Fanpage EuGH-Urteil Facebook - Wer ist für den Datenschutz verantwortlich?
Datenschutz|FAQ

Das Ende der Facebook Fanseite? EuGH nimmt Seitenbetreiber in die Pflicht.

Wer als Unternehmer junge Zielgruppen ansprechen will, kommt heutzutage nicht um einen Online-Auftritt herum. Eine Facebook-Fanpage gehört für die allermeisten zum kleinen Einmaleins des Online-Marketings. Die Vorteile liegen auf der Hand: Das Unternehmen wird dort sichtbar, wo Internetnutzer die meiste Zeit verbringen – in den sozialen Netzwerken. Über Haftungsfragen machen sich nicht alle die notwendigen Gedanken. Schließlich betreiben doch viele Firmen eine solche Seite und um den Datenschutz kümmert sich doch Facebook, oder nicht?!

Eine jüngst ergangene Entscheidung des EuGH (C-210/16) befasste sich u.a. mit der Frage, ob der Betreiber einer in einem Sozialen Netzwerk betriebenen Fanpage in dieser Eigenschaft im Fall von Datenschutzverstößen durch das Netzwerk dafür (mit-)verantwortlich ist. Der Entscheidung des EuGH lag ein Sachverhalt aus dem Jahr 2011, der noch nicht unter die DSGVO, sondern unter die alte Datenschutzrichtlinie 95/46 EG fällt, zugrunde. Aufgrund des nahezu identischen Wortlauts der beiden Rechtsakte zur datenschutzrechtlichen „Verantwortlichkeit“ (siehe nunmehr Art. 4 Nr. 7 DSGVO) wird jedoch davon ausgegangen, dass die Entscheidung auch auf die neue Rechtslage übertragbar ist.

Grundsätzlich verwendet das Gericht, wie schon in der Sache Google Spain und Google (Az. C 131/12), einen weiten Begriff des „Verantwortlichen“, um einen wirksamen und umfassenden Schutz der betroffenen Personen sicherzustellen. Dies könnten auch mehrere Akteure gleichzeitig sein, wenn sie einen Beitrag liefern.

Auf den Facebook-Fall gemünzt sieht der EuGH die doppelte Verantwortlichkeit Facebooks und des Autors der Fanpage für gegeben an, weil Fanpage-Betreiber mit Facebook einen Nutzungsvertrag eingingen. Durch die Eröffnung der Fanpage ermögliche der Betreiber Facebook, bei Facebook-Nutzern oder auch anderen Besuchern Cookies in deren Endgeräten zu speichern. Auf diese Weise erhalte Facebook umfassende Einblicke in die Nutzung seiner Dienste, um sein System der Werbung zu verbessern. Ein Fanpage-Betreiber erhalte dazu Statistiken und Informationen über die Profile seiner Fans, um relevantere Inhalte bereitstellen zu können.

Hinzukomme, dass der Betreiber die Seite auf sein Zielpublikum ausrichte, indem er mittels Filtern Kriterien für die Erhebung der Statistiken festlege und Kategorien von Personen bezeichne, deren personenbezogene Daten von Facebook ausgewertet werden sollen. Insbesondere demografische Angaben, u.a. zu Altersbereichen, Geschlecht, der beruflichen Situation, Lebensstil und Interessen könnten für spezielle Werbeaktionen und zielgerichtete Informationen verwendet werden.

Seitenbetreiber dürften dieser Argumentation entgegenhalten wollen, dass sie bei der Nutzung einer fremden Plattform wie Facebook ohne rechtlichen oder tatsächlichen Einfluss auf die Zwecke und Mittel der Datenerhebung durch Facebook sind und überhaupt nicht wissen, was Facebook mit den gewonnenen Daten macht. Zudem erhalten sie von Facebook auch nur anonymisierte Statistiken zum Nutzerverhalten allgemein und keine konkreten Angaben über das Verhalten einzelner Personen.

Dieser Umstand spielte für den EuGH hier keine Rolle. Für eine gemeinsame Verantwortlichkeit sei es nicht nötig, dass beide Betreiber für dieselbe Verarbeitung denselben Zugang zu den betreffenden personenbezogenen Daten haben. Wer als Betreiber einer Facebook-Fanpage die dazugehörigen Dienstleitungen nutze, könne sich nicht von seinen Datenschutzpflichten befreien.

Erschwerend käme hinzu, dass die Fanpage für Facebook auch Daten über Dritte, die keine Facebook-Nutzer sind, sammelt und allgemein sich die Statistikfunktion nicht abschalten lasse.
Allerdings erklärte das Gericht auch, dass gemeinsame Verantwortung nicht auch gleichwertige Verantwortung der verschiedenen Akteure bedeute. Inwieweit dieses unterschiedliche Ausmaß vorliegt, sei unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen.

Ferner stellte der EuGH klar, dass die nationalen Datenschutzbehörden gegen Facebook, das außerhalb der Europäischen Union ansässig ist und mehrere Niederlassungen in verschiedenen Mitgliedstaaten unterhält, unmittelbar einschreiten dürfen. Es komme nicht darauf an, ob die in Deutschland befindliche Niederlassung die Hauptzentrale des europäischen Geschäfts ist. Hier hatte es gereicht, dass Facebook seinen europäischen Hauptsitz zwar in Irland hat, jedoch auch in Deutschland eine kleine Niederlassung unterhält, die allein für den Verkauf von Werbeflächen und sonstige Marketingtätigkeiten in Deutschland zuständig ist und keine Nutzerdaten verarbeitet.

