02 August 2022

Inkonsequenz made in Luxemburg

Wie der EuGH durch seine Öffentlichkeitsarbeit seine eigene datenschutzrechtliche Rechtsprechung konterkariert

In diesem Dezember jährt sich die Gründung des Europäischen Gerichtshofes (EuGH) zum 70. Mal. Der EuGH zelebriert diesen runden Geburtstag bereits mit dem Hashtag #CJEUin70days auf dem sozialen Netzwerk Twitter. Nicht nur diese Kampagne, sondern auch die Öffentlichkeitsarbeit des EuGHs über soziale Medien insgesamt scheint dabei nicht im Einklang zu stehen mit der eigenen Rechtsprechung des Gerichtshofs.

Schon vor vier Jahren legte der EuGH selbst in der Rechtssache Wirtschaftsakademie (C‑210/16, Urt. v. 05.06.2018) den Grundstein dafür, dass Facebook Fanpages und Profilseiten auf anderen sozialen Netzwerken nicht ohne Weiteres datenschutzkonform betrieben werden können. Erst kürzlich verstand auch die deutsche Datenschutzkonferenz (DSK) die Rechtsprechung des EuGHs so, dass vergleichbare Anforderungen für Twitter und andere soziale Netzwerke gelten dürften. Bis heute betreibt der EuGH allerdings selbst Profile auf Twitter, LinkedIn und Youtube und nimmt es bei der Nutzung sozialer Netzwerke mit den von ihm aufgestellten datenschutzrechtlichen Grundsätzen nicht ganz so genau.

Die Öffentlichkeitsarbeit des EuGHs auf sozialen Netzwerken

Das Referat „Presse und Information“ des Gerichtshofs nutzt seit 2013 den Kurznachrichtendienst Twitter, um die Öffentlichkeit mittels der Kanäle @EUCourtPress und des französischen Pendants über die Arbeit des Gerichtshofs zu informieren. Soweit ersichtlich hat der EuGH beziehungsweise seine Pressestelle nie über eine eigene Facebook-Fanpage verfügt. Seit einigen Jahren ist der Gerichtshof allerdings neben Twitter auch auf Youtube und LinkedIn vertreten.

Im Grundsatz ist ein „öffentlichkeitsnahes“ Gericht und die Bereitschaft, die eigene Rolle und Rechtsprechung einer breiten Öffentlichkeit näher zu bringen, zu begrüßen. Kritisch zu sehen ist die gerichtliche Öffentlichkeitsarbeit aber dann, wenn der Gerichtshof Entscheidungen über soziale Netzwerke mitteilt und sich damit datenschutzrechtlich in Widerspruch setzt zu ebendiesen Entscheidungen.

Um diesen Widersprüchen in der Social-Media-Politik des EuGHs auf den Grund zu gehen, lohnt sich ein Blick zurück in das Jahr 2018: Der EuGH entschied damals über eine Vorlage aus Deutschland. Ein jahrelanger (Rechts-)Streit zwischen einer deutschen Datenschutzbehörde, Facebook und Fanpage-Betreibern fand sein vorläufiges Ende. Anlass für das Verfahren war die unvollständige Information betroffener Personen über Cookies, die mit dem Besuch einer Facebook-Fanpage gesetzt werden. Der EuGH entschied, dass Fanpage-Betreiber für Datenverarbeitungen durch Facebook bzw. Meta (z.B. durch Cookies) haften, die im Zusammenhang mit der Fanpage stehen. Als sogenannte gemeinsame Verantwortliche treffen die Parteien außerdem weitere Pflichten (Art. 26 EU-Datenschutzgrundverordnung bzw. Art. 28 Verordnung (EU) 2018/1725 für EU-Organe). So ist etwa eine Vereinbarung zwischen Facebook und dem jeweiligen Fanpage-Betreiber über die Verteilung der datenschutzrechtlichen Zuständigkeiten im Innenverhältnis erforderlich. Außerdem sind die Betroffenen über das „Wesentliche“ dieser Vereinbarung zu informieren.

