Verfügung gestellt werden, dieses sich um die Wartung und Updates kümmert und gerade bei der Nutzung öffentlicher Profilseiten sich der Verwender auf die inhaltlichen Aspekte konzentrieren kann. Aufgrund der Marktmacht von Facebook ist andererseits jedoch anzunehmen, dass auch gewisse ökonomische Zwänge dabei mitwirken, dass man sich ohne Einbinden eines oder mehrerer bekannter sozialer Netzwerke abgehängt sieht von der öffentlichen Wahrnehmung.
Die Verwendung einer öffentlichen Profilseite oder eines Social Plug-ins hat zur Folge, dass mit dem Aufrufen einer Seite personenbezogene Daten von dem Besucher erhoben werden. Dies geschieht unabhängig von der Frage, ob dieser ein registrierter oder sogar eingeloggter Nutzer des sozialen Netzwerks ist oder nicht. Damit trägt jeder Verwender, der Dienstleistungen oder Anwendungen von sozialen Netzwerken nutzt, dazu bei, dass das soziale Netzwerk selbst noch mehr personenbezogene Daten erhebt, die dieses für eigene (Werbe-)Zwecke nutzen kann. Indes sehen sich die Verwender von öffentlichen Profilseiten und Social Plug-ins nicht verantwortlich für die Einhaltung der datenschutzrechtlichen Vorschriften, da sie selbst nur ein fremdes Produkt nutzen würden und mangels eigenem Einfluss und Verhandlungsmacht allein der Anbieter dieses Produkts, also das soziale Netzwerk, als Verantwortlicher gesehen werden könne.
Es erscheint jedoch ungerecht, dass sich Unternehmen und andere die Infrastruktur, Reichweite und Marktmacht eines überregionalen sozialen Netzwerks zunutze machen und noch dazu erheblich zu dessen Datenerhebung beitragen, ohne die Verantwortung für aufkommende datenschutzrechtliche Pflichten zu übernehmen – noch dazu Pflichten, die sie selbstverständlich hätten, würden sie eigene Webauftritte unterhalten.
Der Europäische Gerichtshof hat nun in seinem Urteil vom 5. Juni 2018 eindeutig zur Verantwortlichkeit von Fanpage-Betreibern Stellung bezogen. Im Folgenden sollen auf die vom Gerichtshof aufgestellten Grundsätze zur Verantwortlichkeit von Fanpage-Betreibern eingegangen werden. Anschließend wird zu der Frage Stellung genommen, ob und in welchem Umfang das Fanpage-Urteil auch auf Social Plug-ins Anwendung finden könnte. Das Urteil bezieht sich zwar auf die Datenschutzrichtlinie. Da sich aber durch die Datenschutz-Grundverordnung keine grundlegenden Änderungen in Bezug auf die Verantwortlichkeit für die Datenverarbeitung ergeben haben, bleibt das Urteil des Europäischen Gerichtshofs auch nach Wirksamwerden der Verordnung von größter Bedeutung.
II. Verantwortlichkeit von Fanpage-Betreibern
Der Betreiber einer öffentlichen Profilseite ist für die Datenverarbeitung nach Art. 4 Nr. 7 DS-GVO verantwortlich, wenn er allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Personenbezogen sind die Daten für den Anbieter und den Betreiber, wenn ein Nutzer diese Seite aufruft, während er in das soziale Netzwerk eingeloggt ist, da in diesem Fall die Daten dann mit seinem Benutzerprofil verknüpft werden. Auch bei nicht eingeloggten oder registrierten Besuchern der öffentlichen Profilseite können personenbezogene Daten anfallen, wenn zum Beispiel bei deren Aufrufen Cookies auf dem Gerät der betroffenen Person hinterlegt oder die IP-Adresse abgerufen werden.
