Der EuGH bestätigte heute in seinem Urteil C-210/16 Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein / Wirtschaftsakademie Schleswig-Holstein GmbH, dass: „nicht in Zweifel gezogen wird, dass die amerikanische Gesellschaft Facebook und, was die Union betrifft, deren irische Tochtergesellschaft Facebook Ireland als „für die Verarbeitung“ der personenbezogenen Daten der Facebook-Nutzer und der Personen, die die auf Facebook unterhaltenen Fanpages besucht haben, „Verantwortliche“ anzusehen sind. Denn diese Gesellschaften entscheiden in erster Linie über die Zwecke und Mittel der Verarbeitung dieser Daten“.

Der EuGH stellt ferner fest, dass eine gemeinsame Verantwortlichkeit für die fragliche Datenverarbeitung besteht, wenn ein Betreiber, wie die Wirtschaftsakademie, Facebook Irland für die Datenverarbeitung verantwortlich ist.

Der Betreiber ist nämlich für sein Zielpublikum, den Zielen der Steuerung und Förderung seiner Tätigkeit an den Entscheidungen über Zweck und Mittel der Verarbeitung der personenbezogenen Daten der Besucher der Fanpage beteiligt. Hinzu kommt, dass der Fernpagebetreiber demographische Daten über seine Zielgruppe verlangen kann.

Der EuGH betont ferner: „dass die Anerkennung einer gemeinsamen Verantwortlichkeit des Betreibers des sozialen Netzwerks und des Betreibers einer bei diesem Netzwerk unterhaltenen Fanpage im Zusammenhang mit der Verarbeitung personenbezogener Daten der Besucher dieser Fanpage dazu beiträgt, entsprechend den Anforderungen der Richtlinie 95/46 einen umfassenderen Schutz der Rechte sicherzustellen, über die die Personen verfügen, die eine Fanpage besuchen. Des Weiteren stellt der Gerichtshof fest, dass das Unabhängige Landeszentrum zuständig war, zur Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten im deutschen Hoheitsgebiet von sämtlichen Befugnissen, über die es nach den deutschen Bestimmungen zur Umsetzung der Richtlinie 95/46 verfügt, nicht nur gegenüber der Wirtschaftsakademie, sondern auch gegenüber Facebook Germany Gebrauch zu machen.“.

Folgen dieses Urteils:

Mit dem Urteil wurde klargestellt, dass insbesondere Facebook und andere soziale Medien Auftragsdatenverarbeiter für die jeweiligen Nutzer sind. Das erlaubt zukünftig den Betroffenen nach Art. 82 DSGVO Schadensersatz zu verlangen. Die Besonderheit dieser Norm besteht darin, dass sie eine sogenannte Gesamtschuldnerschaft des Verarbeiters und dessen Hilfsperson, hier Facebook, als Auftragsdatenverarbeiter normiert wird. Gesamtschuldnerschaft erlaubt es dem Gläubiger, damit dem Verbraucher, gleichzeitig den Verarbeiter und dessen Auftragnehmer in die Haftung zu nehmen. Er kann ebenfalls nur einen der beiden in die Haftung nehmen, welche dann im Nachgang im in Ausgleich sehen müssen, wer letzten Endes für den Schaden verantwortlich ist. Der Innenausgleich wird durch Art. 82 Abs. 2 und Abs. 3 DSGVO geregelt. In den im Ergebnis kann sich derjenige enthaften, der nachweisen kann die datenschutzrechtlichen Regelungen beachtet zu haben. Dieses Urteil bestätigt nunmehr die bislang nur theoretisch angenommenen Möglichkeiten aus der DSGVO.