Öffentliche Stelle in den Sozialen Medien

3. Datenschutzrechtliche Rahmenbedingungen und Implikationen

Bei der Nutzung von Sozialen Medien durch öffentliche Stellen sind insbesondere die datenschutzrechtlichen Rahmenbedingungen und Implikationen zu klären. Diese sind dafür entscheidend, ob Soziale Medien beziehungsweise einzelne Anwendungen überhaupt als Mittel zur Öffentlichkeitsarbeit und Informationstätigkeit öffentlicher Stellen eingesetzt werden dürfen und wenn dies bejaht wird, welche datenschutzrechtlichen Rahmenbedingungen für die Nutzung gelten. Für die Praxis ist die Klärung dieser Fragen von Bedeutung, da das Datenschutzrecht omnipräsent zu sein scheint, aber gleichzeitig Unsicherheiten bei den Anwenderinnen und Anwendern damit verbunden sind.74

74 Siehe Befragung von Bitkom, bei der die Rechtsunsicherheit als größte Herausforderung im Zusammenhang mit der DSGVO genannt wird: Bitkom, Welches sind die größten Herausforderungen bei der Umsetzung der DS-GVO?, https://de.statista.com(...)deutschland/.

3.1. Datenschutzrechtliche Vorüberlegungen

Damit eine umfassende Betrachtung der datenschutzrechtlichen Rahmenbedingungen erfolgen kann, sind Vorüberlegungen anzustellen, wie sich das gegenwärtige Datenschutzrecht entwickelt hat und welche Aspekte bei der Entwicklung maßgeblich waren. Daneben ist zu klären, was unter personenbezogene Daten im Sinne des Datenschutzrechts zu verstehen ist.

3.1.1. Entstehung und Entwicklung des Datenschutzrechts

Im nationalen Recht ist der Ursprung des Datenschutzrechts in Hessen zu finden. Hier wurde am 30. September 1970 weltweit das erste Datenschutzgesetz verabschiedet. 1977 zog der Bund mit dem ersten Bundesdatenschutzgesetz nach. In beiden Fällen ist die Entstehung demnach auf legislative Initiativen zurückzuführen.75 Die Gesetzgeber wurden maßgeblich vom Gedanken der automatisierten Prozesse und den damit einhergehenden Folgen geleitet. Sie erkannten die Gefahren für den Einzelnen hinsichtlich sozialer, politischer und wirtschaftlicher Diskriminierung, die mithilfe der Gesetze verhindert werden sollten.76 In den darauffolgenden Jahren wurde das deutsche Datenschutzrecht maßgeblich weiterentwickelt und bekam durch das Volkszählungsurteil des Bundesverfassungsgerichts vom 15. Dezember 1983 ein erhebliches Mehrgewicht.77 Das Bundesverfassungsgericht äußerte sich anschließend in weiteren Entscheidungen zum Datenschutzrecht und bildet dieses bis dato fort.78

Konkret schuf das Bundesverfassungsgericht das Recht auf informationelle Selbstbestimmung und das Recht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme.79 Beide Rechtsfortbildungen werden dem allgemeinen Persönlichkeitsrecht aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG zugeordnet.80 Sie haben damit eine wesentliche verfassungsrechtliche Bedeutung und werden als Grundrechte eingestuft, die elementar für die freiheitliche Demokratie sind.81 Im Kern geht es bei beiden Grundrechten um die freie Entfaltung der Persönlichkeit, die insbesondere durch die Verarbeitung personenbezogener Daten gefährdet werden kann. Der Schutzbereich des Rechts auf informationelle Selbstbestimmung umfasst Informationen über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person mittels automatisierter Daten oder jede andere Form der Erhebung, Speicherung, Verwendung, Weitergabe oder Veröffentlichung von Daten und Information einer bestimmten oder bestimmbaren Person.82

