1. Der EuGH hat bekannt­lich am 5. Juni 2018 in Sachen Face­book Fan­pages auf Vor­la­ge des deut­schen Bun­des­ver­wal­tungs­ge­richts ent­ge­gen der Vor­in­stan­zen ent­schie­den (Rs. C-210/16), dass der Betrei­ber einer Face­book Fan­page gemein­sam mit Face­book ver­ant­wort­lich sei, weil der Betrei­ber durch geeig­ne­te Ein­stel­lun­gen beein­flusst, wel­che Per­so­nen­da­ten Face­book von den Besu­chern der Fan­page erhebt und bear­bei­tet, u.a. um dem Betrei­ber anony­mi­sier­te Aus­wer­tun­gen zur Ver­fü­gung zu stel­len. Bri­sant ist die­ses Urteil weni­ger wegen Fan­pages, son­dern weil es den Anwen­dungs­be­reich der gemein­sa­men Ver­ant­wor­tung erheb­lich aus­wei­tet, indem es deut­lich macht,
  • dass auch eine sehr ein­ge­schränk­te Mit­be­stim­mung eines Unter­neh­mens genügt, um eine gemein­sa­me Ver­ant­wor­tung zu begrün­den (denn „gemein­sam“ heisst nicht „gleich­wer­tig“), und
  • dass auch der­je­ni­ge eine gemein­sa­me Ver­ant­wor­tung haben kann, der auf die betref­fen­den Per­so­nen­da­ten gar kei­nen Zugriff hat und sie selbst auch nicht unbe­dingt bear­bei­tet (solan­ge er nur die Zwecke oder Mit­tel der Ver­ar­bei­tung beein­flusst). Das ist bspw. bei gemein­sam genutz­ten, aber man­dan­ten­ge­trenn­ten Syste­men im Kon­zern rele­vant.

In der Pra­xis wirft das die Fra­ge auf, wel­cher Platz für getrenn­te Ver­ant­wor­tung und Auf­trags­be­ar­bei­tungs­ver­hält­nis­se über­haupt noch bleibt, zusam­men mit einer Rei­he von Fol­ge­fra­gen (z.B.: Kann ein schwei­ze­ri­sches Unter­neh­men gemein­sam ver­ant­wort­lich i.S.d. DSGVO sein, wenn es der DSGVO an sich nicht unter­steht [wohl nein; ande­rer­seits ist nach dem Urteil des EuGH eine eige­ne Daten­be­ar­bei­tung – für die eine Anwend­bar­keit der DSGVO zu prü­fen wäre – offen­bar nicht erfor­der­lich]; ist der Daten­aus­tausch zwi­schen gemein­sam Ver­ant­wort­li­chen pri­vi­le­giert, so dass eine geson­der­te Rechts­grund­la­ge für den Aus­tausch nicht erfor­der­lich ist; wie sind Ver­ein­ba­run­gen zwi­schen den g.V. i.S.v. Art. 26 DSGVO aus­zu­ge­stal­ten; was ist in dies­be­züg­lich in Daten­schutz­er­klä­run­gen fest­zu­hal­ten [sinn­voll ist z.B. ein Link auf der Fan­page auf eine Daten­schutz­er­klä­rung, in der das The­ma Fan­pages so gut wie mög­lich abge­deckt wird]; wie ist die gemein­sa­me Ver­ant­wort­lich­keit in kon­zern­in­ter­ne Daten­aus­tausch­ver­trä­gen abzu­bil­den usw.).

