Störerhaftung jetzt auch im Datenschutzrecht?
Der Europäische Gerichtshof (EuGH) hat vor einigen Wochen (Urteil vom 05.06.2018, Az.: C-210/16) entschieden, dass der Betreiber einer Facebook-Fanpage (neben Facebook) als datenschutzrechtlich Verantwortlicher zu betrachten ist. Der EuGH macht zunächst deutlich, dass er eine weite Definition des Begriffs des „Verantwortlichen“ präferiert, um einen wirksamen und umfassenden Schutz der betroffenen Personen zu gewährleisten. Der Betreiber einer Fanpage beteiligt sich durch die Unterhaltung der Fanseite an der Datenverarbeitung und ist daher gemeinsam mit Facebook Irland als für diese Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 einzustufen. Die Entscheidung wird, jedenfalls was die Frage des Verantwortlichen angeht, auch auf die DSGVO Anwendung finden.
Es ist nach dieser Lesart also keinesfalls so, dass der Verantwortliche, was der englische Begriff des Controllers nahelegen würde, den Prozess der Datenverarbeitung steuern und kontrollieren muss. Vielmehr genügt auch ein (untergeordneter) Beitrag, um zum gemeinsamen Verantwortlichen zu werden. Damit hat der EuGH eine Art Störerhaftung im Bereich des Datenschutzes geschaffen, die es ermöglicht, nahezu beliebige (kausale) Beiträge als verantwortungsbegründend zu qualifizieren.
Insoweit verbleibt aber die dogmatische und auch rechtspolitische Frage, ob es wirklich sachgerecht ist, neben dem Hauptverantwortlichen, der den Datenverarbeitungsvorgang tatsächlich steuert und kontrolliert, jeden als Verantwortlichen zu begreifen, der einen Beitrag zu einer (fremden) Datenverarbeitung leistet. Der EuGH betont in seiner Entscheidung zwar, dass die bloße Nutzung eines sozialen Netzwerks nicht ausreichend sein soll, um den Nutzer zum Mitverantwortlichen zu machen. Konsequent erscheint diese Einschränkung im Lichte der weiten Auslegung des EuGH aber nicht. Denn wer als Nutzer Inhalte postet – und nichts anderes macht der Betreiber einer Fanseite am Ende auch – trägt dazu bei, dass Facebook das Verhalten anderer Nutzer, die die geposteten Inhalte lesen oder betrachten, auswerten kann. Mithin leistet man nach der Logik des EuGH also bereits durch das bloße Einstellen von Inhalten in ein soziales Netzwerk einen kausalen Beitrag für eine sich anschließende Datenverarbeitung von Facebook. Diese Konsequenz will der EuGH freilich nicht ziehen, weil man damit jeden Nutzer eines sozialen Netzwerks als Verantwortlichen einstufen müsste.
Es zeigt sich auch hier wieder etwas, was man seit Jahren beobachten kann. Die konsistente Anwendung des Datenschutzrechts würde die Nutzung des Internets wie wir es kennen und wie es von einer Mehrzahl der Menschen genutzt wird, deutlich beeinträchtigen. Weil aber weder der Gesetzgeber noch die Gerichte diese Konsequenz ziehen wollen, kommt es immer wieder zu widersprüchlichen datenschutzrechtlichen Schlussfolgerungen, die zu Rechtsunsicherheit führen.
Es geht mit kleinen Schritten, aber offenbar beständig und mit Vorsatz, in Richtung Selbstzensur (poste ich, ja dann bin ich Verarbeiter, poste ich nicht, dann ist es aus mit der Meinungsäußerung). Angesichts anderer Eingriffe (z.B. Leistungsschutzrecht) soll allmählich eine undurchdringliche Decke des Schweigens und des Abwürgens von Kritik zusammengefrickelt werden. Die völlige Intransparenz des Japanisch-Europäischen Handelsabkommens, von TTIP und CETA, deren Verhandlungen im Vorfeld geheim gehalten wurden, sind ein weiterer Hinweis darauf, dass hier massiv die Kritikmöglichkeiten des Bürgers eingeschränkt werden sollen. Aber das will natürlich niemand der Brüsseler Eurokrakie. Jedoch: „Wenn es ernst wird, muss man lügen.“ J.C.Juncker
Comment by Non Nomen — 7.07, 2018 @ 16:05
Danke für Ihre Einschätzung. Mein erster Gedanke bei dem Urteil war auch eine Wiedereinführung der Störerhaftung. Und wieder als Richterrecht ohne Parlament. Würde man der Logik folgen, wäre ein Strassenbenutzer als Störer haftbar, wenn bei der Benutzung der Brücke diese wegen mangelhafter Wartung des Strassenbetreibers einstürzt, weil er eben diese Straße nutzt und beim Brückeneinsturz Dritte zu Schaden kommen. Eine unsinnige Logik und wir werden wieder Jahre vertrödeln, bis auch hier die Störerhaftung wieder wegfällt.
Comment by Wolfgang Ksoll — 7.07, 2018 @ 16:46
Es ist richtig, dass jemand, der facebook-Inhalte erstellt, Menschen animiert, sie anzusehen, zu liken, sich zu beteiligen – nicht einfach alle Verantwortung auf facebook abwälzen kann. Nur kann niemand sagen, wie diese Verantwortung denn konkret aussieht. Der Seitenbetreiber sieht doch überhaupt keine personenbezogenen Daten – außer von „Freunden“. Wäre also „Nicht befreunden“ eine Möglichkeit, diese Verantwortung wahrzunenehmen? Keine Aussage.
Sollten die Datenschutzbehörden nicht den Usern und Seitenbetreibern den Rücken stärken und technische Möglichkeiten der Kontrolle vorschlagen und fordern?
In der ganzen Diskussion um fb aber auch die DSGVO insgesamt kommt die Eigenverantwortung der Nutzer oft viel zu kurz. wer auf fb Nutzer ist, hat in die Bedingungen eingewilligt und (idealerweise) seine Privacy-Settings eingestellt. Wer mit einer Seite nicht assoziiert werden will, soll sie nicht liken. Wer nicht über Cookies getrackt werden will, soll seinen Browser so einstellen, dass Cookies beim Beenden gelöscht werden. Das kann kein Seitenbetreiber für den User machen. Zumal immer nur die betroffen sind, die sich an die Regeln -auch in strenger Auslegung- halten wollen. laxere Naturen machen weiter wie bisher, wohlwissend, dass die Datenschützer mit ihren Forderungen erstmal vor Gericht durchkommen müssen.
Comment by mattiscb — 9.07, 2018 @ 10:56
ja und wer glaubt das, coockies am Ende der Sitzung löschen, ein tracking verhindert, der hat es ja auch nicht besser verdient.
Comment by Troll — 9.07, 2018 @ 13:55