02. Juli 2018 von Bastian Winter
Der EuGH hält es für möglich, dass die Betreiber einer Facebook-Fanpage grundsätzlich für Datenschutzverstöße des sozialen Netzwerks mitverantwortlich sein können. Zusätzlich äußerte sich heute die Datenschutzkonferenz (DSK) zu dem Urteil. Wir fassen die Informationen kurz zusammen.
Vielleicht haben Sie es den aktuellen Tagesmedien schon entnommen. In seiner Entscheidung vom 5. Juni 2018 (Az.: C-210/16) hat der europäische Gerichtshof (EuGH) bestimmt, dass der Begriff des „Verantwortlichen“ im Sinne der ehemaligen Datenschutzrichtlinie auch den Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage umfasst. Zusätzlich äußerte sich heute die Datenschutzkonferenz (DSK) zu dem Urteil.
Der EuGH hält es für möglich, dass die Betreiber einer Facebook-Fanpage grundsätzlich für Datenschutzverstöße des sozialen Netzwerks mitverantwortlich sein können. Problematisch ist vor allem ein standardmäßig eingesetztes Statistiktool von Facebook. Daher möchten wir Sie als Datenschutzgesellschaft kurz informieren, wie diese Entscheidung zustande kam, was sie bedeutet und was wir in Zukunft erwarten können.
Der Ausgangsfall der dem EuGH vorlag, kommt vom deutschen Bundesverwaltungsgericht. Der dort anhängige Rechtsstreit wird zwischen dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) und der Wirtschaftsakademie Schleswig-Holstein GmbH, einem privatrechtlich organisierten Bildungsunternehmen (Wirtschaftsakademie) geführt. Das ULD hatte gegenüber der Wirtschaftsakademie angeordnet, dass diese eine auf der Website des sozialen Netzwerks Facebook unterhaltene Fanpage zu deaktivieren habe.
Fanpages sind Benutzerkonten, die bei Facebook von Privatpersonen oder Unternehmen eingerichtet werden können. Der Fanpage-Anbieter kann nach einer Registrierung bei Facebook die Plattform dazu benutzen, sich den Besuchern der Fanpage zu präsentieren und Äußerungen aller Art in den Medien- und Meinungsmarkt einzubringen.
Der Streit entbrannte wegen der Funktion „Facebook Insight“. Die Betreiber von Fanpages können mit Hilfe dieser Funktion, die ihnen Facebook zwangsweise und kostenfrei zur Verfügung stellt, anonymisierte statistische Daten über die Nutzer dieser Seiten erhalten. Diese Daten werden mit Hilfe sogenannter Cookies gesammelt, die jeweils einen eindeutigen Benutzercode enthalten, der für zwei Jahre aktiv ist und den Facebook auf dem Endgerät der Besucher der Fanpage speichert. Der Benutzercode kann auch mit weiteren Daten verknüpft werden, z.B. mit den Anmeldungsdaten solcher Nutzer, die bei Facebook registriert sind. Der Betreiber kann die gesammelten Daten dann über Filter auswerten – und damit von Facebook die Verarbeitung dieser Daten verlangen –, so u. a. Tendenzen in den Bereichen Alter, Geschlecht, Beziehungsstatus und berufliche Situation, Informationen über den Lebensstil und die Interessen seiner Zielgruppe und Informationen über die Käufe und das Online-Kaufverhalten der Besucher seiner Seite, die Kategorien von Waren oder Dienstleistungen, die sie am meisten interessieren, sowie geografische Daten, die ihn darüber informieren, wo spezielle Werbeaktionen durchzuführen oder Veranstaltungen zu organisieren sind, und ihm ganz allgemein ermöglichen, sein Informationsangebot so zielgerichtet wie möglich zu gestalten.
Weder die Wirtschaftsakademie noch Facebook hatten zum Zeitpunkt der Anordnung des ULD auf die Tatsache der Speicherung und die Funktionsweise dieses Cookies oder die umfassende nachfolgende Datenverarbeitung hingewiesen.