Kerngedanke des deutschen Datenschutzrechts ist zusammengefasst die Privatsphäre des Einzelnen vor der Informationsmacht des Staates aber auch vor der Informationsmacht der Privatwirtschaft zu schützen. Die ersten Landesdatenschutzgesetze richteten sich jedoch nur an staatliche Stellen. Erst mit dem Bundesdatenschutzgesetz aus dem Jahr 1977 wurde der Geltungsbereich auf die Privatwirtschaft erweitert.83 Auch die vom Bundesverfassungsgericht geschaffenen Grundrechte sind zunächst klassische Abwehrrechte gegen den Staat, wobei diese aufgrund der mittelbaren Drittwirkung auch eine Schutzwirkung gegen Private entfalten. Geleitet wurde die Entwicklung des Datenschutzrechts in Deutschland von den grundlegenden Prinzipien der Erforderlichkeit, Zweckbindung, Transparenz, Datenminimierung und Kontrolle.84

Im internationalen Bereich gibt es diverse Rechtsquellen, in denen das Datenschutzrecht entwickelt wurde. So lassen sich mit Art. 7 GRCh, das Recht auf Privatleben, Art. 8 GRCh, das Recht auf Schutz personenbezogener Daten, und Art. 8 EMRK, das Recht auf Achtung des Privat- und Familienlebens, Normen mit datenschutzrechtlichen Bezügen in völkerrechtlichen Verträgen beziehungsweise im europäischen Primärrecht finden. Maßgeblich in der internationalen Entwicklung dürfte Art. 8 EMRK sein. Aus dieser Norm leitet der Europäische Gerichtshof für Menschenrechte seit 1970 Schutzrechte in Bezug auf personenbezogene Daten ab.85 1981 beschloss sodann der Europarat die Datenschutzkonvention86, die wiederum 1985 in Deutschland ratifiziert wurde87. Wesentlicher Inhalt ist gemäß Art. 1 Datenschutzkonvention die Sicherstellung des Rechts auf einen Persönlichkeitsbereich bei der automatisierten Verarbeitung personenbezogener Daten. Konkret werden bereits 1981 in Art. 5 Datenschutzkonvention die Datenschutzgrundsätze Rechtmäßigkeit, Zweckbindung, Erforderlichkeit und Richtigkeit benannt, die das Datenschutzrecht bis dato prägen.

Mit Inkrafttreten der Grundrechtscharta im Jahr 2009 entfaltete Art. 8 GRCh Rechtswirkung, wobei der EuGH schon wesentlich früher das Grundrecht auf Datenschutz materiell in seiner Rechtsprechung verwendete.88 Art. 8 GRCh dürfte fortan für das Datenschutzrecht wesentlich gewesen sein, da es sich hier um ein ausdrückliches Datenschutzgrundrecht handelt.89 Inhaltlich korrespondierend zu Art. 8 GRCh enthält Art. 16 AEUV ebenfalls datenschutzrechtliche Bestimmungen. Zudem schafft Art. 16 Abs. 1 S. 1 AEUV eine Gesetzgebungskompetenz für die Europäische Union,90 sodass auf dieser Grundlage ausdrücklich supranationale datenschutzrechtliche Regelungen erlassen werden können, auf denen letztendlich die DSGVO beruht. Vor Inkrafttreten der DSGVO waren im europäischen Sekundärrecht insbesondere die Datenschutz-Richtlinie91 und die ePrivacy-Richtlinie92 von Bedeutung. Wichtige Neuerungen bei der Datenschutz-Richtlinie waren unter anderem das Transparenzprinzip sowie das Recht auf Löschung und Berichtigung.93 Im Mai 2018 trat dann die DSGVO in Kraft. Die DSGVO entfaltet aufgrund des Rechtsaktes Verordnung gemäß Art. 288 AEUV eine unmittelbare Wirkung in den Mitgliedsstaaten. Sie konstatiert im Wesentlichen den Kern der davor geltenden Datenschutz-Richtlinie, enthält aber auch bedeutende Neuerungen wie beispielsweise erweiterte Transparenzpflichten, Präzisierungen von Betroffenenrechten, Meldepflichten bei Datenschutzverstößen oder den Grundsatz privacy by design.94 In Art. 5 Abs. 1 DSGVO sind die Grundsätze für die Verarbeitung personenbezogener Daten verankert, die gegenwärtig das Datenschutzrecht prägen. Im Einzelnen sind dies folgende Prinzipien:

 • Rechtmäßigkeit der Verarbeitung,

 • Verarbeitung nach Treu und Glauben,

 • Transparenz,

 • Zweckbindung,

 • Datenminimierung,

 • Richtigkeit,

 • Speicherbegrenzung beziehungsweise Erforderlichkeit sowie

 • Integrität und Vertraulichkeit.

3.1.2. Personenbezogenes Datum

Elementar für die Anwendung des Datenschutzrechts ist die Definition des Begriffs personenbezogenes Datum. Denn hierüber wird sowohl der sachliche Anwendungsbereich der DSGVO gemäß Art. 2 Abs. 1 DSGVO definiert als auch die Betroffenheit des Schutzbereichs des Grundrechts auf informationelle Selbstbestimmung nach Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG sowie den vergleichbaren Grundrechten auf supranationaler oder völkerrechtlicher Ebene. Art. 4 Nr. 1 DSGVO enthält eine Legaldefinition. Demnach sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Neben diesem Auszug wird in Art. 4 Nr. 1 DSGVO weiter konkretisiert, wann eine natürliche Person als identifizierbar angesehen wird. Diese Definition ist sehr weit gefasst und hat einen niedrigschwelligen Ansatz.95 So sind zunächst nahezu alle Informationen grundsätzlich erfasst, auch wenn sie nicht unmittelbar beziehungsweise keinen offensichtlichen Bezug zu einer Person haben.96 Demnach gibt es kein belangloses Datum.97 Einzig absolute Sachdaten wie die Einwohnerzahl einer Stadt, sind hiervon nicht erfasst.98 Im nationalen Kontext wird eine vergleichbare Definition verwendet. Hiernach umfasst das Grundrecht auf informationelle Selbstbestimmung jede Verarbeitung von persönlichen, das heißt individualisierten oder individualisierbaren Informationen.99

Vorliegend dürften insbesondere Online-Kennungen von Relevanz sein. Online-Kennungen sind beispielsweise IP- und MAC-Adressen oder auch Cookie-IDs. Dies sind zwar keine Daten, mit denen Personen stets identifiziert werden können, jedoch ermöglichen sie die Identifizierbarkeit, sobald weitere Informationen zur Verfügung stehen und diese den personenbezogenen Daten und damit natürlichen Personen zugeordnet werden.100 Diese Auffassung folgt der relativen Betrachtungsweise des Personenbezugs mit objektiven Elementen.101

KURZ UND KNAPP

Ein Großteil der Informationen, die im Internet technisch ausgetauscht oder erhoben werden, sind als personenbezogene Daten im datenschutzrechtlichen Sinne einzustufen.

3.1.3. Zwischenergebnis

Die nationale und europäische Entwicklung zeigt, dass das Datenschutzrecht erhebliche Schutzziele verfolgt. Dennoch muss festgestellt werden, dass die technischen Entwicklungen so rasant voranschreiten, dass das Recht stets unter Reflexion der technischen Neuerungen angepasst werden muss. Ungeachtet dessen sind die zentralen Aspekte des Datenschutzrechts sowohl vom Gesetzgeber als auch von der Rechtsprechung anerkannt und bilden damit seit Entstehung des Datenschutzrechts die Grundlage für die Rechtsanwendung und -fortentwicklung.