1. Verantwortlichkeit aus Auftragsverarbeitung?
In der Vergangenheit war umstritten, ob der Betreiber einer solchen öffentlichen Profilseite neben dem Plattformanbieter für die Datenverarbeitung verantwortlich sein kann. Der Betreiber der öffentlichen Profilseite nutzt ausschließlich die Infrastruktur des Plattformbetreibers. Dieser stellt das Interface und die Rechnerleistung zur Verfügung und entscheidet ausschließlich und allein über die Art und Weise der Erhebung und Verwendung der personenbezogenen Daten der Nutzer. Eine Verantwortlichkeit des Betreibers der öffentlichen Profilseite aus Auftragsverarbeitung im Sinne des Art. 28 DS-GVO scheidet aus, da diese voraussetzt, dass ein Auftragsverarbeiter im Auftrag und auf Weisung des Verantwortlichen personenbezogene Daten verarbeitet. Der Betreiber hat jedoch keine Weisungsbefugnis hinsichtlich der Art und Weise der Datenverarbeitung im Sinne von Art. 28 Abs. 3 lit. a DS-GVO. Zwar erhält zum Beispiel ein Fanpage-Betreiber von Facebook Nutzungsdaten, die mittels Analyse-Tools wie Facebook Insights erhoben werden, zur eigenen Information und Verwendung. Diese stellt Facebook ungefragt und anonymisiert und damit nicht mehr personenbezogen zur Verfügung. Nach Überzeugung des Europäischen Gerichtshofs hat der Fanpage-Betreiber zwar ein gewisses Mitspracherecht und Auswahlmöglichkeiten hinsichtlich der zur Verfügung gestellten Datenkategorien oder kann Kriterien festlegen, nach denen die Statistiken erstellt werden sollen. Dennoch erfolgt die Datenerhebung durch den Plattformanbieter nicht auf Weisung des Fanpage-Betreibers, sondern wird von Facebook initiiert und vorgegeben. Er gibt diese also nicht in Auftrag und hat nur untergeordneten Einfluss auf die Art und den Inhalt der Nutzungsanalyse.
Die in Abgrenzung zur Auftragsdatenverarbeitung nach bisherigem deutschem Recht diskutierte Funktionsübertragung scheidet ebenfalls aus, da hierfür eine Übermittlung der personenbezogenen Daten vom Betreiber der Profilseite zum Plattformanbieter als Datenverarbeiter notwendig wäre. Eine Datenübermittlung findet aber aufgrund der Gegebenheiten der Infrastruktur des Netzwerks nicht statt, da die personenbezogenen Daten zu keinem Zeitpunkt außerhalb des Herrschaftsbereichs von Facebook liegen, sondern direkt auf der Plattform und damit durch Facebook erhoben und verarbeitet werden.
2. Die Verfahren vor VG Schleswig und OVG Schleswig
Mit dem Argument, ein Fanpage-Betreiber habe keinerlei Einfluss auf das Wie der Datenverarbeitung, da allein Facebook entscheide, in welchem Ausmaß personenbezogene Daten erhoben und wie diese verwendet werden, haben sowohl das Verwaltungsgericht Schleswig als auch das Oberverwaltungsgericht Schleswig Fanpage-Betreibern eine Mitverantwortung abgesprochen und sehen allein Facebook als Verantwortlichen im Sinne des Gesetzes. Im zugrundeliegenden Rechtsstreit hatte das Unabhängige Landeszentrum für Datenschutz (ULD) Schleswig-Holstein der Wirtschaftsakademie Schleswig-Holstein GmbH, einem als gemeinnützig anerkannten Bildungsinstitut, untersagt, eine Fanpage zu betreiben, mit der Begründung, diese sei ihren datenschutzrechtlichen Pflichten aus dem zu diesem Zeitpunkt anwendbaren Telemediengesetz nicht nachgekommen, wozu sie als verantwortliche Stelle aber verpflichtet sei. Das Bundesverwaltungsgericht hatte im Revisionsverfahren dem Europäischen Gerichtshof im Rahmen eines Vorabentscheidungsverfahrens einen Fragenkatalog vorgelegt, der unter anderem Fragen zur Abgrenzung der Verantwortlichkeit enthielt. Das Gericht sollte sich neben anderen Fragen insbesondere zur Zuständigkeit von Aufsichtsbehörden und der Reichweite ihrer Befugnisse entsprechend unter anderem zu der Frage äußern, ob eine Auswahlverantwortlichkeit auch dann gesetzlich begründet werden kann, wenn keine datenschutzrechtliche Verantwortlichkeit im engeren Sinne vorliegt, oder ob die Auswahlverantwortlichkeit der Auftragsverarbeitung eine Auswahlverantwortlichkeit darüber hinaus ausschließt. Damit war auch die Frage der Verantwortlichkeit des Fanpage-Betreibers an sich zu klären. Dass die Vorlagefragen sich auf die Datenschutzrichtlinie beziehen, ist nur von untergeordneter Bedeutung, da sich durch die Datenschutz-Grundverordnung keine grundlegenden Änderungen in Bezug auf die Verantwortlichkeit für die Datenverarbeitung ergeben haben. Das Urteil des Europäischen Gerichtshofs bleibt somit auch nach Wirksamwerden der Verordnung von Bedeutung für die Beurteilung der zugrundeliegenden Rechtsfragen.
