156
Das AG Mannheim hat insoweit im Hinblick auf eine Abgrenzung zur Auftragsverarbeitung klargestellt, dass es sich bei einer solchen nur um eine datenverarbeitende Hilfsfunktion[392] handeln darf, d.h. dass „keine Leistungen erbracht werden dürfen, die über die bloße Datenverarbeitung hinausgehen“[393]. Dabei ist unerheblich, welche Bezeichnung die Beteiligten wählen. Eine Bezeichnung einer Vereinbarung als „Auftragsverarbeitungsvertrag“ ist dabei für die Annahme einer gemeinsamen Verantwortlichkeit unerheblich.[394] Entscheidend sind die tatsächlichen Umstände des jeweiligen Einzelfalls.[395]
157
Eine Checkliste für eine Abgrenzung zwischen Auftragsverarbeiter und Verantwortlichem findet sich auch in den „Guidelines on the concepts of controller, processor and joint controllership under Regulation (EU) 2018/1725“ des Europäischen Datenschutzbeauftragten (EDSB) vom 7.11.2019.[396] Für Einzelheiten wird an dieser Stelle auf die Kommentierungen zu Art. 4 Nr. 8–10 verwiesen.
4. Einzelfälle/Praxisbeispiele/Praxishinweise
158
Die datenschutzrechtliche Mitverantwortlichkeit der Betreiber von Fanpages bei Facebook ist nunmehr durch den EuGH bejaht worden.[397]
159
Im Nachgang zu der EuGH-Entscheidung veröffentlichte Facebook ein sog. Page Controller Addendum, das Rechte und Pflichten der Verantwortlichen entsprechend Art. 26 beschreibt.[398] Diese Ergänzung der Nutzungsbedingungen erfüllt die Anforderungen an eine Vereinbarung nach Art. 26 nach Meinung der Datenschutzkonferenz (DSK) jedoch nicht. Im DSK-Beschluss zu Facebook-Fanpages v. 5.9.2018 heißt es: „Ohne Vereinbarung nach Art. 26 DS-GVO ist der Betrieb einer Fanpage, wie sie derzeit von Facebook angeboten wird, rechtswidrig.“[399] Die DSK positionierte sich im April 2019 wie folgt: „Am 11. September 2018 veröffentlichte Facebook eine sog. „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ sowie „Informationen zu SeitenInsights“. Diese (…) Ergänzung (…) erfüllt nicht die Anforderungen an eine Vereinbarung nach Art. 26 DSGVO. (…) Solange diesen Pflichten nicht nachgekommen wird, ist ein datenschutzkonformer Betrieb einer Fanpage nicht möglich.“[400]
160
Das BVerwG hat die Entscheidung des EuGH zu Facebook-Fanpages[401] für den konkreten Fall befolgt und die Sache zur endgültigen Entscheidung an das OVG Schleswig verwiesen.
161
Hinzu treten die Entscheidungen des EuGH in den Rs. Jehova[402] und Fashion ID[403]. Die Art.-29-Datenschutzgruppe vertritt in ihrem WP 169 die Position, dass derjenige, der weder unter rechtlichen noch tatsächlichen Gesichtspunkten Einfluss auf die Entscheidung der Verarbeitung personenbezogener Daten hat, nicht als Verantwortlicher angesehen werden kann.[404] Dieser Auffassung ist der EuGH in Fashion ID nunmehr gefolgt.[405] In datenschutzrechtlicher Hinsicht ergeben sich aus den Urteilen weitreichende Konsequenzen für die Reichweite der Verantwortlichkeit datenverarbeitender Stellen, insbesondere für die Betreiber von Fanpages‚ und Social-Plug-Ins im Rahmen von Social Media. Durch den weiten Anwendungsbereich, den der EuGH dem Verantwortlichen und einer gemeinsamen Verantwortlichkeit einräumt, ist in praktischer Hinsicht stets eine sorgsame Prüfung erforderlich, ob anhand der vom EuGH aufgestellten Kriterien eine (gemeinsame) Verantwortlichkeit der beteiligten Akteure vorliegt oder eine Auftragsverarbeitung (vgl. dazu Rn. 155 ff. sowie insbes. die Kommentierung zu Art. 26 und Art. 28).
