"Gute Beratung setzt einen verlässlichen Informationsfluss voraus. Als vertrauensvoller Partner schaffen wir mehr als nur durchgehende Kostentransparenz."
Newsletter Kanzlei Schiedermair

Einführung

Der EuGH hat am 5. Juni 2018 entschieden, dass der Betreiber einer Facebook-Fan¬page – neben Facebook – datenschutzrechtlich dafür verantwortlich ist, dass Facebook Daten der Fanpagebesucher zur Erstellung von Besucherstatistiken erhebt (Rechtssache C‑210/16, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein/Wirtschaftsakademie Schleswig-Holstein GmbH). Das Urteil hat Konsequenzen für alle Fanpage-Betreiber.

Hintergrund

Geklagt hatte das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) aufgrund eines seit 2011 anhängigen Verwaltungsrechtsstreits. Beklagte war die Wirtschaftsakademie Schleswig-Holstein GmbH, Betreiberin einer Facebook-Fanpage. Das ULD war der Meinung, dass weder Facebook noch die Wirtschaftsakademie aus-reichend über die Erhebung und Nutzung der bei Besuch der Fanpage erhobenen personenbezogenen Daten informiere. Die im Hintergrund erstellten Profile seien nicht nur auf die Datenerhebung durch Facebook zurückzuführen, sondern auch ein Resultat der Fanpage-Einstellungen der Betreiberin. Diese hatte argumentiert, dass ihr weder die Verarbeitung mangels Kontrolle zugerechnet werden könne, noch sie Facebook zur Verarbeitung beauftragt habe.

Urteil des EuGH vom 5. Juni 2018: Unternehmen sind für die Datenverarbeitung auf der eigenen Facebook-Fanpage mitverantwortlich

Der EuGH bestätigte die Auffassung des ULD, wonach der Betreiber einer Fanpage neben Facebook datenschutzrechtlich verantwortlich ist für die Verarbeitung der Daten der Fanpagebesucher. Er führt aus, dass ein Fanpage-Betreiber nicht bloßer Facebook-Nutzer ist, sondern als Verantwortlicher Facebook die Möglichkeit gibt, durch den Betrieb der Fanpage Cookies zu setzen, und insbesondere mit Hilfe von durch Facebook zur Verfügung gestellten Filtern die Kriterien festlegen kann, nach denen Statistiken erstellt werden. Für die Verantwortlichkeit ist nicht ausschlaggebend, dass ein Zugang zu den betreffenden personenbezogenen Daten besteht. Fanpage-Betreiber erhalten zwar nur anonymisierte Statistiken von Facebook. Facebook selbst verfügt aber über die zugrundeliegenden und über Cookies gewonnenen personenbezogenen Daten. Damit liegt eine gemeinsame Verantwortlichkeit des Fanpage-Betreibers und Facebook vor.

Positionen der Datenschutzkonferenz: Anforderungen an datenschutzkonformen Betrieb einer Facebook-Fanpage

Die Datenschutzkonferenz (d.h. die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder) veröffentlichte am 6. Juni 2018 eine Entschließung zum Facebook-Urteil des EuGH mit der für Fanpage-Betreiber wenig erbaulichen Überschrift: „Die Zeit der Verantwortungslosigkeit ist vorbei: EuGH bestätigt gemeinsame Verantwortung von Facebook und Fanpage-Betreibern“. Die Datenschutzkonferenz begrüßt das Urteil des EuGH und betont, dass Fanpage-Betreiber die Verpflichtungen aus den
aktuell geltenden Regelungen der Datenschutz-Grundverordnung (DS-GVO) beachten müssen. Der datenschutzkonforme Betrieb einer Facebook Fanpage ist nach Ansicht der Datenschutzkonferenz nicht schlechthin ausgeschlossen. Hierfür müssen aber folgende Anforderungen erfüllt sein:

  • Wer eine Fanpage besucht, muss transparent und in verständlicher Form darüber informiert werden, welche Daten zu welchen Zwecken durch Facebook und den Fanpage-Betreiber verarbeitet werden. Dies gilt sowohl für Personen, die bei Facebook registriert sind, als auch für nicht registrierte Besucherinnen und Besucher des Netzwerks.
  • Betreiber von Fanpages sollten sich selbst versichern, dass Facebook ihnen die Informationen zur Verfügung stellt, die zur Erfüllung der genannten Informationspflichten benötigt werden.
  • Soweit Facebook Besucherinnen und Besucher einer Fanpage durch Erhebung personenbezogener Daten trackt, sei es durch den Einsatz von Cookies oder vergleichbarer Techniken oder durch die Speicherung der IP-Adresse, ist grundsätzlich eine Einwilligung der Nutzenden erforderlich, die die Anforderung der DS-GVO erfüllt.
  • Für die Bereiche der gemeinsamen Verantwortung von Facebook und Fanpage-Betreibern ist in einer Vereinbarung festzulegen, wer von ihnen welche Verpflichtung der DS-GVO erfüllt. Diese Vereinbarung muss in wesentlichen Punkten den Betroffenen zur Verfügung gestellt werden, damit diese ihre Betroffenenrechte wahrnehmen können.

