Wer bei Facebook eine Fanpage betreibt, ist für die Verarbeitung von personenbezogenen Daten mitverantwortlich, entschied der EuGH. Wie das mit der DSGVO zusammengeht und ob die Seiten jetzt gelöscht werden müssen, erläutert Marc Maisch.
Es ist ein Paukenschlag: Der Betreiber einer Facebook-Fanpage ist gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich, entschied der Europäische Gerichtshof (EuGH) am Dienstag (Urt. v. 05.06.2018, Az. C-210/16).
Dem Vorabentscheidungsverfahren am EuGH lag ein Verwaltungsrechtsstreit zwischen der Wirtschaftsakademie Schleswig-Holstein GmbH und dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) zugrunde. Die klagende Akademie bewirbt Bildungsangebote auf eine Facebook-Fanpage. Gegen eine datenschutzrechtliche Anordnung des beklagten ULD setzte sich die Einrichtung bis zum Bundesverwaltungsgericht (BverwG) zu Wehr, das dem EuGH u.a. die Frage vorlegte, ob die Akademie als Fanpage-Betreiberin verantwortliche Stelle sein kann. Dies hat der EuGH nun bejaht.
Fanpages sind dabei solche Benutzerkonten, die bei Facebook von Privatpersonen oder Unternehmen eingerichtet werden können. Der Fanpage-Betreiber kann nach seiner Registrierung Facebook dazu benutzen, sich den übrigen Nutzern oder auch externen Seitenbesuchern zu präsentieren, Beiträge zu veröffentlichen oder Werbung zu machen. Mit Hilfe der Funktion "Facebook Insight", die ihnen Facebook als nicht abdingbaren Teil des Benutzungsverhältnisses kostenfrei zur Verfügung stellt, können anonymisierte statistische Daten über die Nutzer dieser Seiten eingesehen werden.
Wer ist verantwortlich für die Datenverarbeitung?
Auf die Vorlagefragen des BVerwG hatten die Luxemburger Richter zu klären, ob der Betreiber einer in einem Sozialen Netzwerk betriebenen Fanpage in dieser Eigenschaft im Fall von Datenschutzverstößen durch das Netzwerk dafür (mit-)verantwortlich ist. Gegenstand des Verfahrens war die Auslegung der nunmehr alten Begriffsdefinitionen zur verantwortlichen Stelle, § 3 Nr. 7 BDSG a.F. bzw. Art. 2 lit. d Datenschutzrichtlinie 95/46/EG. Die Begriffsdefinition der Datenschutzrichtlinie ist allerdings nahezu wortgleich in Art. 4 Nr. 7 der gerade in Kraft getretenen Datenschutz-Grundverordnung (DSGVO ) umgesetzt, sodass diese Entscheidung trotzdem große Signalwirkung haben dürfte.
Verantwortlicher ist gem. Art. 2 lit. Datenschutzrichtlinie 95/46 EG wer allein oder gemeinsam mit anderen über Zwecke und Mittel der Datenverarbeitung entscheidet. Bereits in der Sache Google Spain und Google (Az. C‑131/12) ist der EuGH von einem weiten Begriffsverständnis beim Verantwortlichen ausgegangen, um einen wirksamen und umfassenden Schutz der betroffenen Personen sicherzustellen. Aus der Formulierung "allein oder gemeinsam mit anderen" schließt der EuGH, dass nicht zwingend eine einzige Stelle, sondern auch mehrere Akteure an der Datenverarbeitung beteiligt sein können, wenn sie einen Beitrag liefern.
Für die Annahme der gemeinsamen Verantwortung führt der EuGH zunächst ins Feld, dass Fanpage-Betreiber mit Facebook einen Nutzungsvertrag eingehen. Durch die Eröffnung der Fanpage ermögliche der Betreiber Facebook, bei Facebook-Nutzern oder auch anderen Besuchern Cookies in deren Endgeräten zu speichern. Auf diese Weise erhalte Facebook umfassende Einblicke in die Nutzung seiner Dienste, um sein System der Werbung zu verbessern. Fanpage-Betreiber erhalten dazu Statistiken und Informationen über die Profile ihrer Fans, um relevantere Inhalte bereitstellen zu können.
Die bloße Nutzung eines Sozialen Netzwerks wie Facebook führe nicht zur Mitverantwortung, wie der EuGH klarstellt. Die Mitverantwortung beginnt aber nach Ansicht der Richter bereits mit der Einrichtung der Fanpage, da der Betreiber diese auf sein Zielpublikum ausrichte, mittels Filtern Kriterien für die Erhebung der Statistiken festlege und Kategorien von Personen bezeichne, deren personenbezogene Daten von Facebook ausgewertet werden sollen. Insbesondere demografische Angaben, u.a. zu Altersbereichen, Geschlecht, der beruflichen Situation, Lebensstil und Interessen könnten für spezielle Werbeaktionen und zielgerichtete Informationen verwendet werden.
