Seit 25.5.2018 hat das Thema Datenschutz stark an Aufmerksamkeit gewonnen. Der EuGH hatte nun ein Verfahren über die datenschutzrechtlichen Zuständigkeiten bei Facebook-Fanpages zu entscheiden – noch nach alter Rechtslage. Demnach sind Betreiber von Fanpages mitverantwortlich für Facebooks Datenschutzverstöße.

UPDATE (19.6.2018): Die Datenschutzkonferenz (DSK) und auch der LfDI NRW stellen klar, dass der legale Betrieb einer Facebook-Fanpage nur noch möglich ist, wenn Facebook selbst etwas ändert. Eine eigene Facebook-Datenschutzerklärung des Händlers löst das Thema nicht vollständig.

Die Wirtschaftsakademie Schleswig-Holstein GmbH klagte gegen einen Bescheid des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) , demzufolge die Akademie ihre Facebook-Fanpage deaktivierten sollte.

Auf ihrer Facebook-Fanpage hatte die Wirtschaftsakademie ebenso wie Facebook nicht darauf hingewiesen, dass dort mittels Cookies personenbezogene Daten der Besucher gespeichert und verarbeitet werden.

Nachdem die Akademie dem Bescheid erfolglos widersprochen hatte, erhob sie Klage vor dem Verwaltungsgericht (Deutschland).

Nicht verantwortlich?

Die Akademie war der Ansicht, dass ausschließlich Facebook gem. § 3 Abs. 7 BDSG für die Verarbeitung personenbezogener Daten auf der Plattform verantwortlich sei. Daher könne sie selbst gar nicht Adressatin einer Verfügung nach § 38 Abs. 5 BDSG sein.

In den ersten beiden Instanzen erhielt die Klägerin Recht. Beide Gerichte waren ebenfalls der Ansicht, dass nur Facebook über den Zweck und die Mittel der Erhebung personenbezogener Daten entscheide. Die Wirtschaftsakademie erhalte selbst nur anonymisierte, statistische Informationen und sei somit nicht „Verantwortliche“.

Das Bundesverwaltungsgericht war von dieser Begründung nicht überzeugt und rief den EuGH an.

Beitrag zur Datenverarbeitung

Mit Urteil vom 5.6.2018 (Az. C-210/16) entschied nun der Europäische Gerichtshof, dass auch die Betreiber von Facebook-Fanpages Verantwortliche im Sinne des Datenschutzrechts sind. Dadurch, dass sie die Fanpages einrichten, geben sie nämlich Facebook erst die Gelegenheit, Daten über die Besucher der Seite zu sammeln.

Hierbei sei es nicht einmal notwendig, dass die Besucher über ein Facebook-Benutzerkonto verfügen. Jeder Internetnutzer könne die Seite aufrufen. Ohne die Fanpage hätte Facebook keinen Zugang zu den Daten der Nutzer. So spielen die Betreiber der Seite eine nicht unerhebliche Rolle in der Datenverarbeitung und gelten daher ebenfalls als Verantwortliche.

Außerdem muss der Betreiber einer Fanpage bei deren Einrichtung eine gewisse Vorauswahl über die Besucher seiner Seite treffen. Hierbei orientiert er sich an seinem Zielpublikum sowie den Zielen der Steuerung oder der Förderung seiner Tätigkeiten. Diese Parametrierung wirkt sich dann auch auf die Statistiken aus, die über die Besucher der Seite erstellt werden.

Konkretisierung der Datenauswertung

Hierzu führt der EuGH aus:

„Mit Hilfe von durch Facebook zur Verfügung gestellten Filtern kann der Betreiber die Kriterien festlegen, nach denen diese Statistiken erstellt werden sollen, und sogar die Kategorien von Personen bezeichnen, deren personenbezogene Daten von Facebook ausgewertet werden.

Folglich trägt der Betreiber einer auf Facebook unterhaltenen Fanpage zur Verarbeitung der personenbezogenen Daten der Besucher seiner Seite bei.“

Die Fanpage liefert die Grundlage für die Datenverarbeitung:

„Zwar werden die von Facebook erstellten Besucherstatistiken ausschließlich in anonymisierter Form an den Betreiber der Fanpage übermittelt, jedoch beruht die Erstellung dieser Statistiken auf der vorhergehenden Erhebung – durch die von Facebook auf dem Computer oder jedem anderen Gerät der Personen, die diese Seite besucht haben, gesetzten Cookies – und der Verarbeitung der personenbezogenen Daten dieser Besucher für diese statistischen Zwecke.

