Eine „Never ending Story“? – Facebook und der Datenschutz

Die datenschutzrechtliche Verantwortlichkeit eines Facebook-Fanpage-Betreibers: Anmerkung zum EuGH-Urteil vom 05.06.2018 – C-210/16

Von Christian F. Döpke, LL.M., LL.M., und Prof. Dr. Hans-Josef Vogel

Beitrag als PDF (Download)

Am 05.06.2018 urteilte der EuGH, dass bereits das Anlegen einer Facebook-Fanpage eine datenschutzrechtliche Verantwortlichkeit des Fanpage-Betreibers begründet. Dieser und Facebook sind danach „gemeinsam für die Verarbeitung Verantwortliche“, also Joint Controllers im Sinne von Art. 26 DSGVO. Der EuGH hatte über die Auslegung der Datenschutzrichtlinie (95/46/EG) zu entscheiden. Gleichwohl sind die darin enthaltenen Wertungen ohne weiteres auf die Regelungen der Datenschutz-Grundverordnung (DSGVO) übertragbar .

Das Urteil kann weitreichende Konsequenzen nach sich ziehen und die Nutzung sozialer Netzwerke signifikant verändern.

Die Ausgangslage

Vorausgegangen war dem Urteil ein etwa sieben Jahre währender Rechtsstreit, der mit einigen Untersagungsverfügungen des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein seinen Anfang nahm. Die Datenschützer hatten bei Facebook datenschutzrechtliche Verstöße ausgemacht und sahen die Betreiber von Facebook-Fanpages hierfür in der Mitverantwortung. Verwaltungs- und Oberverwaltungsgericht teilten diese Einschätzung nicht.

Zur Auslegung der dem Urteil zugrundeliegenden Datenschutzrichtlinie aus dem Jahr 1995 legte das Bundesverwaltungsgericht dem EuGH schließlich unter anderem die Frage vor, ob die einschlägigen Normen der Richtlinie „es zulassen, dass die Verantwortlichkeit einer Stelle in ihrer Eigenschaft als Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage im Fall eines Verstoßes gegen die Vorschriften über den Schutz personenbezogener Daten aufgrund der Entscheidung, ein soziales Netzwerk für die Verbreitung ihres Informationsangebots zu nutzen, festgestellt wird.“

Die Entscheidung des EuGH

Um ein hohes Schutzniveau für die Grundfreiheiten und Grundrechte natürlicher Personen zu erreichen, legt der EuGH für die Verantwortlichkeit ein weites Begriffsverständnis zugrunde (so bereits EuGH, Urteil vom 13.05.2014, C – 131/12 „Google Spain“).

Der EuGH erkennt zwar an, dass in erster Linie Facebook Inc. – und für die EU Facebook Ireland – über die Zwecke und Mittel der Verarbeitung personenbezogener Daten der Facebook-Nutzer (und auch der Nichtnutzer, soweit sie Facebook-Seiten besuchen) entscheiden, also datenschutzrechtlich verantwortlich sind. Vor dem Hintergrund, dass jeder Fanpage-Betreiber­ mit ­Facebook einen speziellen Vertrag über die Eröffnung einer solchen Seite schließt und dabei auch den Nutzungsbedingungen und der Cookie-Richtlinie von Facebook zustimmt, erstreckt der EuGH die Verantwortlichkeit aber auch auf den Betreiber. Letzterer könne mit Hilfe der Funktion „Facebook Insight“, die nicht abdingbarer Teil des Benutzungsverhältnisses ist, auf Basis der Informationen, die Facebook in Cookies speichert, unter anderem Kriterien festlegen, nach denen Statistiken über die Nutzung seiner Fanpage erstellt werden sollen. Er könne demographische Daten über seine Zielgruppe verlangen und so umfangreiche Informationen, beispielsweise über Alter, Geschlecht, berufliche Situationen oder das Onlinekaufverhalten bekommen. Damit hätten beide Parteien gleichgelagerte Interessen, etwa, um mit Hilfe der gesammelten Informationen zielgerichtete Werbeaktionen durchführen zu können. Zwar würden diese Daten ausschließlich in anonymisierter Form an den Betreiber der Fanpage übermittelt, jedoch beruhe die Erstellung der Statistiken auf der vorhergehenden Erhebung durch die von Facebook auf dem Computer (oder einem anderen Gerät) gesetzten Cookies und der Verarbeitung der personenbezogenen Daten dieser Besucher für diese statistischen Zwecke. Die Datenschutzrichtlinie verlange gerade nicht, dass bei einer gemeinsamen Verantwortlichkeit mehrerer Betreiber für dieselbe Verarbeitung jeder Zugang zu den betreffenden personenbezogenen Daten haben müsse.