75 Simitis, Hornung, Spiecker, Datenschutzrecht, Einleitung Rn. 1 ff. 76 Simitis, Hornung, Spiecker, Datenschutzrecht, Einleitung Rn. 9 f. 77 BVerfGE 65, 1. 78 BVerfGE 100, 313; BVerfGE 115, 320; BVerfGE 120, 274; BVerfGE 125, 260. 79 Schmidt in: Taeger, Gabel, DSGVO – BDSG, Art. 1 DSGVO Rn. 25 ff. 80 Bretthauer in: Specht, Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, § 2 Rn. 4 ff. 81 Simitis, Hornung, Spiecker, Datenschutzrecht, Einleitung Rn. 31. 82 Dreier in: Dreier, Bauer, Grundgesetz, Art. 2 I Rn. 79 ff. 83 Kitzinger in: Schläger, Thode, Handbuch Datenschutz und IT-Sicherheit, Teil A Nr. 1.1 Rn. 26 f. 84 Bretthauer in: Specht, Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, § 2 Rn. 47. 85 Albrecht, Jotzo, Das neue Datenschutzrecht, Teil 1 Rn. 1. 86 Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Konvention Nr. 108). 87 BGBl. 1985 II 539. 88 Schiedermair in: Simitis, Hornung, Spiecker, Datenschutzrecht, Einleitung Rn. 169. 89 Kitzinger in: Schläger, Thode, Handbuch Datenschutz und IT-Sicherheit, Teil A Nr. 1.1 Rn. 38. 90 Kingreen in: Calliess, Ruffert, EUV / AEUV, AEUV, Art. 16 Rn. 4. 91 Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr vom 24. Oktober 1995 (EG-DSRL). 92 Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation vom 12. Juli 2002 (ePrivacy-Richtlinie). 93 Kitzinger in: Schläger, Thode, Handbuch Datenschutz und IT-Sicherheit, Teil A Nr. 1.1 Rn. 49. 94 Hornung, Spiecker in: Simitis, Hornung, Spiecker, Datenschutzrecht, Einleitung Rn. 212 f. 95 Eßer in: Auernhammer, DSGVO BDSG, Art. 4 DSGVO Rn. 7. 96 Mantz, Marosi in: Specht, Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, § 3 Rn. 11. 97 BVerfGE 65, 1, 45. 98 Eßer in: Auernhammer, DSGVO BDSG, Art. 4 DSGVO Rn. 9. 99 Di Fabio in: Maunz, Dürig, Grundgesetz-Kommentar, Art. 2 Rn. 176. 100 Arning, Rothkegel in: Taeger, Gabel, DSGVO – BDSG, Art. 4 DSGVO Rn. 27 oder auch Karg in: Simitis, Hornung, Spiecker, Datenschutzrecht, Art. 4 Nr. 1 Rn. 57. 101 Arning, Rothkegel in: Taeger, Gabel, DSGVO – BDSG, Art. 4 DSGVO Rn. 34 f.

3.2. Rechtsgrundlagen für die Datenverarbeitung

Wie oben skizziert bestehen im Datenschutzrecht unterschiedliche Rechtsgrundlagen. Daher ist zu klären, welche Rechtgrundlagen grundsätzlich für öffentliche Stellen im Bereich der Nutzung Sozialer Medien einschlägig sein könnten und wie diese im Verhältnis zueinanderstehen.

Um die Rechtsgrundlagen zu benennen, ist an den Kern der Sozialen Medien zu erinnern. Dieser besteht wie in Kapitel 2 beschrieben in der sozialen Interaktion und Kommunikation von Privatpersonen. Daneben gibt es für Unternehmen, öffentliche Stellen und Personen des öffentlichen Lebens ebenfalls die Möglichkeit in die Sphäre der Nutzerinnen und Nutzer zu gelangen. Unabhängig von der Art der Nutzerin bzw. des Nutzers ist die Verarbeitung von personenbezogenen Daten charakteristisch und unerlässlich für die Sozialen Medien.102 Einerseits um für die Nutzerinnen und Nutzer die Möglichkeit persönlicher Netzwerke zu schaffen, anderseits um die unternehmerischen, kommerziellen Ziele der entsprechenden Plattform zu verfolgen. Durch die Verarbeitung personenbezogener Daten und durch den Umstand, dass öffentliche Stellen beteiligt sind, kommen grundsätzlich die DSGVO, das BDSG und das TMG in Betracht.