Konkret brauchen die deutschen Behörden die irischen Behörden nicht um ein Einschreiten bitten, sondern können direkt gegen den Seitenbetreiber oder Facebook vorgehen. Auch diese Entscheidung ist vor dem Hintergrund des effektiven Betroffenenschutzes zu sehen.

Zunächst ist festzustellen, dass das Urteil des EuGH nicht unmittelbar wirkt, da es im Rahmen eines Vorabentscheidungsverfahrens nur Auslegungsfragen zum EU-Recht beantwortete und nicht den nationalen Fall löste. Künftig werden aber alle nationalen Gerichte an diese Interpretation gebunden sein. Die Lösung obliegt jetzt dem deutschen Bundesverwaltungsgericht. Dabei ist insbesondere fraglich, ob ein Datenschutzverstoß durch den Fanpage-Betreiber vorlag und wie sich die Mitverantwortung konkret darstellt, denn Mitverantwortung bedeutet nicht, dass der Fanpage-Betreiber und Facebook zu gleichen Teilen haften.

Ebenso offen ist, wie Facebook auf diese rechtliche Entwicklung reagieren wird. Bisher verfolgte Facebook in Bezug auf Gerichtsverfahren eine Verzögerungsstrategie, passte beanstandete Punkte langsam nach und nach an und versuchte, die eigenen Risiken zu kalkulieren. In Bezug auf die eigene Sache war das auch durchaus erfolgreich. Fraglich ist jetzt allerdings, wie die nun unmittelbar gefährdeten Nutzer darauf reagieren. Facebook droht eine Austrittswelle, wenn das Unternehmen in dieser Hinsicht nicht transparenter wird, sodass die Seitenbetreiber ihre datenschutzrechtlichen Pflichten erfüllen können.

Die behördliche Datenschutzkonferenz (DSK) hat dazu kürzlich eine Presseerklärung abgegeben, die natürlich nicht rechtlich bindend ist, sich aber wegen der fachlichen Kompetenz und der Autorität der Konferenzteilnehmer faktisch auswirken könnte. Sie erklärt, dass der Fanpage-Betreiber, in verständlicher Form darüber informieren müsse, welche Daten zu welchen Zwecken durch Facebook und den Fanpage-Betreiber verarbeitet werden. Außerdem solle er sich selbst versichern, dass Facebook ihm die Informationen zur Verfügung stellt, die zur Erfüllung der genannten Informationspflichten benötigt werden. Soweit Besucher einer Fanpage getrackt werden, sei es durch den Einsatz von Cookies oder vergleichbarer Techniken oder durch die Speicherung der IP-Adresse, sei grundsätzlich eine Einwilligung der Nutzenden erforderlich, die die Anforderung der DSGVO erfüllt. Klare Antworten und eine klare Positionierung bleibt die DSK jedoch schuldig. Auffällig ist es aber, dass die DSK nicht erwähnt, dass Fanpages bei Nichteinhaltung der Vorgaben abgeschaltet werden sollen.

Sollte das BVerwG nun Datenschutzverstöße feststellen, dann haben Fanpage-Betreiber mit Abmahnungen und Untersagungsverfügungen zu rechnen. Da sie selbst als Verantwortliche gelten würden, müsste auch Facebook die daraus entstehenden Kosten grundsätzlich nicht erstatten.

Problematisch für alle Seitenbetreiber sind die mangelnden technischen Möglichkeiten, die Datenverarbeitung durch Facebook zu überblicken.

Ob die sicherste Form, die eigene Fanpage zu deaktivieren, gewählt werden muss, ist fraglich. Da dies natürlich sehr unattraktiv ist, sollte jeder das (aktuell nicht bezifferbare) Abmahnrisiko gegen das eigene wirtschaftliche Interesse an der Seite abwägen. Aufgrund der gegebenen Unsicherheit werden wohl auch die Abmahner nicht sofort losschlagen, sondern noch die endgültige Entscheidung abwarten, um Rechtssicherheit zu erlangen. Daher ist es nicht geboten, sofort den Betrieb der Fanpage einzustellen.

Ein Opt-In der Nutzer, also eine Einwilligung der Nutzer in die Datenverarbeitung ist theoretisch auf eigenen Homepages denkbar. Bei Facebook haben die Fanpagebetreiber diese Möglichkeit (noch) nicht.

Was Betreiber jetzt schon tun können: In jedem Fall sollte auf der Fanpage ein Impressum angelegt werden mit einer eigenen Datenschutzerklärung. Dort kann man angeben, welche konkreten Nutzungsdaten man als Betreiber von Facebook zur Verfügung gestellt bekommt und dass daneben Facebook die Nutzerdaten gemäß seiner eigenen Datenschutzrichtlinie sammelt. Auf diese Weise könnten zumindest die Informationspflichten der DSGVO erfüllt werden.