02 August 2022

Inkonsequenz made in Luxemburg

Wie der EuGH durch seine Öffentlichkeitsarbeit seine eigene datenschutzrechtliche Rechtsprechung konterkariert

In diesem Dezember jährt sich die Gründung des Europäischen Gerichtshofes (EuGH) zum 70. Mal. Der EuGH zelebriert diesen runden Geburtstag bereits mit dem Hashtag #CJEUin70days auf dem sozialen Netzwerk Twitter. Nicht nur diese Kampagne, sondern auch die Öffentlichkeitsarbeit des EuGHs über soziale Medien insgesamt scheint dabei nicht im Einklang zu stehen mit der eigenen Rechtsprechung des Gerichtshofs.

Schon vor vier Jahren legte der EuGH selbst in der Rechtssache Wirtschaftsakademie (C‑210/16, Urt. v. 05.06.2018) den Grundstein dafür, dass Facebook Fanpages und Profilseiten auf anderen sozialen Netzwerken nicht ohne Weiteres datenschutzkonform betrieben werden können. Erst kürzlich verstand auch die deutsche Datenschutzkonferenz (DSK) die Rechtsprechung des EuGHs so, dass vergleichbare Anforderungen für Twitter und andere soziale Netzwerke gelten dürften. Bis heute betreibt der EuGH allerdings selbst Profile auf Twitter, LinkedIn und Youtube und nimmt es bei der Nutzung sozialer Netzwerke mit den von ihm aufgestellten datenschutzrechtlichen Grundsätzen nicht ganz so genau.

Die Öffentlichkeitsarbeit des EuGHs auf sozialen Netzwerken

Das Referat „Presse und Information“ des Gerichtshofs nutzt seit 2013 den Kurznachrichtendienst Twitter, um die Öffentlichkeit mittels der Kanäle @EUCourtPress und des französischen Pendants über die Arbeit des Gerichtshofs zu informieren. Soweit ersichtlich hat der EuGH beziehungsweise seine Pressestelle nie über eine eigene Facebook-Fanpage verfügt. Seit einigen Jahren ist der Gerichtshof allerdings neben Twitter auch auf Youtube und LinkedIn vertreten.

Im Grundsatz ist ein „öffentlichkeitsnahes“ Gericht und die Bereitschaft, die eigene Rolle und Rechtsprechung einer breiten Öffentlichkeit näher zu bringen, zu begrüßen. Kritisch zu sehen ist die gerichtliche Öffentlichkeitsarbeit aber dann, wenn der Gerichtshof Entscheidungen über soziale Netzwerke mitteilt und sich damit datenschutzrechtlich in Widerspruch setzt zu ebendiesen Entscheidungen.

Um diesen Widersprüchen in der Social-Media-Politik des EuGHs auf den Grund zu gehen, lohnt sich ein Blick zurück in das Jahr 2018: Der EuGH entschied damals über eine Vorlage aus Deutschland. Ein jahrelanger (Rechts-)Streit zwischen einer deutschen Datenschutzbehörde, Facebook und Fanpage-Betreibern fand sein vorläufiges Ende. Anlass für das Verfahren war die unvollständige Information betroffener Personen über Cookies, die mit dem Besuch einer Facebook-Fanpage gesetzt werden. Der EuGH entschied, dass Fanpage-Betreiber für Datenverarbeitungen durch Facebook bzw. Meta (z.B. durch Cookies) haften, die im Zusammenhang mit der Fanpage stehen. Als sogenannte gemeinsame Verantwortliche treffen die Parteien außerdem weitere Pflichten (Art. 26 EU-Datenschutzgrundverordnung bzw. Art. 28 Verordnung (EU) 2018/1725 für EU-Organe). So ist etwa eine Vereinbarung zwischen Facebook und dem jeweiligen Fanpage-Betreiber über die Verteilung der datenschutzrechtlichen Zuständigkeiten im Innenverhältnis erforderlich. Außerdem sind die Betroffenen über das „Wesentliche“ dieser Vereinbarung zu informieren.