Soziale Medien sind in der Regel als Telemedien im Sinne des § 1 Abs. 1 S. 1 TMG zu qualifizieren.103 Damit richtete sich die rechtliche Einordnung bei der Nutzung Sozialer Medien durch öffentliche Stellen vor Inkrafttreten der DSGVO maßgeblich nach dem TMG und dem BDSG alte Fassung. Das TMG stellt die nationale Umsetzung der EU-Richtlinien 2000/31/EG, 2002/58/EG und 2009/136/EG dar, wobei die vollständige Umsetzung der zuletzt genannten Richtlinie mit dem TMG umstritten ist.104 Ursprünglich war seitens der Europäischen Union vorgesehen, diese EU-Richtlinien durch die Verordnung über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation (ePrivacyVO), komplementär zur DSGVO und gleichzeitig mit dieser, am 25. Mai 2018 in Kraft treten zu lassen. Demnach würde die ePrivacyVO das TMG, zumindest in großen Teilen, durch den Anwendungsvorrang verdrängen. Im Gesetzgebungsverfahren zur ePrivacyVO gibt es wesentliche Verzögerungen, sodass diese bis dato weder beschlossen noch in Kraft getreten ist. Nach Inkrafttreten der ePrivacy-VO wird diese gemeinsam mit der DSGVO die datenschutzrechtliche Grundlage für die Nutzung Sozialer Medien sein.105

Durch die komplementär gestaltete DSGVO ist nun strittig, ob die DSGVO in Teilen einen Anwendungsvorrang vor dem TMG entfaltet, obwohl sie nicht für den sachlichen Anwendungsbereich des TMG gestaltet ist, da dieser vorwiegend von der ePrivacyVO erfasst werden sollte. Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) haben zur Frage der Anwendbarkeit der DSGVO im Verhältnis zum TMG ein Positionspapier erarbeitet. Im Ergebnis stellt die Datenschutzkonferenz fest, dass insbesondere die §§ 12, 13 und 15 TMG dem Anwendungsvorrang der DSGVO unterfallen und damit nicht mehr anwendbar sind.106 Ebenso geht die herrschende Meinung in der Literatur von einem Anwendungsvorrang der DSGVO aus.107

Eine bedeutende Auswirkung der Harmonisierung des Datenschutzrechts mittels des Rechtsaktes Verordnung bezieht sich auf die rechtliche Bewertung. Vor Inkrafttreten der DSGVO war eine zentrale, maßgebliche Frage bei der rechtlichen Bewertung, welches nationale Datenschutzrecht einschlägig ist. Dieser Komplex war umstritten. Nach Inkrafttreten der DSGVO ist diese Problemstellung entschärft, da für Privatunternehmen in allen EU-Mitgliedsstaaten durch die unmittelbare Rechtswirkung der DSGVO in großen Teilen nun dasselbe Datenschutzrecht gilt. Für öffentliche Stellen ist die DSGVO ebenfalls einschlägig, jedoch unter der Berücksichtigung, dass es für öffentliche Stellen mehr Öffnungsklauseln für nationales Recht gibt. Zukünftig wird die Problemstellung durch die Frage abgelöst, welche Aufsichtsbehörde zuständig ist und wie diese die Anwendung der datenschutzrechtlichen Vorgaben gestaltet. Denn technische Verfahren, insbesondere Anwendungen im Social-Media-Bereich, zeichnen sich durch eine internationale Vernetzung aus. Sie sind selten nur in einem Mitgliedsstaat oder gar lediglich in der Europäischen Union präsent. Daher wird die Frage der Zuständigkeit eine zentrale sein und in der Regel nach Hauptniederlassung oder einzige Niederlassung eines Verantwortlichen oder Auftragsverarbeiters in der Europäischen Union bestimmt werden.108

