Facebook-Fanpages: Gemeinsame Verantwortlichkeit von Facebook und Betreibern

Beitrag aus Ausgabe 73 / August 2018
Recht
Martin Schirmbacher

ist Partner bei HÄRTING Rechtsanwälte, Berlin.

Die Entscheidung des Europäischen Gerichtshofs zu den Facebook-Fanpages ist nun schon ein paar Wochen alt. Doch noch immer sind viele Unternehmen unsicher, ob sie nun ihre Facebook-Seiten offline nehmen sollten. Der EuGH hat entschieden, dass die Betreiber von Fanseiten für etwaige Datenschutzverstöße von Facebook mitverantwortlich sind. Doch was heißt das konkret?

Worum geht es bei dem Rechtsstreit?

Der Reihe nach: Klägerin ist die Wirtschaftsakademie Schleswig-Holstein. Diese bietet auf Facebook über eine Fanpage verschiedene Bildungsdienstleistungen an. Dabei handelt es sich bekanntermaßen um eine Art Website innerhalb von Facebook, eine Unternehmenspräsentation innerhalb der Facebook-Plattform, die sich in erster Linie an Facebook-Nutzer richtet. Beim Besuch einer Fanpage platziert Facebook einen Cookie auf dem Endgerät des Besuchers der Seite. Dieser erfasst die personenbezogenen Daten des Besuchers und speichert sie über eine Dauer von zwei Jahren in dem Endgerät, sofern das Cookie dort nicht gelöscht wird.

Die Erfassung geschieht dabei unabhängig vom Bestehen eines Facebook-Kontos. Die Betreiber der Fanpage erhalten mithilfe der Funktion „Facebook Insight“ anonymisierte Daten über die Nutzer der Seite. Facebook bietet dem Fanpage-Betreiber die Möglichkeit, sein Publikum einzugrenzen und Werbung gezielt an bestimmte Zielgruppen auszusteuern (Parametrierung). Die von Facebook erhobenen Informationen umfassen etwa Alter, Geschlecht und berufliche Situation des Besuchers der jeweiligen Seite. Der Betreiber der Facebookpage erhält die Daten ausschließlich in anonymisierter Form.

2011 ordnete die Datenschutzbehörde Schleswig Holsteins, das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD), als zuständige Kontrollstelle gegenüber der Wirtschaftsakademie an, ihre Fanpage zu deaktivieren. Begründet wurde die Entscheidung damit, dass weder die Wirtschaftsakademie noch Facebook die Nutzer der Fanpage darauf in ausreichendem Umfange hinwiesen habe, dass Facebook personenbezogene Daten erhebt und verarbeitet und die Informationen in Cookies speichert. Gegen diese Anordnung klagte die Wirtschaftsakademie vor dem Verwaltungsgericht. Ihrer Ansicht nach könne ihr die Verarbeitung personenbezogener Daten durch Facebook nicht zugerechnet werden, zumal sie mit Facebook auch keine Auftragsdatenverarbeitung vereinbart habe. Vielmehr müsse das ULD direkt gegen Facebook vorgehen.

Der Streit zog bis vor das Bundesverwaltungsgericht, das dann Anfang des Jahres 2016 den EuGH zur Auslegung der damals noch gültigen EU-Datenschutzrichtlinie anrief. Wichtigste Vorlagefrage war, ob der Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage im Fall eines Verstoßes gegen die Vorschriften über den Schutz personenbezogener Daten als Verantwortlicher gilt oder ob die Argumentation der Wirtschaftsakademie zutrifft und allein Facebook verantwortlich ist. Außerdem wollte das Bundesverwaltungsgericht wissen, ob die ULD auch direkt gegen Facebook hätte vorgehen können.

Was entschied der EuGH?

Verantwortlichkeit von Facebook

Zunächst betont der EuGH, dass Facebook, genauer die irische Tochtergesellschaft der kalifornischen Muttergesellschaft Facebook Ireland, für die Erhebung und Verarbeitung personenbezogener Daten verantwortlich sei, da diese in erster Linie über die Zwecke und Mittel der Verarbeitung der Daten entscheidet.

Keine Auftragsdatenverarbeitung

Anders als dies das ULD meinte, verarbeite Facebook die Daten auch nicht im Auftrag des Unternehmens. Es handle sich also nicht um Auftragsdatenverarbeitung. Die Verantwortlichkeit liege in erster Linie bei Facebook.

Verantwortlichkeit des Betreibers einer Fanpage

Dies schließt aber nicht aus, dass die Unternehmen mit eigenen Seiten auf Facebook für die Datenverarbeitung durch das soziale Netzwerk nicht mitverantwortlich sind. In der Tat entschied der Gerichtshof, dass auch der Betreiber einer Facebook-Fanpage für die Datenverarbeitung verantwortlich ist. Schließlich entschieden die Facebook-Fanpage-Betreiber anhand der von Facebook zur Verfügung gestellten Filter, welche personenbezogenen Daten der Besucher seiner Fanpage erhoben und zu Statistiken verarbeitet werden sollen. Außerdem werden ihm durch die statistischen Datenerhebungen Informationen über Lebensstil, Interessen und Verhalten der Benutzer übermittelt, anhand derer er gezielt Werbung schalten kann. Die Unternehmen seien „an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt.“

Dass die Pagebetreiber auf die konkreten Daten gar nicht zugreifen können, sei unerheblich, da es ausreichend sei, wenn einer der beiden Verantwortlichen direkten Zugang erhält. Maßgeblich sei der Schutz der Nutzer: Durch eine gemeinsame Verantwortlichkeit von sozialen Netzwerken und Fanpage-Betreibern könne der von der Datenschutzrichtlinie geforderte Schutz der Betroffenenrechte umfassender gewährleistet werden.