Der EuGH stützte diese Annahme der gemeinsamen Verantwortlichkeit auf diverse Faktoren. Hierzu zählt der Nutzungsvertrag, der mit der Einrichtung einer Fanpage zwischen Facebook und Fanpage-Betreibern geschlossen wird. Außerdem hat der EuGH hervorgehoben, dass erst die Einrichtung der Fanpage durch den Fanpage-Betreiber die Datenverarbeitung im Zusammenhang mit dieser Fanpage ermöglicht. Fanpage-Betreiber nehmen darüber hinaus nach Ansicht des Gerichtshofs konkreten Einfluss auf die Verarbeitung (z.B. durch die Steuerung der Zielgruppe der Fanpage). Nicht zuletzt profitieren Fanpage-Betreiber durch eine gesteigerte Reichweite und die bereitgestellten Nutzungsstatistiken von der Datenverarbeitung.

Während Facebook an einigen Stellen nachgebessert hat und auch eine Vereinbarung zur Zuständigkeitsverteilung bereitstellt, bestehen aus Sicht der deutschen Datenschutzaufsichtsbehörden weiterhin erhebliche Mängel mit Blick auf die Vereinbarung und die Transparenz der Verarbeitungen. Jüngst hat die DSK, das Gremium zur Koordination der deutschen Datenschutzaufsichtsbehörden, in einem Beschluss angekündigt, gegen (behördliche) Facebook-Fanpagebetreiber vorzugehen.

Ist Twitter die datenschutzrechtlich zulässige Alternative zu Facebook?

Zwar scheint sich der EuGH – wohl aus gutem Grund (s.o.) – stets gegen ein Facebook-Profil entschieden zu haben. Facebook-Profile und Twitter-Profile weisen entsprechend der Konzeption sozialer Netzwerke allerdings zahlreiche Gemeinsamkeiten auf, die die Übertragung der Rechtsprechung des EuGHs auf Twitter nahelegen. Facebook und Twitter ermöglichen den Accountinhabern unter anderem das Einstellen eigener Inhalte sowie den Zugriff auf das Netzwerk und Netzwerk-Funktionen (z.B. Statistiken). Das Konzept der gemeinsamen Verantwortlichkeit lässt sich auf Twitter-Profile übertragen. Datenschutzrechtler diskutierten nach der Fanpage-Entscheidung passenderweise auf Twitter, inwieweit sich die EuGH-Entscheidung auf Twitter übertragen lässt (die Diskussion ist mittlerweile nicht mehr öffentlich zugänglich).

Mit Blick auf die Begründung des EuGHs kann festgehalten werden: Auch Twitter-Accounts sind als eigene Unterseiten öffentlich zugänglich und werden auf Grundlage eines Nutzungsvertrags zwischen Twitter und dem Accountinhaber bereitgestellt. Deren Einrichtung leistet damit einen wichtigen Beitrag zur Verarbeitung personenbezogener Daten der registrierten und nicht-registrierten Besucher. Indem Account-Betreiber ihre Profile gestalten und entsprechende Beiträge veröffentlichen, nehmen sie zudem Einfluss auf die angesprochene Zielgruppe (wenn auch ohne eine besondere Funktion zur Zielgruppenauswahl wie noch damals bei Facebook). Nicht zuletzt stellt Twitter Nutzungsstatistiken bereit, die die Anzahl an „Likes“ und darüberhinausgehende Tweet-Statistiken umfassen.

Eine gemeinsame Verantwortlichkeit von Twitter und den jeweiligen Accountbetreibern, wie zum Beispiel dem EuGH, liegt also nahe. Diese Ansicht scheinen auch – und nicht nur – deutsche Datenschutzaufsichtsbehörden zu teilen (siehe auch die FAQ der DSK auf S. 3). Selbst wenn Twitter vollständig im Einklang mit allgemeinen Transparenzanforderungen handeln würde, fehlt es jedenfalls bis heute an der Vereinbarung zur gemeinsamen Verantwortlichkeit und der Information der Betroffenen hierüber (siehe lediglich die Vereinbarung zur getrennten Verantwortlichkeit). Ähnliche Erwägungen könnte man auch für die Auftritte des EuGHs auf anderen sozialen Netzwerken anstellen.

Wer überwacht den EuGH?

Für die Twitter-Tätigkeit des EuGHs greift aus Twitter-Sicht die DSGVO und aus EuGH-Sicht die Verordnung (EU) 2018/1725 als das DSGVO-Pendant für EU-Organe. Beide Verordnungen stellen jeweils ähnliche und miteinander kompatible Anforderungen an eine – gegebenenfalls auch verordnungsübergreifende – gemeinsame Verantwortlichkeit. Der EuGH ist als Teil der „Organe und Einrichtungen der Union“ (Art. 1 Abs. 1 der Verordnung) an die Vorschriften der Verordnung (EU) 2018/1725 gebunden.

