Zum Inhalt springen

Facebook-Fanpage – Haftung für Datenschutzrechtsverstöße

Ein aktuelles Urteil des EuGH vom 5.6.2018 sorgt für große Aufruhr bei Betreibern von Facebook-Fanpages. Tenor der Entscheidung: Ein Betreiber einer Fanpage bei Facebook ist mitverantwortlich für Verstöße gegen das Datenschutzrecht.

Facebook-Fanpage und das Datenschutzrecht

Gegenstand des ursprünglichen Verfahrens war ein Bescheid einer Behörde, innerhalb dessen es einem Unternehmen (konkret der Wirtschaftsakademie Schleswig-Holstein GmbH) untersagt wurde, eine Facebook-Fanpage zu betreiben. Gegen diesen behördlichen Bescheid ging das Unternehmen gerichtlich vor. Das Bundesverwaltungsgericht legte diese Frage letztlich dem EuGH vor, der sich nunmehr klar positioniert hat.

Die Richter hatten darüber zu entscheiden, ob die Betreiber einer Facebook-Fanpage hinsichtlich der Verarbeitung personenbezogener Daten mit verantwortlich sind oder nicht. Für Unruhe sorgt diese Entscheidung vor dem Hintergrund der neuen Datenschutzgrundverordnung, die seit dem 25.05.2018 in Kraft ist. Vorher hat sich kaum ein Nutzer von Facebook Gedanken über diesen Sachverhalt gemacht, da nach allgemeiner Auffassung die alleinige Verantwortung bei Facebook lag. Schließlich haben einzelne Nutzer ja kaum die Möglichkeit, Einfluss auf die Geschäftspraktiken des Internetriesen zu nehmen.

Ganz so einfach ist der Sachverhalt jetzt nicht mehr. Der EuGH hat entschieden, dass Betreiber von Facebook-Seiten grundsätzlich mitverantwortlich sind für die Verarbeitung personenbezogener Daten. Sie können sich nicht mehr auf die Geschäftspraktiken von Facebook berufen. Fanpages werden von Unternehmen oder Privatpersonen auf Facebook eingerichtet, um sich oder bestimmte Ziele zu präsentieren. Über das Tool „Facebook Insight“ können die Betreiber statistische, anonymisierte Daten über die Nutzer der Fanpage erheben. Dieses Tool stellt Facebook kostenlos zur Verfügung. Der Betreiber hat auf die Art und Weise der Funktion jedoch keinen Einfluss.

Entscheidung des EuGH zu Facebook-Fanpage mit großer Unsicherheit für deren Betreiber

Facebook ist bereits seit Jahren dafür bekannt, es mit dem Datenschutz nicht allzu genau zu nehmen und steht dafür immer wieder massiv in der Kritik. Dennoch hält das Millionen von Nutzern nicht davon ab, dem sozialen Netzwerk treu zu bleiben. Allerdings musste sich auch niemand Sorgen um diese Datenverstöße machen, da Facebook alleine dafür verantwortlich war. Angesichts dieser neuen Rechtsprechung fragen sich viele Nutzer allerdings, ob es nicht besser wäre, alle Facebook-Seiten zu schließen, da das Risiko einer Mithaftung zu groß ist.

Begründung der Entscheidung zur Mitveranwortlichkeit

Gegenstand des vorliegenden Verfahrens ist die Begriffsdefinition der „verantwortlichen Stellen“ gemäß § 3 Nr. 7 BDSG a.F. bzw. Art. 2 lit. d Datenschutzrichtlinie 95/46/EG. Diese Rechtsauslegung findet sich jedoch fast wortgleich in der Datenschutzgrundverordnung in Art. 4 Nr. 7 wieder. Verantwortlich für die Erhebung personenbezogener Daten und damit in Verbindung stehender Datenschutzverstöße ist demnach, wer alleine oder gemeinsam mit anderen über Mittel und Zweck der jeweiligen Datenerhebung entscheidet. Diese Formulierung besagt, dass nicht zwingend eine Stelle alleine, in diesem Fall also Facebook, für die Datenerhebung verantwortlich ist.

