Allgemein

„EuGH-Fanpage-Urteil“ — Inhalt und Bedeutung für die Betreiber von Fanseiten auf Facebook (Stand: 26.06.2018)

Veröffentlicht Luisa Lorenz

Mit Urteil vom 05.06.2018 entschied der Europäische Gerichtshof (EuGH), dass Betreiber von Facebook-Fanseiten eine datenschutzrechtliche Mitverantwortlichkeit haben, mithin für die Datenverarbeitung sowie etwaige einhergehende Verstöße des sozialen Netzwerkes hinsichtlich des Schutzes von Besucherdaten bei Vorliegen entsprechender Umstände ebenfalls sanktioniert werden können.

Anlass des Urteils war ein Vorabentscheidungsersuchen des Bundesverwaltungsgerichts (BVerwG) zur Klärung der datenschutzrechtlichen Verantwortlichkeit für die beim Aufruf einer Facebook-Fanpage erhobenen Nutzerdaten. Bei den streitgegenständlichen Fanpages handelt es sich um spezielle Benutzeraccounts, die auf Facebook von Unternehmen, gemeinnützigen Einrichtungen, Künstlern oder Prominenten eingerichtet werden können.

1. Hintergrund und Kontext der Entscheidung

Bereits im November 2011 forderte der damalige Datenschutzbeauftragte des Landes Schleswig-Holstein, Thilo Weichert, stellvertretend für das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD), die Wirtschaftsakademie Schleswig-Holstein GmbH dazu auf, ihre Fanpage zu deaktivieren. Hintergrund war die fehlende Information der Seitenbesucher über die Erhebung ihrer Daten, die als rechtswidrig eingestuft wurde. Daneben sei die Wirtschaftsakademie GmbH für die von Facebook begangenen Datenverstöße mitverantwortlich, denn mittels des Einrichtens der Fanpage leiste sie einen aktiven und willentlichen Beitrag zur Erhebung von personenbezogenen Nutzerdaten durch das soziale Netzwerk, von der sie nicht zuletzt durch die seitens dessen bereitgestellte Nutzerstatistik profitiere. Fanpage-Betreiber können über die Funktion „Insight“ anonymisierte demografische Daten (etwa Alter, Geschlecht oder Kaufverhalten) über die Besucher ihrer Seite erhalten, womit beispielsweise zielgruppenorientierte Werbeaktionen ermöglicht werden.

Die Akademie (Klägerin) wandte sich gerichtlich gegen die entsprechende Untersagungsverfügung des ULD (Beklagte), wobei die Verfahren durch das VG (v. 09.10.2013, Az. 8 A 14/12) und OVG Schleswig-Holstein (v. 04.09.2014, Az. 4 LB 20/13) sowie das BVerwG (v. 25.02.2016, Az. 1 C 28/14) entschieden wurden. Letzteres legte den Rechtsstreit sodann dem EuGH zur Vorabentscheidung vor (vgl. Art. 267 AEUV). Im Kern machte die Klägerin geltend, dass sie weder datenschutzrechtlich für die Datenverarbeitung durch Facebook noch für deren gesetzte Cookies verantwortlich sei. Es fehle insoweit bereits an der unternehmenseigenen Verarbeitung personenbezogener Daten. Nachdem Facebook auch nicht mit einer von ihr kontrollierten oder beeinflussbaren Datenverarbeitung beauftragt worden sei (vgl. § 11 BDSG a.F.), wären ihr sämtliche Datenverarbeitungsvorgänge durch das soziale Netzwerk ebenfalls nicht zuzurechnen. Überdies habe das ULD das ihm eingeräumte Ermessen fehlerhaft ausgeübt, indem es sich nicht unmittelbar an Facebook gewandt habe.

Während die in der Sache befassten Vorinstanzen im Ergebnis noch die Ansicht des ULD bestätigten, urteilte das BVerwG, dass Fanpagebetreiber in Ermangelung der Möglichkeit einer Einflussnahme auf die rechtswidrige Datenverarbeitung durch die irische Facebook Ltd. nicht verantwortlich seien (BVerwG v. 25.02.2016, Az.: 1 C 28/14, Rn. 15). Demgegenüber sprach sich der zuständige Generalanwalt des EuGH in seinen Schlussanträgen vom 24.10.2017 für eine datenschutzrechtliche Mitverantwortlichkeit der Seitenbetreiber aus, da die Datenverarbeitung durch Facebook von dem Betreiber bereits durch einfaches Löschen der Seite vollumfänglich beendet werden könne.