Aus diesem Grund ordnete das ULD am 3. November 2011 gegenüber der Wirtschaftsakademie auf Grundlage des alten Bundesdatenschutzgesetzes an, die bei Facebook betriebene Fanpage zu deaktivieren und drohte ein Zwangsgeld an. Nach einem erfolglosen Widerspruch klagte die Wirtschaftsakademie gegen die Anordnung und begründete dies im Wesentlichen damit, dass sie als Betreiber nach dem anwendbaren Datenschutzrecht weder für die Datenverarbeitung durch Facebook noch für die von Facebook gesetzten Cookies verantwortlich sei. Die beiden ersten Instanzen (das VG Schleswig und das OVG Schleswig) stimmten der Wirtschaftsakademie noch zu, das Bundesverwaltungsgericht hingegen war sich ob der Bedeutung der Datenschutzrichtlinie nicht sicher und legte daher die Frage dem EuGH vor.
Der EuGH hat entschieden, dass die ehemalige Datenschutzrichtlinie so verstehen und anzuwenden ist, dass der Betreiber einer Facebook-Fanpage zusammen mit Facebook für die Datenverarbeitung haftet.
Der Gerichtshof betont dabei, dass das Ziel der Datenschutzbestimmungen darin läge, durch eine weite Definition des Begriffs des „Verantwortlichen“ einen wirksamen und umfassenden Schutz der betroffenen Personen zu. Er begründet eine Mitverantwortung der Fanpage-Betreiber hauptsächlich damit, dass dem Seitenbetreiber von Facebook ermöglicht werde, seine Seitenbesucher zu tracken und zwar unabhängig davon, ob der Nutzer selbst über ein Facebook-Konto verfügt oder nicht. Dadurch dass der Betreiber die gesammelten Daten dann wie oben beschrieben umfassend auswerten könne und damit einen Vorteil aus der Datenerhebung durch Facebook ziehe, mache er sich mit für die Datenerhebung und -verarbeitung des Online-Riesen verantwortlich.
Für die Verantwortlichkeit der Seitenbetreiber argumentiert auch die Konferenz der unabhängigen Datenschutzbehörden – kurz: Datenschutzkonferenz (DSK) – und begrüßt in einer Mitteilung vom 6. Juni 2018 das Urteil. Seitenbetreiber könnten nun nicht mehr allein auf die datenschutzrechtliche Verantwortung von Facebook verweisen, sondern seien selbst mitverantwortlich für die Einhaltung des Datenschutzes.
Darüber hinaus gibt die DSK den Seitenbetreibern folgende Hinweise:
Wer eine Fanpage besucht, muss transparent und in verständlicher Form darüber informiert werden, welche Daten zu welchen Zwecken durch Facebook und die Fanpage-Betreiber verarbeitet werden. Dies gilt sowohl für Personen, die bei Facebook registriert sind, als auch für nicht registrierte Besucherinnen und Besucher des Netzwerks. Betreiber von Fanpages sollten sich selbst versichern, dass Facebook ihnen die Informationen zur Verfügung stellt, die zur Erfüllung der genannten Informationspflichten benötigt werden. Soweit Facebook Besucherinnen und Besucher einer Fanpage durch Erhebung personenbezogener Daten trackt, sei es durch den Einsatz von Cookies oder vergleichbarer Techniken oder durch die Speicherung der IP-Adresse, ist grundsätzlich eine Einwilligung der Nutzenden erforderlich, die die Anforderung der DS-GVO erfüllt. Für die Bereiche der gemeinsamen Verantwortung von Facebook und Fanpage-Betreibern ist in einer Vereinbarung festzulegen, wer von ihnen welche Verpflichtung der DS-GVO erfüllt. Diese Vereinbarung muss in wesentlichen Punkten den Betroffenen zur Verfügung gestellt werden, damit diese ihre Betroffenenrechte wahrnehmen können.
Die DSK weist darauf hin, dass nach dem Urteil des EuGH dringender Handlungsbedarf für die Betreiber von Fanpages besteht. Dabei sei nicht zu verkennen, dass die Fanpage-Betreiber ihre datenschutzrechtliche Verantwortung nur erfüllen können, wenn Facebook selbst an der Lösung mitwirkt und ein datenschutzkonformes Produkt anbietet, das die Rechte der Betroffenen wahrt und einen ordnungsgemäßen Betrieb in Europa ermöglicht.
