Seit dem 25. Mai 2018 gilt die überarbeitete Version der DSGVO. In einem Verfahren musste der EuGH entscheiden, wie es um die datenschutzrechtlichen Zuständigkeiten auf den Facebook-Fanseiten bestellt ist, allerdings noch nach altem Recht. Abschließend ist der Europäische Gerichtshof der Meinung, dass die Betreiber von Facebook-Fanseiten auch für Datenschutzverstöße von Facebook die Mitverantwortung tragen.
Der Europäische Gerichtshof hat entschieden
Mit dem Urteil vom 5. Juni 2018 (Rs. C‑210/16) gibt der Europäische Gerichtshof dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein recht, dessen Anordnung lautete, dass Fanpage-Betreiber bei Facebook für die Verarbeitung der Daten eine datenschutzrechtliche (Mit-)Verantwortung tragen. Parallel dazu stellte er fest, dass in Bezug auf Facebook überall in der Europäischen Union das nationale Datenschutzrecht durch die Aufsichtsbehörden der jeweiligen Mitgliedstaaten bereits vor Geltung der EU-Datenschutz-Grundverordnung (DSGVO) Anwendung fand, sofern entsprechende Niederlassungen existierten.
Das bedeutet für alle Betreiber von Fanpages bei Facebook, dass sie in Zukunft eine Mitverantwortung für die Verarbeitung der Daten tragen, die von den Fanpage-Nutzern oder -Besuchern erhoben werden. Der Europäische Gerichtshof stellte fest, dass Facebook und Fanpage-Betreiber eine gemeinsame Verantwortung tragen. Betreiber sind den Nutzern gegenüber also auch auf Plattformen wie Facebook in Bezug auf das Datenschutzrecht verpflichtet, ähnlich wie bei der eigenen Homepage. Betreiber sollten daher ab sofort von Facebook ein spürbares Mehr an Transparenz zur Verarbeitung der Nutzerdaten einfordern. Ist das mit der geltenden DSGVO nicht vereinbar, müssen entweder durch Facebook Änderungen bewirkt oder sogar das Angebot gelöscht werden. Wird dies nicht umgesetzt, kann es unter Umständen zu Anordnungen von Behörden sowie zur Auferlegung von Bußgeldern kommen. Darüber hinaus sieht der Europäische Gerichtshof es als fraglich an, dass Facebook das Speichern von IP-Adressen und das Setzen von Cookies ohne die Einwilligung der Betreiber durchführt und sie auch nicht darüber informiert.
Was genau ist eigentlich passiert?
Sie sind Händler und möchten damit zwangsläufig Werbung für Ihren Betrieb, Ihre Produkte oder Dienstleistungen machen. Dazu gehört auch, eine Fanpage bei Facebook einzurichten. Sie lässt sich schnell einrichten und ist kostenlos. Des Weiteren ist ihre theoretische Reichweite sehr hoch. Bisher war es so, dass einfache Präsentationsseiten, die Unternehmen vorstellen und nichts verkaufen, nur das Impressum auf der Fanpage angeben mussten und sich damit in Sicherheit wähnten. Damit schien die Seite also rechtlich sicher. Doch dieser Annahme schiebt das Urteil des Europäischen Gerichtshofs nun einen Riegel vor. Wie schon erwähnt, bezieht er eine klare Stellung dazu: Sie können nicht nur für eventuelle Verstöße von Facebook gegen das geltende Datenschutzrecht haften und in diesen Fällen die Rolle des Ansprechpartners für die Datenschutzbehörden einnehmen. Vielmehr müssen Facebook-Fanseiten in Zukunft zusätzlich eine eigene Datenschutzerklärung aufweisen.
Die Tragweite des EuGH Urteils
Das Urteil des Europäischen Gerichtshofs betrifft alle Unternehmen, die zu Präsentationszwecken bei Facebook eine Fanpage eingerichtet haben. Ob kleiner Händler oder großes Unternehmen, spielt dabei keine Rolle. Es ist auch gleichgültig, welche von Facebook bereitgestellten Daten der Fanseiten-Betreiber in welchem Umfang verarbeitet. Auch Privatpersonen können erfasst werden, dies müsste indes im Einzelfall eingehend geprüft werden.
Gilt das Urteil auch unter der DSGVO?