Die Organe und Einrichtungen der EU werden dabei durch den Europäischen Datenschutzbeauftragten überwacht. Dessen Zuständigkeit endet nach Art. 57 Abs. 1 lit. a der Verordnung (EU) 2018/1725 dort, wo die „Verarbeitung personenbezogener Daten durch den Gerichtshof im Rahmen seiner justiziellen Tätigkeit“ beginnt. Die Öffentlichkeitsarbeit der Pressestelle des EuGHs unterfällt freilich nicht dieser Ausnahme, sodass der Europäische Datenschutzbeauftragte über die Datenschutzkonformität der Internetauftritte des EuGHs wacht.

Schlussworte und Stellungnahme des EuGHs

Auch wenn der EuGH neben der Fanpage-Entscheidung zwei weitere Gelegenheiten nutzte (in den Rechtssachen Fashion ID und Zeugen Jehovas), um den Anwendungsbereich der gemeinsamen Verantwortlichkeit auszudehnen, hat er bis heute keine Vorlage erhalten oder beantwortet, die die Frage nach der gemeinsamen Verantwortlichkeit im Zusammenhang mit Twitter-Accounts oder anderen sozialen Netzwerken stellt.

Auf eine Anfrage des Verfassers im Jahr 2020 hin verwies die Pressestelle des EuGHs darauf, dass auf der Website des EuGHs auf Twitter als externes Medium mit eigenen Datenschutzbestimmungen aufmerksam gemacht werde. Ein bei dem Europäische Datenschutzbeauftragten ebenfalls 2020 eingeleitetes Verfahren führte zu keinem abweichenden Ergebnis beziehungsweise zu keiner Reaktion in der Sache. Eine erneute Bitte des Verfassers an den EuGH und EDPS zur Abgabe einer Stellungnahme blieb bis zum Zeitpunkt der Veröffentlichung dieses Beitrags unbeantwortet.

Die damalige Stellungnahme der Pressestelle kann die Zweifel an der Nutzung sozialer Netzwerke durch den EuGH nicht ausräumen (vgl. oben). Der 70. Geburtstag des Gerichtshofs wäre wohl eine gute Gelegenheit, einen selbstkritischen Blick auf die eigene Öffentlichkeitsarbeit zu werfen und sie endlich in Einklang zu bringen mit dem europäischen Datenschutzrecht, das auch und gerade mit Blick auf die gemeinsame Verantwortlichkeit maßgeblich die Handschrift des EuGHs trägt.


SUGGESTED CITATION  Radtke, Tristan: Inkonsequenz made in Luxemburg: Wie der EuGH durch seine Öffentlichkeitsarbeit seine eigene datenschutzrechtliche Rechtsprechung konterkariert, VerfBlog, 2022/8/02, https://verfassungsblog.de/inkonsequenz-made-in-luxemburg/, DOI: 10.17176/20220802-181807-0.

4 Comments

  1. Novanglus Mon 15 Aug 2022 at 12:27 - Reply

    With respect, I do not follow this argument. Let us say that you are right that a Twitter feed is directly analogous to a Facebook fan page. I am not sure that this is so obvious, not least because it implies that every user of Twitter is a joint controller (cf. §35 of Wirtschaftskademie) and because it is unclear that Twitter users have the same level of formal control over data processing as Facebook fan page administrators (cf. §§36-39 of Wirtschaftsakademie). But let us grant it for the sake of argument.

    What, then, is the violation of the GDPR that you allege? Is it simply a violation of the various transparency obligations, because the CJEU should have publicly acknowledged its joint controller status and complied with the various duties that flow from this? Or are you alleging a substantive violation of the GDPR in the way that the CJEU in fact conducts its control?

    I can see the force in the first argument. But its significance is obviously rather limited, particularly in circumstances where the CJEU’s status as a joint controller is legally unclear. I could not see anything supporting the second argument, which would be of greater significance.

    This brings me to a wider point. The CJEU’s approach to data protection is breathtakingly wide (see e.g. AG Bobek’s Opinion in Case C-245/20 Autoriteit Persoonsgegevens). Its application of these principles to itself has already deprived us, pointlessly, of most case names (http://eulawanalysis.blogspot.com/2018/12/anonymity-in-cjeu-cases-privacy-at.html, and see also n7 in Autoriteit). Is it wise to encourage the Court to be even more expansive and exacting in this area?

