EuGH-Urteil

Facebook: Fanpage-Betreiber sind für Umgang mit Daten mitverantwortlich

In dem zugrunde liegenden Fall ging es um die Facebook-Fanpage der IHK-Wirtschaftsakademie Schleswig-Holstein. Da Facebook über Cookies Daten der Nutzer für Besucherstatistiken erhebt, die Facebook den Seitenbetreibern kostenlos zur Verfügung stellt und Unternehmen diesen Dienst nicht abbestellen können, hatte der ehemalige Datenschutzbeauftragte des Landes, Thilo Weichert, 2011 bewirkt, dass die Facebook-Fanpage der Akademie deaktiviert wurde. Sein Argument: Die Wirtschaftsakademie hatte nicht auf diese Datenverarbeitung hingewiesen.

Die Wirtschaftsakademie klagte daraufhin beim Verwaltungsgericht in Deutschland und machte geltend, dass ihr die Verarbeitung personenbezogener Daten durch Facebook nicht zugerechnet werden könne und sie Facebook auch nicht mit einer von ihr kontrollierten oder beeinflussbaren Datenverarbeitung beauftragt habe. Daraus leitete die Wirtschaftsakademie ab, dass das Unabhängige Landeszentrum direkt gegen Facebook und nicht gegen sie hätte vorgehen müssen.

Nachdem mehrere Vorinstanzen die Auffassung der Kläger bestätigt hatten, wies der EuGH die Klage nun ab und gab dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) in vollem Umfang recht. Seitenbetreiber erhalten detaillierten Einblick in die Besucherstatistiken und erfahren so unter anderem demografische Merkmale ihrer Nutzer, so die Begründung. Und eben weil die Erfassung dieser Daten sich nicht deaktivieren lässt, sei nicht nur Facebook, sondern auch der Betreiber dafür verantwortlich.

"Für alle Facebook-Fanpage-Betreiber bedeutet das heutige Urteil, dass die aktuelle Fanpage-Nutzung rechtswidrig ist. Denn mit heutigen Urteil ist klar, dass Betreiber einer Fanpage u.a. beispielsweise eine Datenschutzerklärung vorhalten müssen, wie es bislang "nur" für Webseiten vorgesehen war. Auch müssen Betreiber nun Nutzern gegenüber Auskunft erteilen, ob Daten gespeichert und verarbeitet werden und wenn ja, wie genau. Das jedoch kann nur Facebook, da Betreibern überhaupt nicht bekannt ist, in welcher Art und Weise Daten von Facebook erhoben und verarbeitet werden. Ein Irrsinn, denn damit steht es derzeit Fanpage-Betreibern nur noch offen, ihre Seiten zu löschen. Eine rechtskonforme Umsetzung ist derzeit schlicht unmöglich", bewertet der Kölner Rechtsanwalt und Datenschutz-Experte Christian Solmecke den Fall.

Laut EuGH können deutsche Datenschützer zudem gegen Facebook in Deutschland vorgehen, obwohl Facebooks Europazentrale in Dublin angesiedelt ist. Nationale Kontrollstellen können demnach direkt Ansprüche gegen Unternehmen geltend machen, ohne sich an die zuständige Kontrollstelle am Hauptsitz des Unternehmens (hier Facebook Ireland) wenden zu müssen.

"Das ist ein Meilenstein für die Klärung datenschutzrechtlicher Verantwortung generell bei Online-Sachverhalten", freut sich Dr. Kai-Uwe Loser vom Berufsverband der Datenschutzbeauftragten Deutschlands (BvD). Allerdings entstünden dadurch für Webseiten-Betreiber neue Probleme. "In der Praxis wird das dazu führen, dass viele Unternehmen und Selbständige ihre Fanpages - jedenfalls zunächst - schließen und die Reaktion von Facebook abwarten", schätzt Loser. Auch werde das Urteil Auswirkungen auf Tracking-Tools und sogenannte Social Plugins haben, die viele Betreiber von Internet-Webseiten einsetzen. Insgesamt habe die Entscheidung das Potenzial, eine massive Veränderung bei der Nutzung von Analyse-Tools im Internet zu bewirken.

Nach Einschätzung von Rechtsanwalt Dr. Carsten Ulbricht ist der Fanpagebetreiber nicht umfassend für die Datenverarbeitung von Facebook verantwortlich: "Er ist nur im Rahmen seiner eigenen Beteiligung an der Datenverarbeitung (mit)verantwortlich. " Da die Beteiligung des Fanpagebetreibers an der Datenverarbeitung auf und über Facebook sehr gering sei, werde man auch die Verantwortlichkeit als gering ansehen müssen.
Das Problem werde möglicherwerweise weniger die Mithaftung werden, als vielmehr die Erfüllung der Informations- und Dokumentationspflichten der Datenschutzgrundverordnung (DSGVO).

Welche Konsequenzen sich durch die DSGVO ergeben, hat der EuGH nicht thematisiert, da sich das Urteil auf die alte EU-Datenschutzrichtlinie bezieht, die seit Inkrafttreten der DSGVO am 25. Mai aufgehoben ist. Allerdings regelt auch die DSGVO, dass es mehrere Verantwortliche für die Verarbeitung von Daten geben kann, wenn sie jeweils über die Mittel und Zwecke der Datenverarbeitung bestimmen können (Art. 4 Nr. 7 Satz 1 DSGVO), erklärt Rechtsanwalt Dr. Thomas Schwenke. Daher könne die Entscheidung auch auf die DSGVO übertragen werden.