3. Das Fanpage-Urteil des Europäischen Gerichtshofs
Der Europäische Gerichtshof hat sich zur Frage der Verantwortlichkeit von Fanpage-Betreibern eindeutig bekannt und eine weite Auslegung des Begriffs zugrunde gelegt. Da die Verarbeitung personenbezogener Daten nicht nur Facebook ermöglicht, das werbebasierte Geschäftsmodell zu verbessern, sondern den Betreibern der Fanpage ermöglicht, Kenntnis über die Profile der Besucher zu erlangen, um ihre Tätigkeit zielgerichtet zu vermarkten, verfolgt der Fanpage-Betreiber eigene Zwecke und trägt durch das Einrichten der Fanpage maßgeblich dazu bei, dass personenbezogene Daten der Besucher erhoben werden. Dadurch ist der Fanpage-Betreiber ebenso gemäß Art. 4 Nr. 7 DS-GVO Verantwortlicher für die Datenverarbeitung, und zusammen mit dem Plattformanbieter sind beide gemeinsam für die Verarbeitung verantwortlich, wobei sich der Grad der Verantwortlichkeit nach den Umständen des Einzelfalls bemisst.
Das Urteil des Europäischen Gerichtshofs ist überzeugend und sachgerecht, um die Rechte der betroffenen Personen bestmöglich zu schützen. Wäre ein Betreiber einer öffentlichen Profilseite nicht verantwortlich für die durch sein Handeln veranlasste Datenverarbeitung, entstünde eine Schieflage zulasten der betroffenen Personen. Für Unternehmen oder öffentliche Personen wäre es andernfalls vorzugswürdig, keine eigene Website mit allen daran geknüpften Kosten und datenschutzrechtlichen Verantwortlichkeiten zu betreiben, sondern erst recht und ganz bewusst alle Vorteile einer Fanpage zu nutzen und damit sehenden Auges Datenschutzverstöße von Kooperationspartnern in Kauf zu nehmen. Von Verwaltungs- und Oberverwaltungsgericht Schleswig nicht genügend gewürdigt wurde der Umstand, dass ein Fanpage-Betreiber insofern Einfluss auf das Ob der Datenverarbeitung hat, indem er eine Fanpage betreibt, um deren Vorteile zu nutzen, oder sich dagegen entscheidet.
Der Europäische Gerichtshof hingegen macht deutlich, dass zwar die bloße Nutzung eines Netzwerks einen Nutzer nicht mitverantwortlich macht. Diese wird nach Ansicht des EuGH dadurch begründet, dass die Einrichtung einer öffentlichen Seite dem Plattformbetreiber die Möglichkeit eröffnet, durch das Setzen von Cookies personenbezogene Daten von Nutzern zu erheben. Der Europäische Gerichtshof stellt damit allein auf die durch den Fanpage-Betreiber eröffneten Zugang des Plattformbetreibers zu personenbezogenen Daten anderer Nutzer oder Dritter ab. Unerheblich für eine eigene Verantwortlichkeit ist demnach, ob der Betreiber der öffentlichen Seite die durch den Plattformbetreiber im Gegenzug zur Verfügung gestellten Nutzerstatistiken und anderer dabei generierter Daten für eigene Zwecke nutzt. Dies ist überzeugend, da die aus Betroffenensicht problematische Erhebung personenbezogener Daten durch das Aufrufen der Seite erfolgt und unabhängig von weiteren Vereinbarungen zur Datennutzung im Innenverhältnis ist. Da die Entscheidung zum Betreiben einer öffentlichen Profilseite allein dem Betreiber obliegt, ist es auch sachgerecht, ihm im Rahmen dieser selbstbestimmten Entscheidung für die Erhebung personenbezogener Daten Verantwortung zuzusprechen.
