EuGH urteilt zur Datenschutz-Haftung bei Facebook Fanpages

Luxemburg, 05.06.2018 – Der Europäische Gerichtshof hat am 05. Juni entschieden, dass Betreiber von Facebook Fanpages für mögliche Datenschutzverstöße mitverantwortlich sind (Rechtssache C‑210/16).

Ausgangspunkt des Gerichtsverfahrens war eine Untersagungsverfügung, welche das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (kurz „ULD“) gegen die Wirtschaftsakademie Schleswig-Holstein wegen des Betreibens einer Facebook Fanpage angestrengt hatte. Dabei ging es im Wesentlichen um die Frage, ob bei Nutzung von sogenannten Tracking-Funktionen von Facebook Insight allein Facebook datenschutzrechtlich verantwortlich ist oder auch der Betreiber der Fanpage, der diese und vergleichbare Facebook-Features nutzt.

Während das ULD in erster und zweiter Instanz unterlegen war, weil die deutschen Gerichte allein Facebook in der Verantwortung sahen, legte das Bundesverwaltungsgericht (BVerwG) im Rahmen des Revisionsverfahrens die Rechtsfrage dem EuGH vor.

Dieser entschied nun:

„Der Betreiber einer Facebook-Fanpage ist gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich. (...) Sodann befindet der Gerichtshof, dass ein Betreiber wie die Wirtschaftsakademie als in der Union gemeinsam mit Facebook Ireland für die fragliche Datenverarbeitung verantwortlich anzusehen ist. (...) Nach Ansicht des Gerichtshofs kann der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, diesen nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien.“

Wer also Facebook Fanpages zu geschäftlichen Zwecken unterhält, ist nach der aktuellen Entscheidung des EuGH datenschutzrechtlich in der Mitverantwortung.

Zwar erscheint es ungerecht, dass die Untätigkeit von Facebook in Sachen Datenschutz nun auf dem Rücken der Facebook Fanpage-Betreiber ausgetragen wird – die im Übrigen nicht genau wissen, welche Daten von Facebook zu welchen Zwecken erhoben, gespeichert und genutzt werden. Und es ist überdies ärgerlich, dass die Behörden nicht konsequent gegen Facebook selbst vorgegangen sind, um das Unternehmen zu einem datenschutzkonformen Umgang mit den sogenannten Like-Buttons zu zwingen. Dies alles hilft aber bedauerlicherweise aktuell nicht weiter.

Festzustellen ist zunächst, dass der EuGH nicht pauschal zu der Frage Stellung genommen hat, ob der Betrieb von Facebook Fanpages gegen das Datenschutzrecht verstößt. Er hat nur die Fragen beantwortet, die ihm das BVerwG gestellt hat. Im Übrigen ist die Entscheidung des EuGH nur eine Zwischenstation – nachdem der EuGH nun die Vorlage-Fragen beantwortet hat, geht der Rechtsstreit demnächst vor dem BVerwG weiter.

Sollte sich herausstellen, dass Facebook bei den Fanpages Datenschutzverstöße begeht – was aktuell nicht sicher ist, sind die Betreiber der Facebook Fanpages mitverantwortlich und damit haftbar. Allerdings hat der EuGH in seiner Entscheidung auch betont, dass „gemeinsame Verantwortlichkeit“ keineswegs bedeute, dass beide Beteiligten in gleichem Maße zur Verantwortung gezogen werden können.

Abmahnungen sind daher nach Meinung des MITTELSTANDSVERBUNDES aktuell eher unwahrscheinlich. Sollte es dennoch Abmahnungen geben, sollten sich betroffene Unternehmen unverzüglich an einen Rechtsanwalt wenden.

Den Betreibern von Fanpages ist vor diesem Hintergrund zu empfehlen, neben einem Impressum auch entsprechende Datenschutzinformationen bereit zu stellen. In diesen Informationen kann weitgehend auf die Facebook-Datenschutz-Policies verwiesen werden.

Abzuwarten bleibt auch, wie Facebook und andere Plattformanbieter reagieren werden. Mit Vereinbarungen zur gemeinsamen Verantwortung gem. Art. 26 DSGVO können die Pflichten und Verantwortungsbereiche klar aufgeteilt werden. In diesen Verträgen, die die DSGVO vorschreibt, muss geregelt werden, wer für die Datenschutzinformationen und für die Beantwortung von Auskunfts- und Löschungsersuchen zuständig ist.

ERGO:

Zwar ist es richtig, dass das Abschalten der eigenen Facebook Fanpage die einzige Möglichkeit darstellt, sämtlichen möglichen oder hypothetischen, rechtlichen Konsequenzen zu entgehen – zumindest so lange, bis Facebook für das Nutzertracking auf Facebook und Webseiten eine DSGVO-konforme Lösung zur Verfügung stellt.

Aus Sicht des MITTELSTANDSVERBUNDES ist dieser Weg allerdings nicht zwingend. Vor dem Hintergrund des noch laufenden Verfahrens sollte vielmehr abgewartet werden, ob gegebenenfalls das BVerwG der Sache noch einen neuen Aspekt hinzufügen wird und/oder Facebook Möglichkeiten zum datenschutzkonformen Betrieb anbietet. Bis dahin sollten Betreiber von Facebook Fanpages „nur“ darauf achten, ein ordnungsgemäßes Impressum sowie entsprechende Datenschutzinformationen vorzuhalten.