Mit seinem heutigen Urteil bestätigt der EuGH die Anordnung des ULD Schleswig-Holstein gegen die Betreiber von Facebook-Fanpages und weist diesen eine datenschutzrechtliche Verantwortung für die Verarbeitung der Daten durch Facebook zu. Gleichzeitig stellt der EuGH fest, dass gegenüber Facebook EU-weit nationales Datenschutzrecht durch die Aufsichtsbehörden in den Mitgliedstaaten vor Geltung der EU-Datenschutzgrundverordnung (DSGVO) Anwendung fand, soweit eine entsprechende Niederlassung betrieben wurde.

Das Urteil hat zunächst einmal Folgen für alle Stellen, die Facebook-Fanpages betreiben. Diese können sich künftig nicht mehr darauf berufen, für die Datenverarbeitung insbesondere von Personen, die diese Fanpages aufrufen und dadurch von Facebook getrackt werden, datenschutzrechtlich keine Verantwortung zu haben. Laut EuGH liegt hier eine gemeinsame Verantwortung vor, so dass Unternehmen und Behörden, die Fanpages betreiben, den Nutzern ihrer Fanpage gegenüber datenschutzrechtlich in ähnlicher Weise verpflichtet wie den Nutzern einer eigenen Homepage. Sie müssen von Facebook nun sowohl die volle Transparenz über die Verarbeitung der Nutzerdaten in diesem Zusammenhang gegenüber den Fanpage-Besuchern einfordern und, insoweit diese mit geltendem Datenschutzrecht nicht vereinbar ist, Änderungen durch Facebook erwirken oder das Angebot beenden. Andernfalls kann dies im Einzelfall zu behördlichen Anordnungen ebenso wie zu der Verhängung von Bußgeldern führen, zumal die rechtmäßige Datenverarbeitung durch Facebook mit Blick auf das Setzen von Cookies oder die Speicherung der IP-Adresse des Webseitenbesuchers ohne Einwilligung betroffener Webseitenbetreiber und entsprechende Informationen überaus fraglich sind. Dies wurde zuletzt auch durch die Gerichte in Belgien bestätigt.

Die Anwendbarkeit des nationalen Rechts betrifft in der vom EuGH behandelten Sache die Rechtslage vor Inkrafttreten der DSGVO. Es bestätigt damit auch die Anwendung des nationalen Rechts durch den HmbBfDI. Dieser hatte eine Anordnung gegen Facebook wegen des Massenaustausches von Daten mit WhatsApp erlassen. Die hiergegen seitens Facebook eingelegten Rechtsbeschwerden wurden in zwei Instanzen im einstweiligen Rechtsschutzverfahren durch das VG Hamburg und das OVG Hamburg abgewiesen.

Hierzu Johannes Caspar, Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit: “Das Urteil des EuGH bestätigt unsere langjährige Rechtsauffassung zur Anwendbarkeit des nationalen Datenschutzrechts. Damit ist klar: Gerade in der Frage der Übermittlung von Daten zwischen Facebook und WhatsApp werden wir uns weiter dafür einsetzen, dass die Pläne des Facebook-Konzerns, nach Inkrafttreten der DSGVO den Datenaustausch wieder aufzunehmen und damit das Rad datenschutzrechtlich zurückzudrehen, gestoppt werden. Betreiber von Facebook-Fanpages müssen erkennen, dass sie rechtlich mit Facebook in einem Boot sitzen und sich damit ihrer datenschutzrechtlichen Verantwortung nicht weiter entziehen können. Das gilt gerade auch für die vielen öffentlichen Stellen, die in besonderer Weise an Recht und Gesetz gebunden sind. Die Aufsichtsbehörden des Bundes und der Länder werden nun entscheiden, wie das Urteil des EuGH umzusetzen ist.“