Fanpages vor dem Bundesverwaltungsgericht: Kein Fan
Das Bundesverwaltungsgericht hatte am 25.02.2016 über eine Anordnung seitens des Unabhängigen Landeszentrums für Datenschutz (ULD) zur Deaktivierung der Facebook-Fanpage eines privaten Bildungsunternehmens aus Schleswig-Holstein zu entscheiden. Kernfrage war, ob den Inhaber einer Fanpage eine datenschutzrechtliche Verantwortlichkeit trifft, sofern das Unternehmen, das die Fanpage-Infrastruktur bereitstellt, sich nicht datenschutzkonform verhält. Konkret moniert hatte das ULD die Erfassung von Nutzerdaten durch Facebook ohne entsprechende Aufklärung oder Einwilligung der Nutzer. Da das BVerwG allerdings Klärungsbedarf zu den europarechtlichen Vorgaben sah, kam es zunächst nur zu einer Vorlage an den Europäischen Gerichtshof.
Von der Anordnung zur Vorlage
Das ULD hatte die Anordnung bereits im November 2011 erlassen. Hiergegen hatte sich das Bildungsunternehmen zunächst im Widerspruchsverfahren, dann vor dem Verwaltungsgericht gewehrt. Zunächst hatte das VG Schleswig im Oktober 2013 eine Verantwortlichkeit des Fanpage-Betreibers verneint. Diesem schloss sich dann auch das OVG Schleswig in der Berufung im September 2014 an, ließ aber die Revision ausdrücklich zu. Als Reaktion auf die nun durch das BVerwG erfolgte Vorlage monierte Marit Hansen, die Datenschutzbeauftrage für Schleswig Holstein:
Nach mehr als fünf Jahren und drei Instanzen hatte ich auf klare Aussagen und einen Abschluss des Rechtsstreits gehofft. Vor dem Hintergrund, dass wir in zwei Jahren mit der Europäischen Datenschutz-Grundverordnung arbeiten werden, steht zu befürchten, dass der ursprüngliche Sachverhalt in der rechtlichen und technischen Umsetzung überholt sein wird.
Die Vorlagefragen im Detail
Das Bundesverwaltungsgericht hat folgende Fragen in Bezug auf die Datenschutz-Richtlinie 95/46/EG dem EuGH gem. Art 267 AEUV vorgelegt:
1. Ist Art. 2 Buchst. d) RL 95/46/EG dahin auszulegen, dass er Haftung und Verantwortlichkeit für Datenschutzverstöße abschließend und erschöpfend regelt oder verbleibt im Rahmen der „geeigneten Maßnahmen“ nach Art. 24 RL 95/46/EG und der „wirksamen Eingriffsbefugnisse“ nach Art. 28 Abs. 3 Spiegelstrich 2 RL 95/46/EG in mehrstufigen Informationsanbieterverhältnissen Raum für eine Verantwortlichkeit einer Stelle, die nicht i.S.d. Art. 2 Buchst. d) RL 95/46/EG für die Datenverarbeitung verantwortlich ist, bei der Auswahl eines Betreibers für sein Informationsangebot?
Auf das BDSG übertragen fragt das BVerwG hier, ob § 38 V BDSG unumgänglich eine verantwortliche Stelle iSv § 3 VII BDSG verlangt oder ob hier im Rahmen der Richtlinienspielräume auch andere „Akteure“ erfasst werden können (vgl. hierzu auch Mantz, ZD 2014, 62). Konkreter stellt sich die Frage, ob „Maßnahmen“ oder die „Untersagung“ iSd § 38 V BDSG bei der verarbeitenden Stelle iSv § 3 VII BDSG ansetzen müssen oder effektiv zu diesem Ergebnis führen.
2. Folgt aus der Pflicht der Mitgliedstaaten nach Art. 17 Abs. 2 RL 95/46/EG, bei der Datenverarbeitung im Auftrag vorzuschreiben, dass der für die Verarbeitung Verantwortliche einen ‚Auftragsverarbeiter auszuwählen hat, der hinsichtlich der für die Verarbeitung zu treffenden technischen Sicherheitsmaßnahmen und organisatorischen Vorkehrungen ausreichend Gewähr bietet‘, im Umkehrschluss, dass bei anderen Nutzungsverhältnissen, die nicht mit einer Datenverarbeitung im Auftrag i.S.d. Art. 2 Buchst. e) RL 95/46/EG verbunden sind, keine Pflicht zur sorgfältigen Auswahl besteht und auch nach nationalem Recht nicht begründet werden kann?
Hier möchte das BVerwG, wiederum auf das BDSG übertragen, wissen, ob die Verpflichtung zur sorgfältigen Auswahl des Auftragsdatenverarbeiters gem. § 11 II BDSG analogiefähig ist oder eine Sonderregelung darstellt. Als Ordnungswidrigkeit ist dies im Übrigen via § 43 I Nr. 2b BDSG auch sanktionsfähig. Relevant wird diese Frage wohl aber nur, wenn schon keine abschließende Regelung in Frage 1 durch den EuGH festgestellt wird.