Wie dies kurzfristig geschehen soll, darüber schweigt sich die DSK schlicht aus. Derzeit ist es nicht möglich, die Funktion „Facebook Insight“ abzuschalten und eine Einwilligung der Nutzer wird derzeit nicht eingeholt. Insofern haben Unternehmer nach dem impliziten Willen der DSK derzeit keine Möglichkeit, rechtskonform eine Fanpage zu betreiben.
Insbesondere in Hinblick auf registrierte Facebook-Nutzer sind die Ausführungen der DSK ohnehin verfehlt. Nach unserem Dafürhalten willigen Nutzer im Registrierungsvorgang bei Facebook (aber wohl auch auf allen anderen sozialen Plattformen) in die Datenverarbeitung durch das Unternehmen ein. Auf die Weitergabe der gesammelten Daten an die Nutzer von Facebook-Analyse-Tools (also zum Beispiel Fanpage-Betreiber) wird in den Nutzungsbedingungen der Plattform ausdrücklich hingewiesen. Ebenfalls wird darüber aufgeklärt, dass ein registrierter Nutzer nicht einmal angemeldet sein muss, damit von Facebook Daten über ihn erhoben werden – und dies gilt auch für Webseiten die nicht von Facebook angeboten werden. Insofern muss man davon ausgehen, dass registrierte Nutzer von Facebook ohnehin in eine umfassende Datenverarbeitung und -weitergabe durch das Unternehmen eingewilligt haben und damit erst Recht eine Rechtsgrundlage für die Datenverarbeitung in Bezug auf Facebook-Fanpages vorliegt.
Die Entscheidung spielt im Geltungszeitraum der ehemaligen Datenschutzrichtlinie, der Vorgängerin der heutigen Datenschutzgrundverordnung (DSGVO). Jedoch ist davon auszugehen, dass der EuGH bei seiner aktuellen Entscheidung die DSGVO bereits im Blick hatte und somit seinen Standpunkt in Bezug auf die Datensammlung per Cookies darstellt. Dies gilt insbesondere, da die DSGVO aus der Datenschutzrichtlinie entwickelt wurde und deren Begriffsdefinitionen und -verständnis in weiten Teilen übernimmt. Somit ist damit zu rechnen, dass die Entscheidung auch auf aktuelle Fälle der Nutzung von Drittanbieterdiensten zu übertragen ist, wie zum Beispiel Google Analytics, Google Adwords und so weiter.
Jedoch besagt die aktuelle Entscheidung des EuGH noch nicht, dass die Datenverarbeitung durch Facebook im konkreten Fall rechtswidrig ist. Das zu beurteilen ist jetzt wieder Sache des Bundesverwaltungsgerichts. Außerdem stellt der Gerichtshof ausdrücklich fest, dass das Bestehen einer gemeinsamen Verantwortlichkeit, nicht zwangsläufig eine gleichwertige Verantwortlichkeit zur Folge hat, sondern dass der Grad der Verantwortlichkeit individuell unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist. Entsprechend ist auch noch offen, ob das ULD gleich die Deaktivierung der Fanpage fordern durfte, oder ob sie nicht eher erst eine Umgestaltung der Fanpage anordnen hätte müssen.
Insofern bleibt abzuwarten, welche Entscheidung das Bundesverwaltungsgericht nun in der Sache treffen wird. Denn erst diese Entscheidung wird uns voraussichtlich einen Einblick gewähren, welchen Standpunkt das BVerwG künftig vertreten wird.
Somit sind das Urteil und die Stellungnahme allein noch kein Grund, die Facebook-Fanpage abzuschalten, da die Rechtslage bei weitem noch nicht so klar ist, wie es sich die DSK wünscht. Gewerbliche Nutzer von Drittanbieter-Diensten können sich aber vorausschauend schon jetzt die Frage stellen, ob sie gegebenenfalls für die Verfehlungen der Big-Data-Unternehmen einstehen wollen, oder ob sie nicht datenschutzkonforme Möglichkeiten finden, ihre Interessen und die durch die DSGVO geschützten Interessen ihrer Nutzer/Kunden in ein ausgewogenes Verhältnis zu bringen. (bw)