Eine solche Auswahlverantwortlichkeit gibt es zum Beispiel auch im Rahmen der Auftragsverarbeitung nach Art. 28 DS-GVO. Der Auftraggeber hat die Pflicht, nur solche Auftragsverarbeiter auszuwählen, die hinreichende Garantien dafür bieten, dass personenbezogene Daten geschützt werden. Daher sollte eine solche Verantwortlichkeit auch dann gelten, wenn man sich für seine Absichten eines Dritten bedient, um dessen Angebot und Infrastruktur zu nutzen. Ob diesem Dritten keine größere Freiheit im Umgang mit Datenschutzstandards zugestanden werden kann als einem Auftragsverarbeiter, darf bezweifelt werden. Schließlich ist der Dritte im Gegensatz zum Auftragsverarbeiter selbst Verantwortlicher mit entsprechenden Rechten und Pflichten. Dennoch gibt der Fanpage-Betreiber einen essentiellen Anstoß zur Datenerhebung durch diesen Dritten, indem er sich frei und eigenverantwortlich für den Betrieb einer Fanpage entscheidet und indem er durch die kontinuierliche Nutzung und das Einspeisen neuer Inhalte für anhaltenden Datenverkehr mit entsprechender Auswertung des Nutzerverhaltens der Zielgruppe sorgt.
Für die zugrundeliegende Auswahlentscheidung keine Verantwortung übernehmen zu müssen, erschiene auch aus Sicht der betroffenen Person und der Aufsichtsbehörde wie eine bewusste Umgehung datenschutzrechtlicher Vorschriften. Denn würde der Fanpage-Betreiber stattdessen eine eigene Homepage betreiben, müsste er sich ganz selbstverständlich an die für ihn geltenden Datenschutzgesetze halten. Für neue, auf diese Art und Weise arbeitsteilig organisierten Verfahren, die nicht in die gängigen Kategorien von Auftragsverarbeitung oder Datenübermittlung passen, besteht im Übrigen ein Bedürfnis, die daraus resultierenden Verantwortlichkeiten neu zu verteilen. Daher trifft den Fanpage-Betreiber zumindest eine Verpflichtung zur gewissenhaften Auswahl des Dritten, mit der Konsequenz, dass den Fanpage-Betreiber eine Einstandspflicht zumindest für diejenigen Datenschutzverstöße treffen, die in seinem Verantwortungsbereich der Datenerhebung liegen. Eine solche Einstandspflicht sollte zumutbar sein. Da Facebook aber seit langem im medialen Interesse steht und deren Datenschutzverstöße zumindest nach dem Recht der Datenschutzrichtlinie öffentlich diskutiert wurden, konnte sich in der Vergangenheit kein Fanpage-Betreiber auf Nichtwissen berufen; dies in den Entscheidungsprozess für oder wider einer Fanpage einfließen zu lassen, ist durchaus zumutbar.
III. Verantwortlichkeit von Social Plug-in-Verwendern
Bei Aufrufen einer Website mit Social Plug-in durch einen Nutzer werden Daten über diesen Nutzer an das soziale Netzwerk übermittelt. Daher stellt sich die Frage, inwiefern der Betreiber der Website für diese Datenverarbeitung verantwortlich ist.
1. Grundsätzliches
Verantwortlich für die Datenverarbeitung ist nach Art. 4 Nr. 7 DS-GVO, wer allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Die erhobenen Daten sind in jedem Fall personenbezogen, sobald sich der Nutzer gegenüber dem sozialen Netzwerk authentifiziert hat, weil die Daten dann mit seinem Benutzerprofil verknüpft werden. Aber auch Daten von nicht im Netzwerk eingeloggten oder registrierten Nutzern können personenbezogen sein, da auf dem Rechner der Nutzer Cookies abgelegt werden und so eine Identifizierung der nutzenden Person über die IP-Adresse möglich ist. Da der Anbieter des sozialen Netzwerks das Plug-in programmiert hat, anderen zur Verfügung stellt und die dann generierten Daten übermittelt bekommt, entscheidet dieser in jedem Fall über Mittel und Zwecke der Datenverarbeitung und ist damit Verantwortlicher im Sinne des Art. 4 Nr. 7 DS-GVO.