Der EuGH stellte jedoch klar, dass das Bestehen einer gemeinsamen Verantwortlichkeit nicht heiße, dass die Betroffenen in gleichem Maße verantwortlich sind. Vielmehr müsse der Grad der Verantwortlichkeit unter Berücksichtigung aller maßgeblichen Umstände anhand des Einzelfalls entschieden werden.

Im Klartext: Es gibt eine Mitverantwortung der Unternehmen. Dies bedeutet aber nicht, dass Facebook und die Pagebetreiber zu gleichen Teilen verantwortlich sein müssen. Im Gegenteil: Es liegt nahe, dass die Verantwortung in erster Linie bei der Plattform liegt. Die Betreiber können sich aber nicht durch einen einfachen Hinweis auf Facebook der Verantwortung entziehen.

Zuständigkeit des ULD

Abschließend stellte das Gericht zudem fest, dass das ULD auch dazu befugt gewesen wäre, gegen Facebook direkt vorzugehen. Dabei sei es unerheblich, dass Facebook außerhalb der Europäischen Union ansässig ist und die Datenverarbeitung nach der Aufgabenverteilung des Konzerns eigentlich nicht der Tochtergesellschaft Facebook Germany sondern Facebook Ireland obliegt.

Was hat der EuGH nicht entschieden?

Offengelassen hat der EuGH, ob die Datenverarbeitung durch Facebook nun rechtswidrig ist oder nicht. Das müsse das Bundesverwaltungsgericht selbst ermitteln und entscheiden. Das heißt, der Streit ist noch nicht zu Ende und geht nun in Deutschland weiter. Es ist sogar recht wahrscheinlich, dass das Bundesverwaltungsgericht den Streit noch einmal nach Schleswig-Holstein zurückgibt. Ein Ende ist noch lange nicht in Sicht und das letzte Wort noch nicht gesprochen. Dementsprechend ist die Facebook-Seite der Wirtschaftsakademie auch weiterhin online.

Gilt die Entscheidung auch nach der Datenschutzgrundverordnung?

Die Entscheidung des EuGH erging auf Grundlage der EU-Datenschutzrichtlinie aus dem Jahre 1995 und nicht nach der seit dem 25. Mai 2018 wirksamen Datenschutzgrundverordnung. Allerdings regelt auch Art. 4 Nr. 7 Satz 1 DSGVO, dass Verantwortlicher jeder ist, der „allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Die Möglichkeit einer gemeinsamen Verantwortlichkeit ist also auch hier vorgesehen. Vieles spricht außerdem dafür, dass das Bundesverwaltungsgericht das letztendliche Urteil auf Grundlage des neuen Rechts sprechen wird – damit wäre es die erste Entscheidung des BVerwG über die Auslegung der DSGVO. Dass die Entscheidung auf die DSGVO übertragbar ist, hat auch die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder in einem Statement vom 6. Juni festgestellt.

Was bedeutet das für die Betreiber von Fanpages?

Der EuGH hat nicht darüber entschieden, ob Fanpages rechtswidrig sind und ob Facebook oder die Wirtschaftsakademie tatsächlich Datenschutzverstöße begangen hat. Er stellt lediglich fest, dass sowohl Facebook als auch die Betreiber von Fanpages für die Datenerhebung und Verarbeitung gemeinsam verantwortlich sind. Über einen eventuellen Rechtsverstoß wird erst in Zukunft durch deutsche Gerichte entschieden.

Kein Grund, Fanpages sofort einzustellen

Der Betrieb von Fanpages muss daher nicht umgehend eingestellt werden. Allerdings ist nicht auszuschließen, dass diese vom Bundesverwaltungsgericht als rechtswidrig eingestuft werden. Dann drohen theoretisch Untersagungsverfügungen und Bußgelder durch Datenschutzbehörden. Ob auch Abmahnungen von Wettbewerbern drohen, ist eine andere Frage. Der Konkurrent müsste nicht nur den Datenschutzverstoß nachweisen, sondern auch, dass in der Datenschutzverletzung zugleich ein UWG-Verstoß liegt.

Zusätzliche Datenschutzerklärung integrieren

In jedem Fall sollte neben einem Impressum nun eine Datenschutzinformation mit den Pflichtangaben nach Art. 13 DSGVO in die Fanpages integriert werden. In dieser kann größtenteils auf die Datenschutzerklärung von Facebook und auf die eigene Datenschutzerklärung verwiesen werden. Notwendig ist dabei vor allem die transparente und verständliche Darstellung für den Besucher. Für die Einbindung einer solchen Information sollte der Hinweistext der eigenen Website integriert und dann von Facebook unter dem Punkt „Datenrichtlinie“ verlinkt werden (siehe Abbildung 1).

Empfehlenswert ist es, eine gesonderte Datenschutzerklärung für die Facebook-Seite vorzuhalten. Zwar ist grundsätzlich denkbar, auf die allgemeine Datenschutzinformation auf der Unternehmensseite zu verweisen und dort die Hinweise zur Facebook-Fanpage zu integrieren. Doch stimmen die Einzelheiten dann häufig nicht überein. Insbesondere die Betroffenenrechte können effizient nur bei Facebook ausgeübt werden

Spannend? Jetzt Artikel zu Ende lesen!

Lesen Sie den Artikel weiter in unserer suchradar Ausgabe 73 von August 2018 mit dem Titelthema „Google Ads Automatisierung: Skripte, Gebotsstrategien und dynamische Anzeigen“.

Kostenloses PDF-Magazin bestellen Online weiterlesen? Einfach kostenlos für den Newsletter anmelden. Kostenpflichtiges Print-Abo bestellen