2. Inhalt der Entscheidung

Der EuGH äußerte sich nunmehr zu der Frage, wer im Sinne der damals gültigen EU-Datenschutzrichtlinie (RL 95/46/EG) für die Datenverarbeitung verantwortlich sei: nur Facebook als technischer Dienstleister oder auch der Betreiber der Seite selbst.

Im Ergebnis gaben die Luxemburger Richter dem ULD in vollem Umfang Recht. „Nach Ansicht des Gerichtshofs kann der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, diesen nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien“ (Rn. 40 der dargestellten EuGH-Entscheidung). Entscheidend hierfür sei, dass die Seitenbetreiber detaillierte Einblicke in die Besucherstatistiken erhielten und auf diese Weise u.a. demografische Merkmale ihrer Besucher erfahren; auch ließe sich die Erfassung dieser Daten nicht deaktivieren. Folglich sei nicht nur Facebook verantwortlich, vielmehr träfe den Betreiber eine Mitverantwortlichkeit, so der EuGH. Der Schutz der durch die Datenverarbeitung Betroffenen müsse umfassend gewährt werden, weshalb der Begriff des Verantwortlichen weit auszulegen sei.

Schließlich wies der EuGH noch darauf hin, dass das Bestehen einer gemeinsamen Verantwortlichkeit keine gleichrangige Verantwortlichkeit bedeute. Vielmehr bestätigte er die Ausführungen des Generalanwalts, wonach „die verschiedenen für die Verarbeitung Verantwortlichen in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß einbezogen sein“ können (vgl. Rn. 43 der dargestellten EuGH-Entscheidung bzw. Rn. 75 der Schlussanträge v. 24.10.2017).

3. Auswirkungen auf die Praxis / offizielle Hinweise für Fanpage-Betreiber

Das EuGH-Urteil zieht als Vorabentscheidung zwar keine sofortigen Konsequenzen für Facebook-Fanpagebetreiber nach sich — im Wesentlichen sind aber folgende praktische Auswirkung denkbar: Das Urteil könnte Facebook dazu „zwingen“, Änderungen an allen Fanpages vorzunehmen, denkbarerweise hat es darüber hinaus zahlreiche Folgen für die Betreiber solcher Seiten. Wie weitreichend diese sein werden, ist derzeit kaum abzusehen.

Spätestens jetzt sind alle Fanpage-Betreiber wohl aber dazu veranlasst, zu klären, für welche Datenschutzpflichten sie selbst zuständig sind bzw. welche Facebook zu erfüllen hat. Jedenfalls unstreitig müssen Seitenbetreiber Besucher darüber informieren, welche Daten Facebook erfasst sowie wie diese verarbeitet werden. Insoweit gilt insbesondere hinsichtlich der zentralen Betroffenenrechte (Art. 12 ff. DS-GVO): Jeder Nutzer kann seine Rechte sowohl gegenüber dem Fanpagebetreiber als auch gegenüber Facebook direkt geltend machen, weshalb jedem Fanpagebetreiber zumindest theoretisch konkrete Sanktionen drohen, sofern er diesen Rechten nicht nachkommt.

Was im Einzelnen zu beachten ist, ist der Entschließung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder vom 06.06.2018 zu entnehmen (abrufbar unter: https://diercks-digital-recht.de/wp-content/uploads/2018/06/Entschließung-DSK-Fanpages-EuGH-Urteil-05_06_2018.pdf): Darin weisen die deutschen Aufsichtsbehörden ausdrücklich darauf hin, dass „nach dem Urteil des EuGH dringender Handlungsbedarf für die Betreiber von Fanpages besteht“. Nicht zu verkennen sei überdies, dass Letztere ihre datenschutzrechtliche Verantwortung nur erfüllen könnten, sofern Facebook selbst an der Lösung mitwirke sowie ein datenschutzkonformes Produkt anbiete, das die Rechte der Betroffenen wahre und einen ordnungsgemäßen Betrieb in Europa ermögliche.

Mittlerweile hat auch die Landesbeauftragte für Datenschutz und Informationsfreiheit NordrheinWestfahlen (LDI NRW) Hinweise für Fanpage-Betreiber veröffentlich (abrufbar unter: https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Facebook-Fanpage-Urteil-des-EuGH—Was-Fanpage-Betreiber-jetzt-tun-muessen/Facebook-Fanpage-Urteil-des-EuGH—Was-Fanpage-Betreiber-jetzt-tun-muessen.html). Wie schon in der Vergangenheit rät die LDI NRW darin öffentlichen Stellen sowie den Unternehmen, Vereinen und anderen Stellen dringend davon ab, Soziale Medien zu nutzen, wenn sie weder feststellen noch beeinflussen können, was mit den personenbezogenen Daten der Nutzerinnen und Nutzer geschieht, gesetzlich aber dazu verpflichtet sind, über die Datenverarbeitungsprozesse umfassend zu informieren.