Der EuGH stützte diese Annahme der gemeinsamen Verantwortlichkeit auf diverse Faktoren. Hierzu zählt der Nutzungsvertrag, der mit der Einrichtung einer Fanpage zwischen Facebook und Fanpage-Betreibern geschlossen wird. Außerdem hat der EuGH hervorgehoben, dass erst die Einrichtung der Fanpage durch den Fanpage-Betreiber die Datenverarbeitung im Zusammenhang mit dieser Fanpage ermöglicht. Fanpage-Betreiber nehmen darüber hinaus nach Ansicht des Gerichtshofs konkreten Einfluss auf die Verarbeitung (z.B. durch die Steuerung der Zielgruppe der Fanpage). Nicht zuletzt profitieren Fanpage-Betreiber durch eine gesteigerte Reichweite und die bereitgestellten Nutzungsstatistiken von der Datenverarbeitung.

Während Facebook an einigen Stellen nachgebessert hat und auch eine Vereinbarung zur Zuständigkeitsverteilung bereitstellt, bestehen aus Sicht der deutschen Datenschutzaufsichtsbehörden weiterhin erhebliche Mängel mit Blick auf die Vereinbarung und die Transparenz der Verarbeitungen. Jüngst hat die DSK, das Gremium zur Koordination der deutschen Datenschutzaufsichtsbehörden, in einem Beschluss angekündigt, gegen (behördliche) Facebook-Fanpagebetreiber vorzugehen.

Ist Twitter die datenschutzrechtlich zulässige Alternative zu Facebook?

Zwar scheint sich der EuGH – wohl aus gutem Grund (s.o.) – stets gegen ein Facebook-Profil entschieden zu haben. Facebook-Profile und Twitter-Profile weisen entsprechend der Konzeption sozialer Netzwerke allerdings zahlreiche Gemeinsamkeiten auf, die die Übertragung der Rechtsprechung des EuGHs auf Twitter nahelegen. Facebook und Twitter ermöglichen den Accountinhabern unter anderem das Einstellen eigener Inhalte sowie den Zugriff auf das Netzwerk und Netzwerk-Funktionen (z.B. Statistiken). Das Konzept der gemeinsamen Verantwortlichkeit lässt sich auf Twitter-Profile übertragen. Datenschutzrechtler diskutierten nach der Fanpage-Entscheidung passenderweise auf Twitter, inwieweit sich die EuGH-Entscheidung auf Twitter übertragen lässt (die Diskussion ist mittlerweile nicht mehr öffentlich zugänglich).

Mit Blick auf die Begründung des EuGHs kann festgehalten werden: Auch Twitter-Accounts sind als eigene Unterseiten öffentlich zugänglich und werden auf Grundlage eines Nutzungsvertrags zwischen Twitter und dem Accountinhaber bereitgestellt. Deren Einrichtung leistet damit einen wichtigen Beitrag zur Verarbeitung personenbezogener Daten der registrierten und nicht-registrierten Besucher. Indem Account-Betreiber ihre Profile gestalten und entsprechende Beiträge veröffentlichen, nehmen sie zudem Einfluss auf die angesprochene Zielgruppe (wenn auch ohne eine besondere Funktion zur Zielgruppenauswahl wie noch damals bei Facebook). Nicht zuletzt stellt Twitter Nutzungsstatistiken bereit, die die Anzahl an „Likes“ und darüberhinausgehende Tweet-Statistiken umfassen.

Eine gemeinsame Verantwortlichkeit von Twitter und den jeweiligen Accountbetreibern, wie zum Beispiel dem EuGH, liegt also nahe. Diese Ansicht scheinen auch – und nicht nur – deutsche Datenschutzaufsichtsbehörden zu teilen (siehe auch die FAQ der DSK auf S. 3). Selbst wenn Twitter vollständig im Einklang mit allgemeinen Transparenzanforderungen handeln würde, fehlt es jedenfalls bis heute an der Vereinbarung zur gemeinsamen Verantwortlichkeit und der Information der Betroffenen hierüber (siehe lediglich die Vereinbarung zur getrennten Verantwortlichkeit). Ähnliche Erwägungen könnte man auch für die Auftritte des EuGHs auf anderen sozialen Netzwerken anstellen.

Wer überwacht den EuGH?