Die Richtlinie 95/46 verlangt jedenfalls nicht, dass bei einer gemeinsamen Verantwortlichkeit mehrerer Betreiber für dieselbe Verarbeitung jeder Zugang zu den betreffenden personenbezogenen Daten hat.“

Der EuGH resümiert:

„Unter diesen Umständen ist festzustellen, dass der Betreiber einer auf Facebook unterhaltenen Fanpage wie die Wirtschaftsakademie durch die von ihm vorgenommene Parametrierung u.a. entsprechend seinem Zielpublikum und den Zielen der Steuerung und Förderung seiner Tätigkeiten an der Entscheidung über die Zwecke und Mittel der Verarbeitung personenbezogener Daten der Besucher seiner Fanpage beteiligt ist.

Daher ist der Betreiber im vorliegenden Fall als in der Union gemeinsam mit Facebook Ireland für diese Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 einzustufen.“

Zur Zuständigkeit der nationalen Kontrollbehörden

Neben den Fragen bezüglich der datenschutzrechtlichen Verantwortlichkeit von Fanpage-Betreibern ging es auch um die Zuständigkeit des ULD in diesem Fall. Die Wirtschaftsakademie war der Meinung, dass das ULD als deutsche Kontrollstelle nicht für Sachverhalte im Zusammenhang mit Facebook zuständig sei.

Weil Facebook aber einen wesentlichen Teil seiner Einnahmen aus Werbung gewinnt und Facebook Germany die Aufgabe hat, in Deutschland den Verkauf von Werbeflächen zu fördern, nahm der EuGH an, dass die Tätigkeit der deutschen Niederlassung mit der in Rede stehenden Datenverarbeitung untrennbar verbunden sei.

Insofern sei deutsches Recht auf die Verarbeitung anwendbar und das ULB sei ebenfalls berechtigt gewesen, seine nationalrechtlichen Befugnisse auszuüben.

Altes Recht = Neues Recht?

Die Entscheidung des EuGH erging zur Richtlinie 95/46 des Europäischen Parlaments und des Rates bzw. zum deutschen BDSG.

Mit Inkrafttreten der Datenschutzgrundverordnung am 25.5.2018 sind beide Rechtsgrundlagen gleichzeitig außer Kraft getreten.

Dennoch hat die Entscheidung Bedeutung für die aktuelle Rechtslage.

  • Die Definition des „für die Verarbeitung Verantwortlichen“ findet sich nun in Art. 4 Nr. 7 DSGVO und unterscheidet sich nur unwesentlich von der aus Art. 2 Buchst. d der Richtlinie 95/46.
  • Das Kriterium ist auch unter neuem Recht noch die Entscheidungsmacht über die Mittel und Zwecke der Verarbeitung personenbezogener Daten.

Daher ist der Betreiber einer Facebook-Fanpage auch als Verantwortlicher gem. Art. 4 Nr. 7 DSGVO einzustufen, auch wenn die Entscheidung zu mittlerweile altem Recht erging.

Fazit

Das Urteil ist aus unserer Sicht keine Überraschung. Auch nach der deutschen Rechtsprechung zum Wettbewerbsrecht ist der Händler auf einer Plattform wie Amazon Marketplace oder eBay für Wettbewerbsverstöße des Plattformbetreibers verantwortlich. Verpflichtet sich etwa ein Händler durch eine Unterlassungserklärung, nicht ohne Auflistung sämtlicher Produktdetails auf der Checkout-Seite zu verkaufen, kann er bei Amazon keinen Handel mehr treiben, da diese Voraussetzung dort technisch nicht gewährleistet ist.

Dieses Prinzip hat der EuGH nun auch im Datenschutzrecht angewendet. Das Urteil lässt sich auf alle Plattformen übertragen, auf denen der Auftritt des Unternehmens als eigenständiger Teil der Plattform wahrgenommen wird, wie dies bei einer Facebook-Fanpage, einem Youtube-Channel oder Unternehmens-Instagram-Account der Fall ist. Nicht umsonst gilt hier auch eine Impressums-Pflicht.

Ob nun alle Facebook-Fanpages abgeschaltet werden müssen, wie teilweise im Netz orakelt wird, dürfte entscheidend von zwei Faktoren abhängen. Erstens von der Frage, ob Facebook seine Strategie ändert und eine zumindest annähernd EU-datenschutzkonforme Nutzung der Plattform – ggf. gegen Bezahlung – ermöglicht. Zweitens davon, ob Datenschutzverstöße „nur“ von Behörden und Verbraucherzentralen verfolgt werden können oder auch von einschlägigen Abmahnvereinen und Konkurrenten. Beide Fragen sind derzeit noch ungeklärt.

Keine vollständige Lösung ist es jedenfalls, eine eigene Datenschutzerklärung für Facebook vorzuhalten. Diese kann dort zwar mittlerweile ausreichend verlinkt werden, jedoch kann noch die Datenverarbeitung durch Facebook durch eine bloße Information legitimiert werden. So haben die Datenschutzkonferenz (DSK) und der LfDI NRW klargestellt, dass der legale Betrieb einer Facebook-Fanpage nur noch möglich ist, wenn Facebook selbst etwas ändert.