Als weitere zentrale Vorschrift ist das BDSG zu nennen. Der Geltungsbereich des BDSG erstreckt sich gemäß § 1 Abs. 1 BDSG auf öffentliche Stellen. Folglich nutzt hier der nationale Gesetzgeber die diversen Öffnungsklauseln der DSGVO und setzt daneben die Datenschutzrichtlinie für Polizei und Justiz109 um.110

102 Splittgerber, Praxishandbuch Rechtsfragen Social Media, Kapitel 3 Rn. 33. 103 Hornung in: Hornung, Müller-Terpitz, Rechtshandbuch Social Media, Kapitel 4.2.2 Rn. 13. 104 Heckmann in: jurisPraxiskommentar-Internetrecht, Kapitel 9 Rn. 799 oder Rauer/ Ettig, Rechtskonformer Einsatz von Cookies in: ZD 2018, 255, 256. 105 Heckmann in: jurisPraxiskommentar-Internetrecht, Kapitel 9 Rn. 720. 106 DSK, Zur Anwendbarkeit des TMG für nicht-öffentliche Stellen ab dem 25. Mai 2018, https://www.ldi.nrw.de/(...)TMG.pdf. 107 Schmitz in: Spindler, Schmitz, Telemediengesetz, Vorbemerkung zu §§ 11 ff. Rn. 9 f. oder Taeger in: Taeger, Gabel, DSGVO – BDSG, Art. 95 Rn. 20 oder Böhm in: Gierschmann, Schlender, Stentzel, Veil, Kommentar Datenschutzgrundverordnung, Art. 95 Rn. 36; kritisch hierzu: Gierschmann, Positionsbestimmung der DSK zur Anwendbarkeit des TMG in: ZD 2018, 297 ff. 108 Born in: Specht, Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, § 8 Rn. 11. 109 Richtlinie 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates. 110 Plath in: Plath, DSGVO BDSG, § 1 BDSG Rn. 1.

3.3. Verantwortlichkeit

Bevor die Subsumtion der möglichen Rechtsgrundlagen erfolgen kann, ist zu klären, wer im datenschutzrechtlichen Sinne verantwortlich für die Verarbeitung personenbezogener Daten bei der Nutzung der Sozialen Medien ist.

Die Verantwortlichkeit ist von erheblicher Bedeutung, da nur mit einer möglichst eindeutigen Zuweisung der Verantwortlichkeit die Ziele der DSGVO, insbesondere der Schutz natürlicher Personen, erreicht werden kann. Denn elementare datenschutzrechtliche Pflichten werden entsprechend der Verantwortlichkeit zugewiesen.111 Dies wird insbesondere aus Art. 5 Abs. 2 DSGVO deutlich. Diese Norm verpflichtet den Verantwortlichen für die Datenverarbeitung zur Einhaltung der Datenschutzgrundsätze nach Art. 5 Abs. 1 DSGVO112. Da hierunter auch die Rechtmäßigkeit der Datenverarbeitung fällt, ist in einem ersten Schritt zu klären, wer verantwortlich ist, bevor in einem zweiten Schritt die Rechtgrundlage für die Datenverarbeitung und anschließend allgemein die Rechtskonformität geprüft werden kann. Weitere Folgen der Verantwortlichkeit sind beispielsweise das Ergreifen technisch-organisatorischer Maßnahmen zur Sicherstellung der Einhaltung datenschutzrechtlicher Vorgaben gemäß Art. 24 DSGVO, das Erfüllen von Rechenschaftspflichten oder die Haftung bei Datenschutzverstößen.113 Bei einer arbeitsteiligen Datenverarbeitung, die in einer vernetzten Welt stets zunimmt, ist die Verantwortlichkeit genau zu betrachten und möglichst konkret zuzuteilen, damit eindeutig ist, wer für welchen Bereich zuständig und verpflichtet ist.

