Der EuGH lädt durch: Betreiber von Facebook-Fanpages sind für Datenschutzverstöße von Facebook haftbar – was dies in der Praxis bedeutet

Vor Kurzem hieß es noch: Im Datenschutzrecht kommen die Einschläge näher. Nun ist aus Sicht vieler Betroffener der Super-Gau eingetreten: Der Europäische Gerichtshof hat entschieden, dass die Betreiber von Facebook-Fanpages zusammen mit Facebook verantwortlich für die Datenverarbeitung bei Facebook sind (EuGH, Urteil vom 05.06.2018, Az: C-210/16). Die Konsequenzen des Urteils sind weitreichend. Entsprechend groß ist die Verunsicherung. Drohen nun die seit Wochen herbeigeredeten horrenden Bußgelder oder massenhafte Abmahnungen?

Was der EuGH entschieden hat

In der Sache selbst ging es um die relativ einfache Frage, ob der Betreiber einer Facebook-Fanpage über die Nutzung eines Cookies durch Facebook informieren muss oder ob er sich darauf zurückziehen kann, dass die hiermit verbundene Datenverarbeitung durch Facebook erfolgt. Der EuGH fasst den maßgeblichen Sachverhalt daher auch relativ kurz zusammen:

“Fanpages sind Benutzerkonten, die bei Facebook von Privatpersonen oder Unternehmen eingerichtet werden können. Der Fanpage-Anbieter kann nach einer Registrierung bei Facebook die von diesem unterhaltene Plattform dazu benutzen, sich den Nutzern dieses sozialen Netzwerks sowie Personen, die die Fanpage besuchen, zu präsentieren und Äußerungen aller Art in den Medien und Meinungsmarkt einzubringen. Die Betreiber von Fanpages können mit Hilfe der Funktion Facebook Insight, die ihnen Facebook als nicht abdingbaren Teil des Benutzungsverhältnisses kostenfrei zur Verfügung stellt, anonymisierte statistische Daten betreffend die Nutzer dieser Seiten erhalten. Diese Daten werden mit Hilfe sogenannter Cookies gesammelt, die jeweils einen eindeutigen Benutzercode enthalten, der für zwei Jahr aktiv ist und den Facebook auf der Festplatte des Computers oder einem anderen Datenträger der Besucher der Fanpage speichert. Der Benutzercode, der mit den Anmeldungsdaten solcher Nutzer, die bei Facebook registriert sind, verknüpft werden kann, wird beim Aufrufen der Fanpages erhoben und verarbeitet. Insoweit geht aus der Vorlageentscheidung hervor, dass – jedenfalls in dem für das Ausgangsverfahren relevanten Zeitraum – weder die … (Betreiberin der Fanpage) noch die Facebook Irland Ltd. auf die Tatsache der Speicherung und die Funktionsweise dieses Cookies oder die nachfolgende Datenverarbeitung hingewiesen haben.”

Der EuGH hat sich sodann mit der Frage auseinandergesetzt, wer bei der Nutzung von Facebook-Fanpages für die Datenverarbeitung verantwortlich ist:

“Zur Beantwortung der vorgelegten Fragen ist jedoch zu prüfen, ob und inwieweit der Betreiber einer auf Facebook unterhaltenen Fanpage wie die … im Rahmen dieser Fanpage gemeinsam mit Facebook Irland und der Facebook Inc. einen Beitrag zur Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher dieser Fanpage leistet und somit ebenfalls als “für die Verarbeitung Verantwortlicher” (…) angesehen werden kann.

(…)

Auch wenn der bloße Umstand der Nutzung eines sozialen Netzwerks wie Facebook für sich genommen einen Facebook-Nutzer nicht für die von diesem Netzwerk vorgenommene Verarbeitung personenbezogener Daten mitverantwortlich macht, ist indes darauf hinzuweisen, dass der Betreiber eine auf Facebook unterhaltenen Fanpage mit der Einrichtung einer solchen Seite Facebook die Möglichkeit gibt, auf dem Computer oder jedem anderen Gerät der Person, die seine Fanpage besucht hat, Cookies zu platzieren, unabhängig davon, ob diese Person über ein Facebook-Konto verfügt.”