Der EuGH begründet die gemeinsame Verantwortung von Facebook und den jeweiligen Fanpage-Betreibern damit, dass die Nutzer mit Facebook einen Nutzungsvertrag abschließen. In diesem Fall kommt erschwerend hinzu, dass durch die Speicherung von Cookies auf den Endgeräten der Seitenbesucher Datenprofile erstellt werden, die Rückschlüsse auf die Nutzung der Facebook-Dienste zulassen. Alleine durch die Einrichtung einer Fanpage ermöglicht der Betreiber Facebook umfassende Einblicke in das Nutzungsverhalten der Seitenbesucher, die Facebook wiederum dazu nutzt, das hauseigene Werbesystem zu verbessern und zielgerichtete Werbung zu schalten.

und weiter…

Auch der Seitenbetreiber selbst erhält einen großen Teil personenbezogener Daten, wenn auch in anonymisierter Form. Die Seitenbetreiber können sich auch nicht darauf berufen, auf die Verarbeitungsprozesse von Facebook keinen Einfluss zu haben. Der persönliche Datenschutz eines jeden einzelnen Nutzers und die hohen Anforderungen an den Datenschutz gehen vor die Interessen der Seitenbetreiber. Im Umkehrschluss bedeutet das, dass die Anforderungen an die Seitenbetreiber hinsichtlich der Entscheidungsmöglichkeiten über „Mittel und Zweck“ der Datenverarbeitung sehr niedrig auszulegen sind. Alleine die Einrichtung einer Facebook-Fanpage ist daher ein „aktiver und willentlicher Beitrag“ zur Erhebung personenbezogener Daten. Ohne die Einrichtung einer entsprechenden Fanpage wäre Facebook nicht in der Lage, die entsprechenden personenbezogenen Daten zu erheben.

Zudem sehen die Richter ein gemeinsames Interesse von Facebook und den Fanpage-Seitenbetreibern, denn durch die erhobenen Daten ist die Schaltung gezielter Werbeanzeigen möglich. Die Einrichtung von Facebook-Fanpages verfolgt in den meisten Fällen kommerzielle Absichten. Daher unterliegen geschäftliche Seitenbetreiber den hohen Anforderungen der Datenschutzgrundverordnung und müssen ihren Informations- und Auskunftspflichten entsprechend nachkommen. Gleichfalls unterliegen sie den mit der DSGOV verbundenen Haftungsansprüchen.

Abmahnpotenzial durch Mitbewerber besteht natürlich, allerdings ist auch hier die Rechtslage noch nicht abschließend geklärt.

Fazit & Empfehlung

All die vielen Facebook-Fanpages stehen jetzt nicht automatisch vor dem aus, denn das Urteil muss noch die Revisionsinstanz durchlaufen.

Unter dem Punkt „Seiteninformationen“ und „Datenschutzrichtlinie“ können Seitenbetreiber ihre eigene extern verlinkte Datenschutzerklärung verlinken. Dies dient dazu, um ihren Informationspflichten gemäß § 13 DSGVO zumindest vorerst gesetzteskonform nachzukommen.

Zudem wird erwartet, dass Facebook entsprechend § 26 DSGVO mit den Seitenbetreibern eine Vereinbarung treffen wird, die die gemeinsame Verantwortung klar betont, einzelne Verantwortungsbereiche jedoch klar aufteilt und somit für die geforderte Transparenz sorgt. Nur so ist Facebook in der Lage, das soziale Netzwerk weiterhin datenschutzkonform anzubieten und das Social-Media-Marketing für alle Beteiligten rechtssicher zu gestalten.

Auf die Nutzung von Facebook-Seiten für nicht kommerzielle und damit rein private Zwecke hat die DSGVO und das vorliegende Urteil keinen Einfluss. Das alleine deswegen, da hier keine kommerziellen Interessen im Vordergrund stehen, die für Mitbewerber interessant sind.

Wer also völlige Rechtssicherheit für sich beanspruchen möchte, wird nicht umhinkommen, die Facebook-Fanpage zu schließen. Aufgrund der vorgenannten Erwägungen halten wir die Schließung allerdings für nicht zwingend erforderlich. Wichtig ist in diesem Zusammenhang natürlich, dass eine für Facebook erstellte Datenschutzerklärung ausgewiesen wird.

Björn Wrase

Björn Wrase

RA Björn Wrase: Anwalt für AI/KI- & IT-Recht, Medien- und Urheberrecht, Wettbewerbsrecht, Markenrecht und DatenschutzView Author posts