  2. Tristan Radtke Sun 21 Aug 2022 at 15:46 - Reply

    Dear Novanglus,

    thank you very much for your comment, I highly appreciate it!

    1. Yes, as long as the Twitter use by a user does not fall within the household exception under the GDPR, they could be considered joint controllers (similar to any of the probably million of Facebook fanpages).

    In my view, Twitter users have indeed a similar level of control. There is no such feature as the definition of statistic parameters as it was (and is not anymore) the case for Facebook fanpages. However, Twitter users are providing content and such content is – as emphasized in Wirtschaftsakademie – visable for non-Twitter users (cf. § 35 of Wirtschaftsakademie; and see arguments made in my post above). Furthermore, the CJEU extended the requirements for Joint Control in Fashion ID (i.e., enabling of a processing often sufficient), which makes it even more convincing to see Twitters user as joint controllers.

    2. First of all, it is a violation of the transparency principle. This is not a “minor” infringement but rather a substantial violation of the GDPR (cf. e.g. Art. 83(4)(a) GDPR).

    3. However, I agree with you that an infringement of other provisions of the GDPR (e.g., Art. 6, 13, 14 GDPR) would make the issue even more pressing. While I did not dive into Twitter’s processing activities deeply (and have not access to all information required to do so, e.g., with regard to Art. 6 GDPR), it seems likely for me that there might be other violations (cf. the German document referred to in the post: https://fragdenstaat.de/anfrage/kommunikation-mit-twitter-zur-frage-der-gemeinsamen-verantwortlichkeit/). Most important for me as the message of this post is to show that the CJEU is responsible for so processing activities on its Twitter page. To the extent, authorities (and courts) come to the result that there are further GDPR infringements, this would be directly relevant to the CJEU’s use of Twitter.

    4. I am with you, the CJEU’s approach is wide. The CJEU’s judgements caused a lot of confusion and effort for many internet users (and other persons). Taking this into account, its seems even more odd seeing the CJEU to continue its use of social media without (as it appears to me) worrying to much about joint control itself.

  3. Tristan Radtke Sun 21 Aug 2022 at 15:50 - Reply

    NACHTRAG vom 21. August 2022:

    In einer E-Mail an den Autor hat die Pressestelle des EuGH auf bereits abgegebene Stellungnahmen verwiesen. Außerdem wurde auf die Nutzung von “EU Voice” als Alternativmedium zu Twitter hingewiesen (vgl. https://social.network.europa.eu/about).

  4. Tristan Radtke Wed 7 Sep 2022 at 17:23 - Reply

    NACHTRAG II vom 7. September 2022:

    In einer E-Mail vom heutigen Tag hat der Europäische Datenschutzbeauftragte (EDPS) darauf verwiesen, dass eine Entscheidung im o.g. Verfahren noch aussteht und die Entscheidungsfindung sich aufgrund der begrenzten Ressourcen des EDPS verzögert. Angesichts der Bedeutung der Frage für die Social-Media-Nutzung durch Behörden insgesamt, stimme sich der EDPS derzeit mit den nationalen Datenschutzbehörden im Rahmen des Europäischen Datenschutzausschusses über eine einheitliche (datenschutzrechtliche) Handhabung der Social-Media-Nutzung durch Behörden ab.

    Der EDPS verweist weiterhin darauf, dass der EuGH als eine der ersten EU Institutionen an den Social-Media-Projekten EU Voice and EU Video partizipiert.

Leave A Comment

WRITE A COMMENT

1. We welcome your comments but you do so as our guest. Please note that we will exercise our property rights to make sure that Verfassungsblog remains a safe and attractive place for everyone. Your comment will not appear immediately but will be moderated by us. Just as with posts, we make a choice. That means not all submitted comments will be published.

2. We expect comments to be matter-of-fact, on-topic and free of sarcasm, innuendo and ad personam arguments.

3. Racist, sexist and otherwise discriminatory comments will not be published.

4. Comments under pseudonym are allowed but a valid email address is obligatory. The use of more than one pseudonym is not allowed.




Explore posts related to this:
Datenschutz, Facebook, Twitter, soziale Netzwerke, Öffentlichkeitsarbeit


Other posts about this region:
Europa