In der Beratungspraxis entstehen nicht selten Abgrenzungsprobleme zwischen Auftragsverarbeitung und gemeinsamer Verantwortlichkeit. Je nachdem, ob und wie viele Parteien dabei involviert sind, welche Daten verarbeitet werden, wer dabei die Verantwortung trägt und so weiter, schwingt das Pendel mal zur einen, mal zur anderen Seite.

So verhält es sich beispielsweise auch mit der Nutzung eines YouTube-Kanals. Hierbei werden nämlich – typisch für heutige Social-Media-Riesen – jedem Kanalbetreiber in YouTube-Analytics Daten zum Nutzerverhalten geliefert. Vor diesem Hintergrund äußerte sich Margarete Vestager, ihres Zeichens Vize-Präsidentin der EU-Kommission und Kommissarin für Digitales, „auch Google muss sich an die Regeln halten.“, (Frankfurter Allgemeine Zeitung, 01.11.2020, Nr. 44, S. 27). Auf die Frage, was genau denn auf die Plattformen in Zukunft zukäme, wies Vestager darauf hin, dass die Kommission von größeren Plattformen mehr verlangen würde als von kleineren. Größeren Plattformen (wie Google/YouTube) käme dabei eine größere Verantwortung zu, die Inhalte auf Ihren eigenen Plattformen zu prüfen. Besonderen Wert legte Vestager dabei auf verbindliche, transparente Regelungen zum Löschen und Abrufen von Daten. Das wirft die Frage auf: Wie und gegen wen können Nutzer der Plattformen ihr Recht auf informationelle Selbstbestimmung ausüben?

Dafür muss festgestellt werden, bei wem die Verantwortlichkeit für etwaige Datenverarbeitungsvorgänge liegt.

Verwender von YouTube, d.h. Kanalbetreiber, stimmen im Rahmen der AGB erst einmal einem Auftragsverarbeitungsvertrag zu. Dabei geht es allerdings nur um die Video- und Bilddateien, die der Verwender freiwillig an YouTube durch Hochladen etwaiger Inhalte übermittelt – soweit ist YouTube an die Weisungen der Kanalbetreiber gebunden. Auch in den Nutzungsbedingungen von Google, zu dem YouTube gehört, wird sich mit diesem Thema nur wenig auseinandergesetzt: darin erklärt sich Google Ireland Limited (die europäische Tochtergesellschaft von Google) zur alleinig Verantwortlichen für jegliche Datenverarbeitungsprozesse.

Aber kann es wirklich so einfach sein?

Zweifel daran bietet ein Rückblick auf das Urteil des EuGH zu den Facebook-Fanpages. Der EuGH urteilte 2018, dass Betreiber von Facebook-Fanpages – das sind jegliche Auftritte von Unternehmen, Künstlern, Franchise, etc. auf Facebook – zwar nicht Hauptverantwortliche für Datenverarbeitungen auf Facebook sind, mit dem Erstellen und Betreiben einer solchen Fanpage jedoch Nutzer immerhin zur Verwendung von Facebook verlockten. Dort könnten dann unter Verwendung von Cookies gewisse Nutzerstatistiken erfasst werden, welche dann auch dem Fanpage-Betreiber zugänglich gemacht werden, sofern ihn dies betrifft. Der EuGH führte aus:

„Ein solcher Betreiber ist nämlich durch die von ihm vorgenommene Parametrierung (u. a. entsprechend seinem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten) an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt.“

Der Betreiber könne so hinsichtlich der Demografie der Besucher seiner Seite „Insights“ erlangen, woraus sich ein wirtschaftlicher Vorteil ergibt, um beispielsweise Zielgruppen besser zu bestimmen und damit etwa personalisierte Werbungskampagnen zu starten.

Kurz darauf veröffentliche Facebook eigens seine „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ in Form eines AGB-Addendums, welches jedoch Facebook die alleinige Verantwortlichkeit einräumt. Die DSK positionierte sich dahingehend ablehnend und merkte dabei im Anschluss an EuGH C-210/16, Rn. 40 an, dass die bloße Nutzung von Facebook einen Betreiber nicht von der Beachtung seiner Verpflichtungen im Bereich personenbezogener Daten befreie. Der Betreiber einer Fanpage wird im selben Positionspaper unter Ziffer 2. dabei wesentlich zur Verantwortung gezogen:

„Ohne hinreichende Kenntnis über die Verarbeitungstätigkeiten, die der eigenen Verantwortung unterliegen, sind Verantwortliche nicht in der Lage, zu bewerten, ob die Verarbeitungstätigkeiten rechtskonform durchgeführt werden. Bestehen Zweifel, geht dies zulasten der Verantwortlichen, die es in der Hand haben, solche Verarbeitungen zu unterlassen.“

Nach derzeit herrschender Auffassung besteht damit eine doppelte Verantwortlichkeit für Facebook-Fanpages, nämlich für den Betreiber der Fanpage und für Facebook selbst. Das AGB-Addendum von Facebook stellt dabei keine DSGVO-konforme Lösung dar.