Mitverantwortlichkeit auch ohne Zugang zu den Daten
Der Umstand, dass diese von Facebook erstellten Besucherstatistiken ausschließlich in anonymisierter Form an den Betreiber der Fanpage übermittelt werden, spielt hier keine Rolle. Ein Blick in die Blackbox der Datenverarbeitung scheint dem EuGH nicht wichtig zu sein: Die Richtlinie 95/46 verlange jedenfalls nicht, dass bei einer gemeinsamen Verantwortlichkeit mehrerer Betreiber für dieselbe Verarbeitung jeder Zugang zu den betreffenden personenbezogenen Daten hat. Wer als Betreiber einer Facebook-Fanpage die dazugehörigen Dienstleitungen nutze, könne sich nicht von seinen Datenschutzpflichten befreien.
Unter Anwendung dieser weiten Auslegung der Verantwortlichkeit stellt der EuGH fest, dass die klagende Akademie für die Datenverarbeitung gemeinsam mit Facebook verantwortlich ist. Aus dem Umstand, dass Fanpages auch von Dritten, die keine Facebook-Nutzer sind, besucht werden können, folge eine noch höhere Verantwortung, da auch bei diesen Besuchen automatisch eine Verarbeitung von personenbezogenen Daten ausgelöst werde.
Die Luxemburger Richter schließen die Beantwortung der Vorlagefragen mit einer wichtigen Klarstellung: Die Annahme der gemeinsamen Verantwortung führe nicht zwangsläufig zu einer gleichwertigen Verantwortlichkeit der verschiedenen Akteure: Vielmehr könnten diese Akteure in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß in der Weise einbezogen sein, sodass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist.
Müssen Facebook-Fanpages nun schließen?
Die Entscheidung hat keine Auswirkungen auf die Nutzung von Sozialen Netzwerken für ausschließlich private Zwecke. Wer Fanpages zu geschäftlichen Zwecken einrichtet, ist aber datenschutzrechtlich in der Mitverantwortung. Das Urteil ist auf ähnliche Dienste wie Instagram, Snapchat oder Youtube übertragbar. Mit der Verkündung des BVerwG-Revisionsurteils werden Fanpage-Betreiber den Pflichten, insbesondere Informationspflichten, Betroffenenrechten und der Haftung nach der DSGVO unterliegen, was zu aufsichtsbehördlichen Anordnungen oder wettbewerbsrechtlichen Abmahnungen führen kann.
Fanpages stehen aber auch nicht automatisch vor dem Aus. Zunächst muss die Wertung des EuGH Eingang in das Revisionsverfahren finden und im Urteil des BVerwG umgesetzt werden. Akuter Handlungsbedarf für eilige Kontolöschungen besteht daher nicht. Bereits jetzt können Fanpage-Betreiber in der Facebook-Seiteninformation unter "Datenschutzrichtlinie" eine eigene extern gespeicherte Datenschutzerklärung verlinken, um die Informationspflichten gem. Art. 13, 14 DSGVO zu erfüllen. Darin kann auf die Datenverarbeitung im Rahmen einer Fanpage für das jeweilige Soziale Netzwerk Bezug genommen werden, um - soweit möglich - für Transparenz zu sorgen.
Abzuwarten bleibt zudem, wie Facebook und andere Plattformanbieter reagieren werden. Mit Vereinbarungen zur gemeinsamen Verantwortung gem. Art. 26 DSGVO können die Pflichten und Verantwortungsbereiche klar aufgeteilt werden. Um nicht weniger als das gesamte europäische und für Facebook überaus lukrative Werbegeschäft zu gefährden, dürfte davon auszugehen sein, dass Mark Zuckerbergs Unternehmen diesen Weg wählen wird, um das Social-Media-Marketing datenschutzkonform anbieten können.
Der Autor ist Rechtsanwalt in der Kanzlei Maisch Mangold Schwartz in München und berät im Datenschutz- und Informationstechnologierecht. Erwurde an der Universität Passau zu einem datenschutzrechtlichen Thema in Bezug auf Facebook promoviert, ist Mitglied der Expertenrunde für Cybercrime "Blackstone432" sowie des Arbeitskreises zur Umsetzung der DSGVO des Bayerischen Staatsministerium des Innern und für Integration.
Marc Maisch, EuGH zur Datenschutz-Verantwortlichkeit bei Facebook-Fanpages: . In: Legal Tribune Online, 06.06.2018 , https://www.lto.de/persistent/a_id/28981 (abgerufen am: 02.11.2024 )
Infos zum Zitiervorschlag