3. Ist in Fällen, in denen ein außerhalb der Europäischen Union ansässiger Mutterkonzern in verschiedenen Mitgliedstaaten rechtlich selbständige Niederlassungen (Tochtergesellschaften) unterhält, nach Art. 4, Art. 28 Abs. 6 RL 95/46/EG die Kontrollstelle eines Mitgliedstaates (hier: Deutschland) zur Ausübung der nach Art. 28 Abs. 3 RL 95/46/EG übertragenen Befugnisse gegen die im eigenen Hoheitsgebiet gelegene Niederlassung auch dann befugt, wenn diese Niederlassung allein für die Förderung des Verkaufs von Werbung und sonstige Marketingmaßnahmen mit Ausrichtung auf die Einwohner dieses Mitgliedstaates zuständig ist, während der in einem anderen Mitgliedstaat (hier: Irland) gelegenen selbständigen Niederlassung (Tochtergesellschaft) nach der konzerninternen Aufgabenverteilung die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten im gesamten Gebiet der Europäischen Union und damit auch in dem anderen Mitgliedstaat (hier: Deutschland) obliegt, wenn tatsächlich die Entscheidung über die Datenverarbeitung durch den Mutterkonzern getroffen wird?
Und weiter:
4. Sind Art. 4 Abs. 1 Buchst. a), Art. 28 Abs. 3 RL 95/46/EG dahin auszulegen, dass in Fällen, in denen der für die Verarbeitung Verantwortliche eine Niederlassung im Hoheitsgebiet eines Mitgliedstaates (hier: Irland) besitzt und eine weitere, rechtlich selbständige Niederlassung in dem Hoheitsgebiet eines anderen Mitgliedstaates (hier: Deutschland) besteht, die u.a. für den Verkauf von Werbeflächen zuständig ist und deren Tätigkeit auf die Einwohner dieses Staates ausgerichtet ist, die in diesem anderen Mitgliedstaat (hier: Deutschland) zuständige Kontrollstelle Maßnahmen und Anordnungen zur Durchsetzung des Datenschutzrechts auch gegen die nach der konzerninternen Aufgaben- und Verantwortungsverteilung für die Datenverarbeitung nicht verantwortliche weitere Niederlassung (hier: in Deutschland) richten kann oder sind Maßnahmen und Anordnungen dann nur durch die Kontrollbehörde des Mitgliedstaates (hier: Irland) möglich, in dessen Hoheitsgebiet die konzernintern verantwortliche Stelle ihren Sitz hat?
Hier stellt sich die Frage, und das ist der entscheidende Unterschied zu Google v. Spain, ob bei Vorhandensein einer verkaufsfördernden sowie verarbeitenden Niederlassung im Geltungsbereich der Richtlinie, die Aufsichtsbehörde sich mit der in ihrem Zuständigkeitsbereich belegenen „nur“ verkaufsfördernden Niederlassung „begnügen“ kann oder nur die zuständige Aufsichtsbehörde im anderen Mitgliedsstaat ersuchen kann. Gerade Frage 3 lässt aber erkennen, dass das Bundesverwaltungsgericht gewisse Skepsis hinsichtlich der Entscheidungsautonomie von Facebook Ireland hat und somit eine Prüfung der faktischen und nicht gesellschaftlichen Strukturen beabsichtigt.
5. Sind Art. 4 Abs. 1 Buchst. a), Art. 28 Abs. 3 und 6 RL 95/46/EG dahin auszulegen, dass in Fällen, in denen die Kontrollbehörde eines Mitgliedstaates (hier: Deutschland) eine in ihrem Hoheitsgebiet tätige Person oder Stelle nach Art. 28 Abs. 3 RL 95/46/EG wegen der nicht sorgfältigen Auswahl eines in den Datenverarbeitungsprozess eingebundenen Dritten (hier: Facebook) in Anspruch nimmt, weil dieser Dritte gegen Datenschutzrecht verstoße, die tätig werdende Kontrollbehörde (hier: Deutschland) an die datenschutzrechtliche Beurteilung der Kontrollbehörde des anderen Mitgliedstaates, in dem der für die Datenverarbeitung verantwortliche Dritte seine Niederlassung hat (hier: Irland), in dem Sinne gebunden ist, dass sie keine hiervon abweichende rechtliche Beurteilung vornehmen darf, oder darf die tätig werdende Kontrollstelle (hier: Deutschland) die Rechtmäßigkeit der Datenverarbeitung durch den in einem anderen Mitgliedstaat (hier: Irland) niedergelassenen Dritten als Vorfrage des eigenen Tätigwerdens selbständig auf seine Rechtmäßigkeit prüfen?
Grundlage für diese Frage ist die immer wieder betonte Unabhängigkeit der datenschutzrechtlichen Aufsichtsbehörden gem. Art. 28 I RL 95/46/EG. Da die irische Aufsichtsbehörde in ihren Audits keine Datenschutzverstöße bei Facebook festgestellt hat, stellt sich hier die Frage inwiefern das ULD an diese Feststellung gebunden ist. Dies ist vermutlich auch die Frage die am ehesten durch die DSGVO und den in Art. 54a ff. vorgesehen Kohäsionsmechanismus überholt wird.