Ist es datenschutzrechtlich gesehen nun immer notwendig, einen Joint Controller Vertrag mit YouTube zu schließen?

Nun werden durch YouTube-Analytics ähnlich wie bei Facebook-Fanpages für einen Kanalbetreiber bestimmte Nutzerstatistiken sichtbar, die YouTube je nach Nutzerverhalten erheben kann. Der Kanalbetreiber hat insbesondere Zugriff auf

  • Anzahl der gesamten Videoansichten und durchschnittliche Videoansichten pro Person sowie deren Tendenz (um wieviel sinkend/steigend)
  • Anzahl der Abonnenten sowie deren Tendenz
  • Anzahl der Besucher des Kanals
  • Interaktionen von Zuschauern (Likes, Kommentare, geteilte Inhalte)
  • Zeit, die Besucher auf dem Kanal, mit Videos oder bis zur Erteilung eines Abonnements verbracht haben
  • Die Reichweite des Videos
  • Den prozentualen Anteil der Videos, die ein Nutzer durchschnittlich von den Videos schaut

sowie viele weitere metrische Daten. Diese Daten sind allerdings anonymisiert. Nur mittels der Kommentarfunktion könnten die Identitäten einzelner Nutzer überhaupt festgestellt werden.

Da YouTube diese Daten jedoch mit Trackern feststellt, ergibt sich hier dieselbe Problematik. Als ein zu Google gehörendes Unternehmen verwendet YouTube nämlich auch – zum einen – Google-Analytics. Zum anderen werden jedoch auch spezifisch für YouTube konzipierte Tracker eingesetzt, um eben jene Nutzerstatistiken auszuwerten.

Sind die Auswertungsmodelle von Facebook und YouTube nun vergleichbar?

Wesentliche Unterschiede drängen sich zuerst nicht auf. Bei beiden Plattformen handelt es sich um Dienstanbieter, die Statistiken von Kanal- bzw. Seitenbesuchern auswerten, die, offenbar hauptsächlich um Inhalte der jeweiligen Kanäle oder Seiten von Betreibern zu sehen, ihre Seiten besuchen. Diese Daten werden mithilfe von Tracking-Technologien erfasst. Wie die Gerichte Tracking-Technologien beurteilen, haben wir Ihnen bereits dargelegt. Allerdings werden die Daten von Facebook vermutlich doch eingriffsintensiver genutzt und dem Nutzer die verschiedensten Targetingmöglichkeiten geboten. Hier mag ein Unterschied vorliegen – allerdings ist die Rechtslage unklar. 

Fazit

Das Urteil zur Verantwortlichkeit bei Facebook-Fanpages birgt auch Unsicherheiten in Bezug auf andere Social-Media-Dienste, wie etwa YouTube, Twitter, Instagram, Pinterest, LinkedIn, Xing etc.

YouTube, Instagram und viele weitere Social-Media-Dienste bieten in Ihren Vertragswerken nach wie vor keine Lösung für diese Fragen. Damit bleibt ein konstantes Rest-Risiko als Nutzer einer Plattform bestehen, der sich der Dienste auch zur Veröffentlichung von Inhalten bedient. Gleichzeitig ist den Aufsichtsbehörden das Problem bewusst. In o.g. Positionspapier der DSK räumt diese ein, dass den verantwortlichen Seitenbetreibern kein hinreichender Einblick in die etwa von YouTube durchgeführten Verarbeitungstätigkeiten ermöglicht wird und diese daher nicht prüfen können, ob diese auch rechtskonform durchgeführt werden können.  Hier stehen sich Datenschutz und Informations- sowie Meinungsfreiheit gegenüber. Eine zufriedenstellende Lösung könnte eigentlich nur eine weniger eingriffsintensive Verarbeitung der Plattformbetreiber oder eine noch transparentere Nutzerinformation verknüpft mit einer echten Einwilligung sein.