Für die Twitter-Tätigkeit des EuGHs greift aus Twitter-Sicht die DSGVO und aus EuGH-Sicht die Verordnung (EU) 2018/1725 als das DSGVO-Pendant für EU-Organe. Beide Verordnungen stellen jeweils ähnliche und miteinander kompatible Anforderungen an eine – gegebenenfalls auch verordnungsübergreifende – gemeinsame Verantwortlichkeit. Der EuGH ist als Teil der „Organe und Einrichtungen der Union“ (Art. 1 Abs. 1 der Verordnung) an die Vorschriften der Verordnung (EU) 2018/1725 gebunden.

Die Organe und Einrichtungen der EU werden dabei durch den Europäischen Datenschutzbeauftragten überwacht. Dessen Zuständigkeit endet nach Art. 57 Abs. 1 lit. a der Verordnung (EU) 2018/1725 dort, wo die „Verarbeitung personenbezogener Daten durch den Gerichtshof im Rahmen seiner justiziellen Tätigkeit“ beginnt. Die Öffentlichkeitsarbeit der Pressestelle des EuGHs unterfällt freilich nicht dieser Ausnahme, sodass der Europäische Datenschutzbeauftragte über die Datenschutzkonformität der Internetauftritte des EuGHs wacht.

Schlussworte und Stellungnahme des EuGHs

Auch wenn der EuGH neben der Fanpage-Entscheidung zwei weitere Gelegenheiten nutzte (in den Rechtssachen Fashion ID und Zeugen Jehovas), um den Anwendungsbereich der gemeinsamen Verantwortlichkeit auszudehnen, hat er bis heute keine Vorlage erhalten oder beantwortet, die die Frage nach der gemeinsamen Verantwortlichkeit im Zusammenhang mit Twitter-Accounts oder anderen sozialen Netzwerken stellt.

Auf eine Anfrage des Verfassers im Jahr 2020 hin verwies die Pressestelle des EuGHs darauf, dass auf der Website des EuGHs auf Twitter als externes Medium mit eigenen Datenschutzbestimmungen aufmerksam gemacht werde. Ein bei dem Europäische Datenschutzbeauftragten ebenfalls 2020 eingeleitetes Verfahren führte zu keinem abweichenden Ergebnis beziehungsweise zu keiner Reaktion in der Sache. Eine erneute Bitte des Verfassers an den EuGH und EDPS zur Abgabe einer Stellungnahme blieb bis zum Zeitpunkt der Veröffentlichung dieses Beitrags unbeantwortet.

Die damalige Stellungnahme der Pressestelle kann die Zweifel an der Nutzung sozialer Netzwerke durch den EuGH nicht ausräumen (vgl. oben). Der 70. Geburtstag des Gerichtshofs wäre wohl eine gute Gelegenheit, einen selbstkritischen Blick auf die eigene Öffentlichkeitsarbeit zu werfen und sie endlich in Einklang zu bringen mit dem europäischen Datenschutzrecht, das auch und gerade mit Blick auf die gemeinsame Verantwortlichkeit maßgeblich die Handschrift des EuGHs trägt.


SUGGESTED CITATION  Radtke, Tristan: Inkonsequenz made in Luxemburg: Wie der EuGH durch seine Öffentlichkeitsarbeit seine eigene datenschutzrechtliche Rechtsprechung konterkariert, VerfBlog, 2022/8/02, https://verfassungsblog.de/inkonsequenz-made-in-luxemburg/, DOI: 10.17176/20220802-181807-0.

Leave A Comment

WRITE A COMMENT

1. We welcome your comments but you do so as our guest. Please note that we will exercise our property rights to make sure that Verfassungsblog remains a safe and attractive place for everyone. Your comment will not appear immediately but will be moderated by us. Just as with posts, we make a choice. That means not all submitted comments will be published.

2. We expect comments to be matter-of-fact, on-topic and free of sarcasm, innuendo and ad personam arguments.

3. Racist, sexist and otherwise discriminatory comments will not be published.

4. Comments under pseudonym are allowed but a valid email address is obligatory. The use of more than one pseudonym is not allowed.




Explore posts related to this:
Datenschutz, Facebook, Twitter, soziale Netzwerke, Öffentlichkeitsarbeit


Other posts about this region:
Europa