Die Einordnung der Entscheidung

Mit Blick auf die jüngere Entscheidungshistorie des EuGH ist es durchaus konsequent, den Begriff des Verantwortlichen weit zu verstehen. Für den Schutz der Privatsphäre des Einzelnen ist dies auch durchaus zu begrüßen. Leider hat der EuGH dabei die Interessen der Fanpage-Betreiber aus den Augen verloren und auch deren tatsächlich bestehende Möglichkeiten verkannt.

So ist es nicht verwunderlich, dass sich nach der Entscheidung Verunsicherung breitmachte. Mancher Fan­page-Betreiber ging davon aus, seine Fanpage unmittelbar abschalten zu müssen, da diese gegen geltendes Datenschutzrecht verstoßen würde. Dabei hat der EuGH dies gar nicht entschieden; erst wenn das Bundesverwaltungsgericht Datenschutzverstöße bei Facebook feststellt, haftet der Fanpage-Betreiber als „gemeinsam für die Verarbeitung Verantwortlicher“ mit. Seine Mithaftung reicht dann aber so weit, wie die Verarbeitung von personenbezogenen Daten über Facebook und Facebook-Plug-ins erfolgt.

Dass es dann interessengerecht wäre, sich primär an den Betreiber einer Fanpage zu halten, muss bezweifelt werden, zumal die DSGVO nun unmissverständlich ein Vorgehen gegen Facebook selbst ermöglicht, was nach der Datenschutzrichtlinie noch umstritten war.

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder erkennt insoweit an, dass die Fanpage-Betreiber ihre datenschutzrechtliche Verantwortung nur dann werden erfüllen können, wenn Facebook selbst an einer Lösung mitwirkt und ein daten­schutzkonformes Produkt anbietet. Gleichzeitig legen sie zukünftig hohe Maßstäbe an den Betrieb einer Fanpage an, die sich aber weitgehend bereits aus Art. 26 DSGVO ergeben. So erwarten sie vom Betreiber:

  • transparente und verständliche Informationen darüber, welche Daten zu welchen Zwecken durch Facebook und den Fanpage-Betreiber verarbeitet werden – sowohl für registrierte Nutzer als auch nichtregis­trierte Besucher;
  • sich selbst zu versichern, dass Facebook ihnen die Informationen zur Verfügung stellt, die sie zur Erfüllung der Informationspflichten nach der DSGVO benötigen;
  • die Einwilligung der betroffenen Personen (erneut Nutzer und Nichtnutzer) einzuholen, wenn über ihre Fanpage ein Tracking stattfindet (etwa durch den Einsatz von Cookies oder vergleichbaren Techniken oder die Speicherung der IP-Adresse);
  • mit Facebook einen Vertrag über die gemeinsame Verantwortlichkeit zu schließen, der genau definiert, wie die Verpflichtungen zwischen den Parteien aufgeteilt sind, und die wesentlichen Inhalte des Vertrags den Betroffenen zur Verfügung zu stellen.

Hier zeigt sich die Realitätsferne des Urteils: Über die Einzelheiten zu Zweck und Umfang der Datenverarbeitung durch Facebook wird der Fanpage-Betreiber keine Auskunft geben können. Aus demselben Grund ist es ihm auch nicht möglich, eine informierte Einwilligung der Betroffenen einzuholen, zumal dafür auch das Kriterium der Freiwilligkeit und mitgliedsstaatabhängige Alters­grenzen für die Einwilligungsfähigkeit zu beachten sind. Auf den Abschluss eines Vertrags über die gemeinsame Verantwortlichkeit hinzuwirken liegt im Verantwortungsbereich von Facebook, das zudem inhaltlich gefordert sein wird, die Pflichten nach der DSGVO zu übernehmen, da nur Facebook in der Lage ist, diese tatsächlich zu erfüllen.

Wenig konkret hat Facebook hierzu inzwischen angekündigt, „die notwendigen Schritte [zu] unternehmen, um es den Seitenbetreibern zu ermöglichen, ihren rechtlichen Verpflichtungen nachzukommen.“ Mit einer Aktualisierung der Nutzungsbedingungen sei geplant, die Verantwortlichkeiten von Facebook und den Seitenbetreibern klarzustellen „und damit auch die Einhaltung der rechtlichen Vorgaben für die Seitenbetreiber zu erleichtern.“

Fazit

Der Betrieb einer Fanpage, die für Unternehmen wie für gemeinnützige Organisationen in erster Linie einen ebenso hilfreichen wie wichtigen Kommunikationskanal zu Kunden und Interessenten darstellt, ist damit zu einem Risiko geworden, dessen Ausmaß sich noch nicht abschätzen lässt, zumal sich die Urteilsgründe auf alle weiteren Plattformen wie Twitter oder Instagram anwenden lassen.

christian.doepke@bblaw.com

hans-josef.vogel@bblaw.com