Gerade war wieder etwas Ruhe an der Datenschutzfront eingekehrt. Doch dann kam am 5. Juni 2018 das Urteil des Europäischen Gerichtshofs (EuGH), dass Facebook Fanpage-Betreiber für Datenschutzverstöße auf Facebook mitverantwortlich sind. Im Kern geht es hier um die Tracking-Funktionen von Facebook Insight, die dazugehörigen Cookies und die Frage, wer letzendlich für das Datensammeln auf Facebook verantwortlich ist. Nur Facebook allein oder eben auch der Betreiber einer Fanpage.
Im fraglichen Fall hatte das Unabhängige Landeszentrum für Datenschutz Schlewsig-Holstein (ULD) der Wirtschaftsakademie Schleswig-Holstein das Betreiben seiner Facebook-Fanpage untersagt. Während deutsche Gerichte stets die alleinige Datenschutzverantwortung bei Facebook gesehen hatten, entschied nun der EuGH höchstinstanzlich, dass
"der Betreiber einer Facebook-Fanpage gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich ist."
„Sodann befindet der Gerichtshof, dass ein Betreiber wie die Wirtschaftsakademie als in der Union gemeinsam mit Facebook Ireland für die fragliche Datenverarbeitung verantwortlich anzusehen ist.“
„Nach Ansicht des Gerichtshofs kann der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, diesen (Anm: den Fanpage-Betreiber) nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien.“
Das komplette Urteil finden Sie hier: https://curia.europa.eu/jcms/upload/docs/application/pdf/2018-06/cp180081de.pdf .
Den Rechtshütern der EU kann man hier "Feigheit vor dem Feind" vorwerfen: Anstatt dafür zu sorgen, dass der US-Konzern Facebook nun endlich datenschutzkonform arbeitet, wählen die Gerichte hiermit den indirekten Weg. Tausende von Fanpagebetreibern, meistens kleinere und mittlere Unternehmen werden nun in die Pflicht genommen, datenschutzkonform mit Facebook-Nutzerdaten umzugehen. Das ist in der Praxis schier unmöglich, da Fanpagebetreiber nicht bzw. nur in sehr geringem Umfang beeinflussen können, was Facebook mit Nutzerdaten letztlich anstellt.
Da der EuGH hat im gleichen Urteil auch ausgeführt,
„dass die amerikanische Gesellschaft Facebook und ... deren irische Tochtergesellschaft Facebook Ireland als „für die Verarbeitung“ der personenbezogenen Daten... „Verantwortliche“ anzusehen sind.“
Aus dieser Formulierung lässt sich noch eine weitere Sichtweise ableiten, nämlich dass Abmahnungen und behördliches Vorgehen gegen Fanpage-Betreiber unverhältmäßig sein kann. Hinzukommt, dass der EuGH den Fall an das Bundesverwaltungsgericht zurückverwiesen hat, der den Fall nun national entscheiden wird.
Fazit: Eigentlich müßte Facebook reagieren und offenlegen, was genau mit den Daten der Nutzer geschieht. Ob das passiert bleibt fraglich. Solange der US-Riese nicht reagiert, herrscht in Sachen Fanpages große rechtliche Unsicherheit.
Was kann die Konsquenz aus diesem Urteil sein?
- Fanpage-Betreiber, die kein Risiko eingehen möchten, sollten ihre Fanpage zumindest solange deaktivieren, bis die Rechtslage klarer ist.
- Fanpage-Betreiber, die etwas mehr Mut haben, warten ggf. auf das abschließende Urteil des Bundesverwaltungsgerichts und lassen die Fanpage solange aktiv.
In jedem Fall ist aber eine auf das Urteil angepasste Datenschutzerklärung in die Fanpage einzubinden oder zu verlinken. Ein Muster senden wir Ihnen auf Anfrage gern zu.