162
Die genannten Entscheidungen haben weitreichende Konsequenzen für die Praxis bei der Nutzung sozialer Mediendienste. Jeder datenschutzrechtlich Verantwortliche, der im weiten Sinne der Rechtsprechung über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet und dem Anwendungsbereich der DS-GVO unterfällt, darf nur dann eine Facebook-Fanpage betreiben, wenn sie mit Facebook eine Vereinbarung über die Verteilung der datenschutzrechtlichen Verpflichtungen nach Art. 26 getroffen haben. Von dieser Pflicht ausgenommen sind, soweit vorliegend von Bedeutung, lediglich natürliche Personen, die ausschließlich persönliche oder familiäre Tätigkeiten verfolgen. Die Pflicht eine solche Vereinbarung mit Facebook zu schließen, trifft damit alle öffentlichen Stellen und private Stellen, soweit sie über den persönlichen oder privaten Gebrauch hinaus soziale Netzwerke nutzen. Private und öffentliche verantwortliche Stellen sind nun in der Pflicht, datenschutzrechtlich geeignete und angemessene Strategien zur rechtskonformen Teilhabe an den Angeboten der digitalen Kommunikation vorzulegen. Das kann nur unter Mitwirkung der Anbieter der Dienste erfolgen. Diese sind hierbei nach der Rechtsprechung des BVerfG („Recht auf Vergessen I“) uneingeschränkt an die Grundrechte gebunden (mittelbare Grundrechtsbindung).[406]
163
So hat etwa Facebook im Nachgang zu der EuGH-Entscheidung ein sog. Page Controller Addendum veröffentlicht, das Rechte und Pflichten der Verantwortlichen entsprechend Art. 26 beschreibt. Dieses wurde seither auf Drängen der in Deutschland zuständigen Datenschutzbehörden zwar mehrfach überarbeitet,[407] die Ergänzung der Nutzungsbedingungen erfüllt die Anforderungen an eine Vereinbarung nach Art. 26 nach Meinung der Datenschutzkonferenz (DSK) dennoch nicht. Ein datenschutzkonformer Betrieb einer Facebook-Fanpage ist insofern der DSK zufolge aktuell nicht möglich.[408] Ebenso hat sich die LDI NRW in ihrem Tätigkeitsbericht für das Jahr 2019 positioniert.[409] Der LDI RLP hat hingegen auf seiner Website eine Muster-Datenschutzerklärung für Facebook-Fanpages zur Verfügung gestellt (Stand: 9.6.2020).[410] Die unterschiedliche Praxis der Datenschutzaufsichten, einerseits wird ein Muster für den Betrieb einer Fanpage zur Verfügung gestellt, ein anderes Mal wird impliziert von einem Verbot ausgegangen, ist für die Praxis problematisch.
164
Bis zur Vorlage einer allseits anerkannten Vereinbarung nach Art. 26, drohen Verantwortlichen datenschutzrechtliche Sanktionen durch die Datenschutzaufsichtsbehörden. Das BVerwG hat ausdrücklich darauf hingewiesen, dass Datenschutzbehörden zur möglichst zügigen und wirkungsvollen Durchsetzung eines hohen Datenschutzniveaus ermessenfehlerfrei einen Fanpagebetreiber unmittelbar für die Herstellung datenschutzkonformer Zustände bei Nutzung seiner Fanpage in die Pflicht nehmen können.[411] Die Aufsichtsbehörden müssen nicht „gegen eine der Untergliederungen oder Niederlassungen von Facebook vorgehen, weil das wegen der fehlenden Kooperationsbereitschaft von Facebook mit erheblichen tatsächlichen und rechtlichen Unsicherheiten verbunden (…) wäre.“[412] Bis zur Rechtskraft der abschließenden Entscheidung des OVG Schleswig kann eine Behörde versuchen, aus formalen Gründen unter Berufung auf die fehlende Rechtskraft im konkreten Verfahren vor dem OVG Schleswig, die Rechtswidrigkeit des Betriebs einer Facebook-Fanpage auch ohne wirksame Vereinbarung nach Art.