Bei Social-Media-Anwendungen ist umstritten, wie das Verantwortlichkeitskonstrukt generell ausgestaltet ist.114 Eine pauschale Aussage kann hier aufgrund der Diversität der Plattformen beziehungsweise der höchst unterschiedlichen technischen Funktionsweisen Sozialer Medien nicht getroffen werden. Daher ist die Frage nach der Verantwortlichkeit stets einzelfallbezogen zu prüfen.

Bis 2018 verneinte die herrschende Meinung die Verantwortlichkeit der Fanpage-Betreibenden. Als zentrale Begründung wurde angeführt, dass Fanpage-Betreibende nicht mit der Datenverarbeitung der Konzerne in einem solchen Maße in Berührung kommen, dass sie eine Kontrolle über die Verarbeitungstechniken hätten.115 Die Mindermeinung erkannte die Argumentation nicht an, da ein solcher Verlust der technischen Kontrolle in den Informations- und Kommunikationstechnikprozessen eher den Regelfall darstellt.116 Der EuGH bestätigt letztere Ansicht mit der Entscheidung vom 05. Juni 2018.117 In dieser Entscheidung befasst sich der EuGH mit einem seit 2011 anhängigen Rechtsstreit zwischen der Wirtschaftsakademie Schleswig-Holstein (WAK) und dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) über den Betrieb einer Facebook-Fanpage. Konkret hat das ULD die Deaktivierung der Facebook-Fanpage der WAK angeordnet.118 Gegen diese Anordnung ist die WAK rechtlich vorgegangen und erhielt in den ersten Verwaltungsgerichtsinstanzen Recht.119 Das Bundesverwaltungsgericht legte sodann den Sachverhalt dem EuGH zur Entscheidung vor, da es sich um Auslegung und Anwendung der europäischen Datenschutz-Richtlinie120 handelt.121 Für die Auslegung und Anwendung der DSGVO sind die Ausführungen des EuGH zur Datenschutz-Richtlinie von Bedeutung, da sich die Inhalte der Datenschutz-Richtlinie auf die der DSGVO übertragen lassen.122 Eine Unterscheidung der Rechtsnormen ist in Art. 26 DSGVO zu finden, in dem die Folgepflichten der gemeinsamen Verantwortlichkeit festgelegt werden.123

Neben der Facebook-Fanpage ist der EuGH innerhalb des Komplexes Sozialer Medien ebenso mit der Frage der Verantwortlichkeit bei Social Plugins befasst. Konkret legte das OLG Düsseldorf dem EuGH zur Vorabentscheidung die Klage der Verbraucherzentrale Nordrhein-Westfalen gegen den Onlinehändler FashionID vor.124 In dieser Streitigkeit reichte die Verbraucherzentrale Nordrhein-Westfalen eine Unterlassungsklage gegen den Onlinehändler wegen vermuteter Datenschutzverstöße ein. Der Onlinehändler sollte ein eingebundenes Social Plugin, namentlich den Gefällt-mir-Button, deaktivieren oder jedenfalls datenschutzkonform einbinden. Die Erstinstanz, das Landgericht Düsseldorf, gab der Verbraucherzentrale Recht.125 Gegen dieses Urteil ist der Onlinehändler vorgegangen, sodass vor dem OLG Düsseldorf verhandelt wurde, das die Kernfragen des Sachverhalts wiederum dem EuGH zur Vorabentscheidung vorlegte. Auch dieser Rechtsstreit fußt auf der inzwischen außer Kraft getretenen Datenschutz-Richtlinie126. Die zentrale Frage bei der Entscheidung ist ebenfalls die Verantwortlichkeit. Denn nur wenn der Onlinehändler als Verantwortlicher angesehen wird, wird dieser im datenschutzrechtlichen Sinne verpflichtet. Der EuGH stellt in seiner Entscheidung fest, dass die Betreiberinnen und Betreiber von Internetseiten, die Social Plugins einbinden und damit die Datenverarbeitung erst ermöglichen, gemeinsam mit Facebook verantwortlich sind.127