Die deut­sche Daten­schutz­kon­fe­renz hat am 5. Sep­tem­ber 2018 dar­auf­hin einen Beschluss gefasst:

Ohne Ver­ein­ba­rung nach Art. 26 DSGVO ist der Betrieb einer Fan­page, wie sie der­zeit von Face­book ange­bo­ten wird, rechts­wid­rig. Daher for­dert die DSK, dass nun die Anfor­de­run­gen des Daten­schutz­rechts beim Betrieb von Fan­pages erfüllt wer­den. Dazu gehört ins­be­son­de­re, dass die gemein­sam Ver­ant­wort­li­chen Klar­heit über die der­zei­ti­ge Sach­la­ge schaf­fen und die erfor­der­li­chen Infor­ma­tio­nen den betrof­fe­nen Per­so­nen (= Besu­che­rin­nen und Besu­cher der Fan­page) bereit­stel­len.
Eine gemein­sa­me Ver­ant­wort­lich­keit bedeu­tet aller­dings auch, dass Fan­page-Betrei­be­rin­nen und Betrei­ber (unab­hän­gig davon, ob es sich um öffent­li­che oder nicht-öffent­li­che Ver­ant­wort­li­che han­delt) die Recht­mä­ßig­keit der gemein­sam zu ver­ant­wor­ten­den Daten­ver­ar­bei­tung gewähr­lei­sten und dies nach­wei­sen kön­nen. Zudem kön­nen Betrof­fe­ne ihre Rech­te aus der DSGVO bei und gegen­über jedem Ver­ant­wort­li­chen gel­tend machen (Art. 26 Abs. 3 DSGVO).
Ins­be­son­de­re die im Anhang auf­ge­führ­ten Fra­gen müs­sen des­halb sowohl von Face­book als auch und von Fan­page-Betrei­be­rin­nen und Betrei­bern beant­wor­tet wer­den kön­nen.

Face­book hat nun, am 11. Sep­tem­ber 2018, bereits eine unter Zeit­druck ent­stan­de­ne Ver­ein­ba­rung i.S.v. Art. 26 DSGVO vor­ge­legt („Page Insights Con­trol­ler Adden­dum“), u.a. mit fol­gen­dem Inhalt:

Face­book Ire­land Limi­ted (“Face­book Ire­land”) an you are joint con­trol­lers for the pro­ces­sing of Insights Data.

[…] Face­book Ire­land agrees to take pri­ma­ry respon­si­bi­li­ty under the GDPR for the pro­ces­sing of Insights Data and to com­ply with all app­li­ca­ble obli­ga­ti­ons under GDPR with respect to the pro­ces­sing of Insights Data […]. Face­book Ire­land will also make the essence of this Page Insights Adden­dum avail­ab­le to data sub­jects.

[…] You agree that only Face­book Ire­land may take and imple­ment deci­si­ons about the pro­ces­sing of Insights Data.

Face­book Ire­land deci­des in its sole dis­cre­ti­on how to com­ply with its obli­ga­ti­ons under this Page Insights Adden­dum. […]
[…]

If you are con­tac­ted by data sub­jects or a super­vi­so­ry aut­ho­ri­ty under the GDPR with regard to the pro­ces­sing of Insights Data and the obli­ga­ti­ons assu­med by Face­book Ire­land under this Page Insights Adden­dum (each a “Request”), you will for­ward all rele­vant infor­ma­ti­on to us prompt­ly but wit­hin a maxi­mum of 7 calen­dar days.

[…] You agree to take all rea­son­ab­le endea­vours in a time­ly man­ner to coope­ra­te with us in ans­we­ring any such Request. […].
[…]

Die Über­nah­me der Haupt­ver­ant­wor­tung durch Face­book stellt für Sei­ten­be­trei­ber zwei­fel­los eine Ent­la­stung dar. Sie zeigt auch noch­mals, dass eine gemein­sa­me Ver­ant­wor­tung kei­nes­wegs eine Ver­ant­wor­tung zu glei­chen Tei­len sein muss. Den­noch ist Fan­sei­ten-Betrei­bern zu emp­feh­len, wei­ter­hin auf ihre eige­ne Daten­schutz­er­klä­rung zu ver­wei­sen und dort z.B. auf die Rechts­grund­la­ge für die Ver­wen­dung der Fan­page zu ver­wei­sen (z.B. auf ihr berech­tig­tes Inter­es­se).

Posted by David Vasella

RA Dr. David Vasella ist Rechtsanwalt bei FRORIEP. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert und ist Lehrbeauftragter der Universität Zürich. Er ist Gründer von swissblawg.