Der EuGH entschied zwar “nur” über die Auslegung der Datenschutzrichtlinie (Richtlinie 95/46/EG, Art. 2 lit d., 4 u. 28), d. h. nach altem Recht. Doch auch die DSGVO sieht vor, dass es mehrere Verantwortliche für die Verarbeitung von Daten geben kann, wenn diese Verantwortlichen gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen (Art. 4 Nr. 7 Satz 1 DSGVO i. V. m. Art. 26 DSGVO). Daher kann die Entscheidung auch auf die DSGVO übertragen werden. Interessanter und in diesem Kontext bisher weitestgehend unbeachtet ist übrigens der “Rattenschwanz” zur gemeinsamen Verantwortlichkeit in Art. 26 DSGVO:
“Sie [Anmerkung: die gemeinsam Verantwortlichen] legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind. In der Vereinbarung kann eine Anlaufstelle für die betroffenen Personen angegeben werden.”
Diese Art von Vereinbarung wird auch “Joint Controller”-Vertrag genannt und sollte von gemeinsam Verantwortlichen die Beachtung erhalten, die sie mit Blick auf Haftungsfragen und organisatorische Aufgabenteilung erfordert.
Facebook & Datenverarbeitung
In Bezug auf Datenschutz hat Facebook bereits in der Vergangenheit negative Schlagzeilen gemacht. Das soziale Netzwerk stellt seinen Usern zwar viele Dienste kostenlos bereit, doch letztendlich müssen Sie Ihre personenbezogenen Daten dafür hergeben. Dem liegt augenscheinlich das Geschäftsmodell zugunde, Unternehmen zielgruppengenaue und personalisierte Daten – zu tendenziell steigenden Preisen – zu verkaufen, die dann als Werbemöglichkeit verwendet werden.
Nicht anders verhält es sich mit den besagten Facebook-Fanpages, die letzten Endes als Einfallstor für die Datenverarbeitung dienen. Welche Daten das genau sind und wie sie von Facebook verarbeitet werden, ist nicht vollumfänglich bekannt. Es ist aber möglich und per Umkehrschlüsse nachvollziehbar, dass konkretisierte Nutzerprofile mit unterschiedlichen Informationen generiert werden, um die zugehörigen Nutzer für Werbekunden nützlicher zu machen.
Fanpages ab sofort nur noch mit Datenschutzerklärung
Da Fanpage-Betreiber bei Facebook durch den Europäischen Gerichtshof klar und deutlich als Verantwortliche für das Datenschutzrecht ausgemacht wurden, müssen sie handeln. Auch dann, wenn Fanseiten-Betreiber die personenbezogenen Daten gar nicht verwerten möchten. Betreiber müssen als Verantwortliche auf Ihrer Fanpage über ihre datenschutzrechtliche Rolle informieren wie auch den Umstand darstellen, inwieweit Facebook Daten verarbeitet. Das bedeutet, dass auch für einfache Präsentationen von Unternehmen ein korrektes Impressum sowie eine Datenschutzerklärung vorhanden sein müssen. Fehlt die Datenschutzerklärung, steigt das Abmahnrisiko (soweit die grundsätzliche Abmahnfähigkeit wegen Datenschutzverstößen bejaht wird) und ebenso die latente Gefahr, einem Bußgeld ausgesetzt zu sein. Doch schon gemäß dem alten Datenschutzrecht, das vor der DSGVO Wirkung entfaltete, war das Betreiben von Internetseiten ohne eine Datenschutzerklärung ein Verstoß gegen den Datenschutz.
Was ist nun zu erwarten?
Derzeit muss (noch) niemand in Panik ausbrechen, denn es ist noch nicht klar, welche Konsequenzen das Urteil des Europäischen Gerichtshofes in der Praxis haben wird. Facebook sollte nun zwingend die Betreiber von Fanpages schnell, wahrheitsgemäß und effektiv in der Umsetzung geltenden Datenschutzrechts gem. DSGVO unterstützen. Ungerecht mag es tatsächlich sein, dass der EuGH Personen verantwortlich macht, die in zahlreichen Belangen keinen Einfluss auf die Verarbeitung der Daten betroffener Personen haben. Aber die rechtliche Herleitung ist korrekt und per se nicht zu beanstanden. Daher ist ein Untätigbleiben für Betreiber von Fanseitenauf sozialen Netzwerken keine Option für Seitenbetreiber. Wichtig und dringend ist vorerst, dass jeder Betreiber einer Fanpage bei sizialen Netzwerken wie Facebook bzw. Verantwortliche i. S. d. DSGVO eine entsprechende Datenschutzerklärung anlegt.