4. Ausblick

Facebook selbst äußerte sich mittels eines „Updates für Betreiber von Facebook-Seiten“ vom 15.06.2018 (abrufbar unter: https://de.newsroom.fb.com/news/2018/06/ein-update-fuer-betreiber-von-facebook-seiten/). Darin weist das Unternehmen insbesondere darauf hin, „dass es bei der Entscheidung des EuGH nicht um die Rechtmäßigkeit von Facebook-Produkten ging, und dass auch nicht festgestellt wurde, dass Facebook-Seiten oder […] Seitenstatistiken gegen Gesetze verstoßen“. Auch sei sich das soziale Netzwerk der neuen Anforderungen für Datenverantwortliche bewusst und stehe zu seinen Verpflichtungen, aktuelle und zukünftige Datenschutzregelungen der EU einzuhalten. Weitere Stellungnahmen konkreteren Inhalts bleiben abzuwarten.

Ob nun betroffene Betreiber ihre Fanpages löschen oder diese zunächst nur inaktiv setzen, bleibt Ergebnis einer dem Einzelfall entsprechenden Risikoabwägung. Um denkbare Abmahnungen und Sanktionen der Landesdatenschutzbehörden zu vermeiden, bildet es immerhin die sicherste Maßnahme, das aktive Betreiben einer Fanpage zu unterlassen, bis Facebook eine Option bereithält, mittels derer die Speicherung der Daten explizit ausgeschlossen werden kann.

Nachdem sich der EuGH nun grundsätzlich geäußert hat, geht der Fall zurück an das BVerwG. Wann dieses ein endgültiges und die Instanz abschließendes Urteil fällt, ist noch unklar.

Die Bundestagsfraktion der Grünen forderte Facebook bereits zu Verhandlungen auf, anderenfalls würde die Partei eine Änderung der gegenwärtigen Sachlage mittels Klage zu erwirken versuchen (abrufbar unter: https://www.gruene-bundestag.de/fileadmin/media/gruenebundestag_de/themen_az/netzpolitik/180611-brief-an-facebook.pdf). In Anbetracht der Absicht, die parteieigene Fanpage auch weiterhin betreiben zu wollen, forderten die Grünen das soziale Netzwerk insoweit konkret dazu auf, sämtliche Auskünfte über die konkrete Datenerhebung von Fanpage-Besuchern offen zu legen. Bislang äußerte sich der Adressat Facebook Irland Ltd. nicht zu dem via Brief geforderten Verlangen; um die angedrohte Klageerhebung gegen Facebook Deutschland indes zu vermeiden, müsste eine Antwort fristgerecht zum 25.06.2018 erfolgen. Ferner boten die beiden Parteivorsitzenden, Göring-Eckhardt und Hofreiter, der Bundesregierung an, sich ihrem Verfahrensweg anzuschließen. Ob und inwieweit die Forderungen der Grünen Resonanz finden, bleibt zu verfolgen.

Auch wenn sich das EuGH-Urteil nur auf Facebook bezieht, ist es möglicherweise (und gleichermaßen) auf andere Dienste wie etwa Twitter und Instagram übertragbar. Zudem hat die EuGH-Entscheidung eventuell Signalwirkung für ähnlich gelagerte Fälle, bei denen Unternehmen die Infrastruktur von Facebook in Anspruch nehmen. So befasst sich der EuGH derzeit u.a. mit der Frage, ob Seitenbetreiber, die Like-Buttons einbetten, für die Datenverarbeitung durch Facebook mitverantwortlich sind.

Auch die mittlerweile geltenden DS-GVO bewirkt keine inhaltlich abweichende Bewertung.

V. Quellen

Ein Gedanke zu „„EuGH-Fanpage-Urteil“ — Inhalt und Bedeutung für die Betreiber von Fanseiten auf Facebook (Stand: 26.06.2018)

  1. Pingback: Wochenspiegel für die 27. KW., das war beA, Neues zum Pflichti, Kaffee im Auto und Kinderfotos im Internet – Burhoff online Blog

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

CAPTCHA

*