Grundsätzlich kommen bei der Nutzung Sozialer Medien drei Modelle in Bezug auf die Verantwortlichkeit in Betracht. Erstens könnte die Social-Media-Plattform alleinig verantwortlich sein. Hier müsste vertreten werden, dass die Fanpage-Betreibenden keine Berührungspunkte zur Datenverarbeitung haben. Dies ist aus verschiedenen Gründen abwegig. Durch die Einbindung von Social Plugins oder grundsätzlich dem Betreiben von Fanpages erfolgt zwangsläufig eine Verarbeitung personenbezogener Daten, die auf der Entscheidung der Fanpage-Betreibenden basiert und ausgelöst wird sowie für diese einen Nutzen darstellt. Die Frage ist demnach nicht ob, sondern wie, in welchem Maße, durch wen und auf wessen Veranlassung die Verarbeitung erfolgt.

In Annäherung daran könnte angenommen werden, dass zweitens die alleinige Verantwortung bei dem bzw. der Fanpage-Betreibenden läge. Die Social-Media-Plattform wäre demnach ein Auftragsverarbeiter gemäß Art. 28 DSGVO. Facebook würde beauftragt durch den Verantwortlichen und ohne inhaltliches Eigeninteresse die Daten für die oder den Fanpage-Betreibenden verarbeiten. Ohne die Entscheidung der oder des Verantwortlichen, die Verarbeitung an einer oder einen Dritten zu übergeben, würde der Auftragsverarbeiter, Facebook, keine Verarbeitung vornehmen.128 Wesentliche Merkmale sind demnach die Beauftragung und die Weisungsgebundenheit.129 Das Eigeninteresse der Plattformbetreibenden könnte bei der Betrachtung der Entscheidung über Zweck und Mittel der Datenverarbeitung eine bedeutende Rolle einnehmen. Wie in Kapitel 3.2 festgestellt, verfolgt die Anbieterin bzw. der Anbieter eines Sozialen Netzwerks in der Regel kommerzielle Ziele und ist demnach gewinnorientiert. Maßgeblich für den unternehmerischen Erfolg sind dabei Daten, die aus der Nutzung generiert werden können. Diese Konstellation dürfte folglich bei lebensnaher Auslegung ebenfalls nicht in Betracht kommen, da Facebook als Plattformbetreiber unzweifelhaft mit der Datenverarbeitung befasst ist und ein originäres Interesse an der Datenverarbeitung hat. Die kommerzielle Nutzungsabsicht ist bei der Bewertung, insbesondere beim Zweck der Datenverarbeitung, bei einer möglichen Auftragsverarbeitung zu beachten. Die Auftragsverarbeitung ist also von der gemeinsamen Verantwortlichkeit abzugrenzen. Daher kann eine Negativabgrenzung vorgenommen werden. Folglich liegt dann keine Auftragsverarbeitung vor, wenn eine gemeinsame Verantwortlichkeit bejaht wird.130 Der Vollständigkeit halber sei erwähnt, dass die Auftragsverarbeitung in Bezug auf die Normadressaten des Art. 28 DSGVO grundsätzlich in Frage kommt, da es hier keine Unterscheidung zwischen öffentliche und nicht-öffentliche Stellen gibt.131

Die gemeinsame Verantwortlichkeit kommt als dritte Variante in Betracht. Bei ihr werden sowohl der Anbieter oder die Anbieterin der Social-Media-Plattform als auch der oder die Fanpage-Betreibende als verantwortlich eingestuft.

Letzteres Konstrukt ist das meist diskutierte und vom EuGH in der Sache ULD gegen WAK angewandte Modell bei Fanpages. Ebenso bejaht der EuGH in der Sache Verbraucherzentrale NRW gegen FashionID eine gemeinsame Verantwortlichkeit beim Einsatz von (Facebook-)Social-Plugins.132 Daher ist die gemeinsame Verantwortlichkeit, das letztgenannte Modell, näher zu betrachten.