Datenschutz HubRechtsprechung

EuGH, Urt. v. 05.06.2018, C-210/16, Wirtschaftsakademie Schleswig-Holstein

Der Betreiber einer Facebook-Fanpage ist mit dem Netzwerk gemeinsam für die Verarbeitung der Besucherdaten verantwortlich. Leitentscheidung zur weiten Auslegung der gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO.

Als Markdown ansehen

Der EuGH (Große Kammer) hat entschieden, dass der Betreiber einer Facebook-Fanpage gemeinsam mit dem Netzwerk für die Verarbeitung der Besucherdaten verantwortlich ist. Die Entscheidung erging noch zur früheren Datenschutz-Richtlinie 95/46/EG, ihre Grundsätze gelten aber für Art. 26 DSGVO fort.

1. Sachverhalt

Die Wirtschaftsakademie Schleswig-Holstein, ein privater Bildungsträger, betrieb eine Fanpage im sozialen Netzwerk Facebook. Beim Aufruf der Seite erhob Facebook über Cookies Daten der Besucher, auch solcher ohne eigenes Facebook-Konto, und stellte dem Betreiber daraus anonymisierte Nutzungsstatistiken bereit. Die zuständige Aufsichtsbehörde, das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein, gab der Wirtschaftsakademie auf, die Fanpage zu deaktivieren, weil die Besucher über die Datenerhebung nicht informiert wurden. Streitig war, ob der Fanpage-Betreiber für diese Verarbeitung mitverantwortlich war.

2. Entscheidung

2.1 Gemeinsame Verantwortlichkeit des Fanpage-Betreibers

Der Gerichtshof hat den Fanpage-Betreiber als gemeinsam Verantwortlichen mit dem Netzwerk eingestuft. Durch das Einrichten der Seite ermöglicht der Betreiber dem Netzwerk die Erhebung der Besucherdaten. Zugleich wirkt er an der Festlegung der Mittel mit, weil er über die Parametrierung der Statistikfunktionen mitbestimmt, deren Erhebung er veranlasst und zu seinem Vorteil nutzt.

2.2 Keine gleichwertige Beteiligung, kein Datenzugang erforderlich

Eine gemeinsame Verantwortlichkeit setzt nicht voraus, dass alle Beteiligten gleichermaßen über die Verarbeitung entscheiden. Die Verantwortlichkeit kann unterschiedlich ausgeprägt sein. Unerheblich ist auch, dass der Fanpage-Betreiber nur anonymisierte Statistiken erhält und keinen Zugang zu den personenbezogenen Rohdaten hat. Maßgeblich ist die Einflussnahme auf die Verarbeitung, nicht der Zugriff auf die Daten.

3. Bedeutung für die Praxis

Das Urteil ist die Leitentscheidung zur weiten Auslegung der gemeinsamen Verantwortlichkeit:

  • Wer durch eigene Entscheidungen die Datenverarbeitung eines anderen ermöglicht und beeinflusst, kann gemeinsam Verantwortlicher sein.
  • Eine gleichwertige Beteiligung ist nicht erforderlich; die Beiträge können unterschiedlich gewichtet sein.
  • Ein Zugriff auf die Daten ist keine Voraussetzung der Verantwortlichkeit.
  • Die Wertungen reichen über Fanpages hinaus auf andere Formen technisch verkoppelter Verarbeitung (etwa eingebundene Tools und Plugins).

Gemeinsam Verantwortliche (Art. 26 DSGVO)

Voraussetzungen der gemeinsamen Verantwortlichkeit und die Vereinbarung über die Pflichtenverteilung.

EuGH, Fashion ID (C-40/17)

Gemeinsame Verantwortlichkeit bei der Einbindung von Social-Plugins, begrenzt auf die einzelnen Verarbeitungsphasen.

Über den Autor

Über den Autor

Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

LAG Hamm, Urt. v. 06.10.2022, 18 Sa 271/22

Lohnabrechnung und Personalverwaltung für rund 80 Beschäftigte sind keine Kerntätigkeit im Sinne des Art. 37 Abs. 1 lit. b DSGVO; ein freiwillig benannter Datenschutzbeauftragter genießt keinen Sonderkündigungsschutz nach § 6 Abs. 4 BDSG.

EuGH, Urt. v. 16.07.2020, C-311/18, Schrems II

Der EuGH erklärt den EU-US Privacy Shield für ungültig und bestätigt die Standardvertragsklauseln nur unter der Bedingung, dass der Datenexporteur zusätzlich prüft, ob im Drittland ein gleichwertiges Schutzniveau gewahrt wird. Grundlage der Pflicht zum Transfer Impact Assessment.

Auf dieser Seite

1. Sachverhalt2. Entscheidung2.1 Gemeinsame Verantwortlichkeit des Fanpage-Betreibers2.2 Keine gleichwertige Beteiligung, kein Datenzugang erforderlich3. Bedeutung für die Praxis