Der Website-Betreiber hingegen entscheidet lediglich, ob er das Social Plug-in auf seiner Website einbindet oder nicht. Darüber hinaus hat er jedoch keine Entscheidungsbefugnis hinsichtlich der Art und Weise oder der Zwecke der Verarbeitung der Daten, da diese allein auf der Plattform des sozialen Netzwerks geschieht. Mit der Entscheidung über das Ob des Einbindens ermöglicht er jedoch eigenverantwortlich eine Datenerhebung seiner Website-Besucher und Übertragung an das soziale Netzwerk und kann diese ebenso eigenverantwortlich unterbinden, indem er das Social Plug-in entfernt oder eine Datenverarbeitung – vergleichbar mit der Zwei-Klick-Lösung – erst nach Aktivierung durch die betroffene Person, also mit deren Einwilligung, zulässt. Die Datenerhebung, die die Übertragung an das Netzwerk und dessen anschließende Verarbeitung erst ermöglicht, liegt damit allein im Verantwortungsbereich des Website-Betreibers. Dieser ist damit für diesen Verarbeitungsvorgang ebenso verantwortlich im Sinne des Art. 4 Nr. 7 DS-GVO. Eine Verantwortlichkeit in diesem Rahmen ist auch sachgerecht, da die Einstandspflicht des Website-Betreibers damit nicht über Gebühr beansprucht wird.
2. Übertragung des Fanpage-Urteils des Europäischen Gerichtshofs
Zwar steht eine höchstrichterliche Klärung zur Verantwortlichkeit von Verwendern von Social Plug-ins bisher aus. Das OLG Düsseldorf hat die Frage bereits dem Europäischen Gerichtshof zur Klärung vorgelegt. In dem zugrunde liegenden Verfahren ging es um die Verbraucherzentrale Nordrhein-Westfalen e.V., die von einem Online-Händler für Modeartikel verlangt, den auf dessen Website eingebetteten Social Plug-in „Gefällt mir“ von Facebook zu entfernen. Zur Begründung führte die Verbraucherzentrale unter anderem an, dass der Online-Händler durch das Social Plug-in personenbezogene Daten seiner Website-Besucher erhebt, ohne dass diese darüber aufgeklärt würden oder in die Erhebung eingewilligt hätten. Neben der Frage der Klagebefugnis der Verbraucherzentrale ging es in beiden Instanzen um die Frage, ob der Website-Betreiber für die durch das Social Plug-in initiierte Datenerhebung datenschutzrechtlich verantwortlich sein kann.
Der Vorlagebeschluss des OLG Düsseldorf erging vor dem Erlass des Fanpage-Urteils des Europäischen Gerichtshofs. Die Verantwortlichkeit des Verwenders von Social Plug-ins ist indes mit der von Betreibern öffentlicher Profile innerhalb des Netzwerks vergleichbar. Durch das Einbinden des Social Plug-ins ermöglicht der Website-Betreiber dem Plattformanbieter, personenbezogene Daten von Nutzern zu erheben, zu denen der Plattformanbieter sonst in dieser Form keinen Zugang hätte. Genauso wie der Betreiber durch sein öffentliches Profil in dem sozialen Netzwerk will der Verwender von Social Plug-ins Reichweite erzeugen und seine Tätigkeit vermarkten und wirkt so für eigene Zwecke und aus eigenem Antrieb bei der Erhebung personenbezogener Daten der Nutzer mit, die der Plattformanbieter anschließend für seinen eigenen Zwecke verwendet. Dass im Gegensatz zu Verwendern von Social Plug-ins Fanpage-Betreiber von Facebook anonyme Nutzerstatistiken zur Verfügung gestellt bekommen, die mittels Analysetools wie Facebook Insight ermittelt werden, spielt für die Beurteilung der Verantwortlichkeit keine Rolle. Für den Europäischen Gerichtshof entscheidend war allein der Umstand, dass dem sozialen Netzwerk die Möglichkeit gegeben wird, auf dem Gerät des Nutzers Cookies abzulegen und so personenbezogene Daten der besuchenden Nutzer zu erheben. Nicht entscheidend ist hingegen, ob und in welchem Umfang der Fanpage-Betreiber Nutzerstatistiken vom Plattformanbieter erhält und nutzt. Damit sind die vom Europäischen Gerichtshof aufgestellten Grundsätze zur Verantwortlichkeit von Verwendern von Social Plug-ins vergleichbar mit denen von Betreibern von öffentlichen Profilseiten in sozialen Netzwerken. Die Grundsätze des Fanpage-Urteils des Europäischen Gerichtshofs können somit auf die Vorlagefragen des OLG Düsseldorf übertragen werden.