6. Soweit der tätig werdenden Kontrollstelle (hier: Deutschland) eine selbständige Überprüfung eröffnet ist: Ist Art. 28 Abs. 6 Satz 2 RL 95/46/EG dahin auszulegen, dass diese Kontrollstelle die ihr nach Art. 28 Abs. 3 RL 95/46/EG übertragenen wirksamen Einwirkungsbefugnisse gegen eine in ihrem Hoheitsgebiet niedergelassene Person oder Stelle wegen der Mitverantwortung für die Datenschutzverstöße des in einem anderen Mitgliedstaat niedergelassenen Dritten nur und erst dann ausüben darf, wenn sie zuvor die Kontrollstelle dieses anderen Mitgliedstaates (hier: Irland) um die Ausübung ihrer Befugnisse ersucht hat?
Hier geht es schließlich darum, ob auch nach den Vorgaben der noch geltenden Datenschutzrichtlinie eine gewisse Absprache der Aufsichtsbehörde erforderlich ist oder die Maxime der Unabhängigkeit gilt.
Warum ist diese Vorlage wichtig?
Die Vorlage wirft mehrere wichtige Fragen auf. Zunächst mag die Regelung der verantwortlichen Stelle in § 3 VII BDSG bzw. des für die Verarbeitung Verantwortlichen in Art. 2 d) der RL 95/46/EG rein normativ recht eindeutig sein. Sobald man sich aber die Realität der Verarbeitung sowie Auftragsverarbeitung vor Augen führt, bilden diese Konzepte, die größtenteils aus der „Steinzeit des Datenschutzes“ stammen, kaum die vernetzte Wirklichkeit ab. Der Begriff des „für die Verarbeitung Verantwortlichen“ etwa entstammt im Wesentlichen Art. 2 d) des Übereinkommen 108 des Europarats von 1981. Die DSGVO mit ihren Definitionen des „für die Verarbeitung Verantwortlichen“ in Art. 4 V sowie des „Auftragsverarbeiters“ in Art. 4 VI schafft hier keine Veränderung. Man muss sich aber im Rahmen allgegenwärtiger Vernetzung und monopolartiger Plattformen fragen, ob dieses Konzept noch forensischen sowie haftungstechnischen Kriterien gerecht wird. Sofern hier mangels juristisch-konzeptioneller Kreativität oder aufgrund verhandlungspolitischen Stillstands „business as usual“ gilt, kann man dem Bundesverwaltungsgericht nur für diese Vorlagefrage dankbar sein.
Auch die Vorlagefragen hinsichtlich der Zuständigkeit der Aufsichtsbehörde sind nach Google v. Spain sowie Weltimmo notwendige Folgefragen.
Es wurde im Laufe der Verhandlung deutlich, dass das Gericht Probleme hatte, dem Fanpage-Betreiber im Rahmen der gewöhnlichen BDSG-Normen eine Verantwortlichkeit zuzuschreiben. Andererseits wurde auch das „Unbehagen“ des Gerichts deutlich. So sprach der vorsitzende Richter wiederholt von einer Konstellation, die der strafrechtlichen „Bereitstellung von Tatgelegenheitsstrukturen“ nicht unähnlich sei. Bis auf das ULD sprachen sich allerdings alle Prozessbeteiligten, also das Bildungsunternehmen, Facebook als Beigeladene sowie der Vertreter des Bundesinteresses (gem. § 35 VwGO), gegen eine Vorlage an den EuGH aus.
Und sonst?
Ausdrücklich ausgeklammert hatte das BVerwG die Frage, ob Facebook rechtmäßig Daten verarbeitet. Das Gericht betonte weiterhin, dass die Entwicklungen im Rahmen der DSGVO bekannt seien, aber keinen Einfluss auf das Verfahren hätten. Auch die Frage, ob das ULD das zweistufige Verfahren nach § 38 V BDSG eingehalten hat, wurde nicht intensiv behandelt. Stattdessen wurde hier eine offensichtlich sinnlose Anordnung nach § 38 V S. 1 BDSG als entbehrlich erachtet.
Was bleibt?
Das Verfahren vor dem Bundesverwaltungsgericht ruht bis zur Klärung der Vorlagefragen erst einmal. Da sich zumindest in den relevanten Regelungen zur verantwortlichen Stelle sowie des Auftragverarbeiters zwischen RL 95/46/EG und DSGVO wenig bewegt, werden die Vorlagefragen wohl weiterhin Relevanz behalten. Eine Äußerung des EuGHs etwa im obiter dictum direkt zu den entsprechenden Regelungen der DSGVO wäre allerdings wünschenswert.
Hinsichtlich der Zuständigkeit sowie Abstimmung der Aufsichtsbehörden wird sich sicherlich einiges im Rahmen der DSGVO ändern, aber auch hier wird es sicher Impulse geben.