Für die Durchsetzung der Datenschutzvorgaben bei einer Fanpage ist die Aufsichtsbehörde zuständig, die für das jeweilige Unternehmen oder die Behörde zuständig ist, die die Fanpage betreibt.

Empfehlung: Handlungsbedarf für die Betreiber von Facebook-Fanpages

Die Datenschutzkonferenz nennt zwar vier Anforderungen, bei deren Einhaltung ein rechtskonformer Betrieb von Facebook-Fanpages möglich ist. Aus dem letzten Absatz der Entschließung geht allerdings hervor, dass diese Anforderungen von Unternehmen derzeit gar nicht eingehalten werden können, da hierfür eine Mitwirkung von Facebook erforderlich ist. Wörtlich heißt es:

„Die deutschen Aufsichtsbehörden weisen darauf hin, dass nach dem Urteil des EuGH dringender Handlungsbedarf für die Betreiber von Fanpages besteht. Dabei ist nicht zu verkennen, dass die Fanpage-Betreiber ihre datenschutzrechtlichen Verantwortung nur erfüllen können, wenn Facebook selbst an der Lösung mitwirkt und ein datenschutzkonformes Produkt anbietet, das die Rechte der Betroffenen wahrt und einen ordnungsgemäßen Betrieb in Europa ermöglicht.“

Vor diesem Hintergrund kann allen Fanpage-Betreibern derzeit nur dazu geraten werden, kritisch zu prüfen, ob sie ihre Seiten vom Netz nehmen. Zwar hat der EuGH nicht entschieden, dass Facebook tatsächlich Datenschutzverstöße begeht, für die die Betreiber von Fanpages mitverantwortlich sind. Diese Frage wird nun vom Bundesverwaltungsgericht geprüft und entschieden. Bis zu diesem Urteil können noch mehrere Monate vergehen. Allerdings zeigt die Stellungnahme der Datenschutzkonferenz, dass diese der Ansicht ist, dass Facebook Fanpages in ihrer jetzigen Form nicht datenschutzkonform sind und derzeit auch nicht datenschutzkonform betrieben werden können. Im schlimmsten Fall drohen Fanpage-Betreibern damit Konsequenzen sowohl von Seiten der Datenschutzbehörden (Untersagungsverfügungen und Zwangsgeld bei Nichtbefolgung sowie ggf. Bußgelder), als auch Abmahnungen von Mitbewerbern, klagebefugten Organisationen (z.B. Verbraucherzentralen) und betroffenen Nutzern.

Auch wenn sich die Entscheidung des EuGH nur auf Facebook-Fanpages bezieht, kann diese im Prinzip auf alle weiteren von Facebook bereitgestellten Tools übertragen werden, seien es Social Plug-Ins (z.B. Like-Button oder Einbettung von Facebook-Videos), Facebook-Ads oder das Facebook-Pixel (z.B. für Conversion-Messung oder Bildung von Custom Audiences) sowie auf Produkte von mit Facebook verbundenen Unternehmen, insbesondere WhatsApp und Instagram. Auch deren Einsatz sollte daher kritisch geprüft werden.

Es bleibt abzuwarten, wie und wann Facebook auf das Urteil des EuGH reagieren wird. Facebook wird abwägen, ob es wirtschaftlich sinnvoller ist, einen Verlust von (Werbe-) Kunden in Europa hinzunehmen oder sich den Forderungen der europäischen Datenschutzschützer zu beugen. Da Facebook aller Datenschutzskandale und Kritik zum Trotz bislang keine tiefgreifenden Maßnahmen für mehr Datenschutz ergriffen hat, ist hier jedenfalls nicht mit schnellen Maßnahmen zu rechnen.

Unternehmen, die trotz der Risiken ihre Facebook-Fanpage weiter betreiben wollen, sollten in jedem Fall einen Absatz zur Datenverarbeitung durch Facebook und sie auf der Fanpage in die Datenschutzerklärung auf ihrer Website aufnehmen und diese (ggf. in gekürzter Form) auch auf ihrer Facebook-Fanpage einbinden.


Sollten Sie bezüglich dieses Newsletters Fragen haben, wenden Sie sich gerne an folgende Ansprechpartner:

Dr. Jörg Buschbaum, LL.M. (NZ)
Verena Hechenblaikner, LL.M.
Dr. Katrin Stadler
Stephanie G. Hartung

Wir möchten darauf hinweisen, dass die allgemeinen Informationen in diesem Newsletter eine Rechtsberatung im Einzelfall nicht ersetzen.