Dass die Betreiber von Facebook-Fanpages nach der Datenverarbeitung durch Facebook lediglich anonymisierte Daten von Facebook erhalten, spielt nach Auffassung des EuGH keine Rolle. Eine gemeinsame Verantwortlichkeit von Facebook und den Betreibern von Facebook-Fanpages setze nämlich nicht voraus, dass beide Zugang zu den betreffenden personenbezogenen Daten haben. Der EuGH betont ausdrücklich, dass die von ihm angenommene gemeinsame Verantwortlichkeit dazu beiträgt, einen umfassenden Schutz der Rechte der betroffenen Personen sicherzustellen, die eine Fanpage besuchen.

Die EuGH-Entscheidung gilt auch nach den Vorgaben der DS-GVO

Die EuGH-Entscheidung betrifft zwar die Auslegung von Vorgaben der Datenschutz-Richtlinie. Der Begriff des “Verantwortlichen” im Sinne der Datenschutzgrundverordnung entspricht jedoch dem Begriff des “für die Verarbeitung Verantwortlichen” im Sinne der Datenschutzrichtlinie. Die Entscheidung des EuGH ist daher ohne Weiteres auf die datenschutzrechtlichen Vorgaben der Datenschutzgrundverordnung zu übertragen.

Was die EuGH-Entscheidung für die Betreiber von Facebook-Fanpages bedeutet

Die Entscheidung des EuGH ist eine klare Ansage: Die Zeit der Datenverarbeitung nach Wild-West-Manier neigt sich dem Ende entgegen. Das Problem liegt jedoch offen auf der Hand: Wer zukünftig Facebook-Fanpages betreiben möchte, der muss sich nicht nur darauf verlassen können, dass Facebook die geltenden datenschutzrechtlichen Vorgaben einhält, was schon schwer genug fällt. Er muss auch wissen, inwieweit Facebook personenbezogene Daten verarbeitet, um transparent über die entsprechende Verarbeitung informieren zu können. Und damit nicht genug: Soweit für die Verarbeitung personenbezogener Daten eine Einwilligung erforderlich ist, muss Facebook die entsprechenden Rahmenbedingungen schaffen. Nach dem derzeitigen Stand der Dinge sind die Betreiber von Facebook-Fanpages angreifbar. Theoretisch drohen in der Tat ein Bußgeld oder der Ausspruch einer Abmahnung. Kein Wunder also, dass bereits kurz nach Bekanntwerden der EuGH-Entscheidung reihenweise Facebook-Fanpages über die entsprechenden Einstellungen auf unsichtbar gestellt worden sind. Dies allein wäre für Facebook wahrscheinlich kein Problem. Wenn Facebook jedoch nicht kurzfristig auf die EuGH-Entscheidung reagiert, werden halt die Gelder für Werbung in andere Werbemaßnahmen umgeleitet.. Schon aus diesem Grund gehen wir davon aus, dass Facebook kurzfristig auf die EuGH-Entscheidung reagieren wird.

• Siehe auch:Abschalten oder ignorieren: Was das Facebook-Urteil des EuGH in der Praxis bedeutet

Warum die EuGH-Entscheidung auch für andere Services und Tools wichtig ist

Die EuGH-Entscheidung bezieht sich zwar inhaltlich auf die Nutzung von Facebook-Fanpages. Die zugrundeliegende Problematik der unzureichenden Information über den Einsatz von Cookies und die hiermit verbundene Verarbeitung personenbezogener Daten betrifft jedoch eine ganze Reihe weiterer Services und Tools verschiedener Anbieter. Fragen Sie sich einfach einmal selbst: Können Sie einem technischen Laien für sämtliche der von Ihnen genutzten Services und Tools anderer Unternehmen verständlich erklären, inwieweit genau eine Verarbeitung der personenbezogenen Daten erfolgt? Nach unserer Auffassung sind in diesem Zusammenhang in erster Linie die Anbieter der Services und Tools gefordert. Die Zeit des Durchmogelns mit nebulösen Floskeln in Datenschutzerklärungen ist vorbei.

Oder wie wir hier im Norden sagen würden: Butter bei die Fische, was passiert den konkret mit den Daten?

Stand: 06.06.2018

Es berät Sie: Rechtsanwalt Andreas Kempcke

https://ssl-vg03.met.vgwort.de/na/65a739974fa04c52ac4a0bef9176bf7b