Der EuGH hat am 05.06.2018 entschieden, dass nicht nur Facebook, sondern auch die Fanpage-Betreiber Verantwortliche im Sinne des Datenschutzes sind. Das Urteil hat Konsequenzen für alle Fanpage-Betreiber. Diese sollten nun, falls nicht bereits geschehen, zeitnah handeln.
Der Inhalt im Überblick
Ausgangssituation des Rechtsstreits
Geklagt hatte das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) aufgrund eines seit 2011 anhängigen Verwaltungsrechtsstreits. Beklagte war die Wirtschaftsakademie Schleswig-Holstein GmbH, Betreiberin einer Facebook-Fanpage. Das ULD war der Meinung, dass weder Facebook noch die Wirtschaftsakademie ausreichend auf die Erhebung und Nutzung der bei Besuch der Seite erhobenen personenbezogenen Daten informiere. Die im Hintergrund erstellten Profile seien nicht nur auf die Datenerhebung durch Facebook zurückzuführen, sondern auch ein Resultat der Fanpage-Einstellungen der Betreiberin. Diese hatte argumentiert, dass ihr weder die Verarbeitung mangels Kontrolle zugerechnet werden könne, noch sie Facebook zur Verarbeitung beauftragt habe.
Die Entscheidung des Gerichts
Der EuGH hat nun entschieden, dass der Betreiber einer Fanpage zusammen mit Facebook als gemeinsamer Verantwortlicher gilt. Maßgeblich war hierbei, dass ersterer über Zweck und Mittel der Datenverarbeitung mitentscheide. Das Gericht führt unter Randnummer 39, 40 aus:
„Unter diesen Umständen ist festzustellen, dass der Betreiber einer auf Facebook unterhaltenen Fanpage wie die Wirtschaftsakademie durch die von ihm vorgenommene Parametrierung u. a. entsprechend seinem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt ist. […]
Der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, kann diesen nämlich nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien.“
Bedeutung des Urteils für die aktuelle Rechtslage
Der EuGH hatte die Entscheidung anhand der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr zu entscheiden. Diese Richtlinie wurde durch die EU-Verordnung 2016/679 (eher bekannt als Datenschutz-Grundverordnung / DSGVO) abgelöst. Das Urteil bezieht sich daher zwar auf eine aufgehobene Richtlinie, die zur Ablösung in Kraft getretene Verordnung hat aber, bezogen auf die nun entschiedene Rechtsfrage, eine im Wortlaut fast identische Definition des Verantwortlichen. Das Urteil ist daher auch für Rechtsfragen in Bezug auf die DSGVO zu beachten.
Konsequenzen für Facebook-Fanpage-Betreiber
Da nun geklärt ist, dass beide verantwortlich sind, werden die Voraussetzungen des Art. 26 DSGVO zu beachten sein. Hierzu zählt z.B. die Festlegung, wer für die Informationspflichten zuständig ist. Trotz Klärung dieser Frage darf Art. 26 Abs. 3 nicht vergessen werden:
„Ungeachtet der Einzelheiten der Vereinbarung gemäß Absatz 1 kann die betroffene Person ihre Rechte im Rahmen dieser Verordnung bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen.“
Für jeden Betreiber einer Fanpage ist nun Handeln angesagt. Ein Verweis auf Facebook als Verantwortlicher reicht nicht mehr aus. Eine Übersicht zu weiteren Pflichten und Empfehlungen finden Sie hier.
Ist das Urteil übertragbar?
Von dieser Entscheidung könnte eine Signalwirkung ausgehen. Für ähnliche gelagerte Seiten wie die einer Fanpage ohnehin. Konkret sei hier aber auch an die Nutzung von WhatsApp in Unternehmen gedacht. Abseits der zahlreichen datenschutzrechtlichen Bedenken, die mit der Benutzung von WhatsApp ohnehin einhergehen, könnten nach dem Urteil Unternehmen, die WhatsApp einsetzen, ebenso als Verantwortliche angesehen werden. Nach diesem Urteil spricht nun vieles dafür.
Lässt sich das Urteil auch auf einen Unternehmenseintrag bei Google Maps übertragen?
Aller Voraussicht nach nein. Denn lediglich durch die Zurverfügungstellung der Informationen werden keine Parametrierungen vorgenommen. Dies hat das Gericht, s. Zitat oben, als wesentliches Kriterium zur Bejahung einer Verantwortlichkeit ausgemacht. Der Einfluss durch den Eintrag ist als so gering anzusehen, dass eine Mitentscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten faktisch nicht gegeben ist.
Danke für den Beitrag. Muss da nun jeder Fanpage-Betreiber einen individuellen Joint Controlling Vertrag mit Facebook abschließen? Oder wie kann man sonst darauf reagieren? Sämtliche Parametrierungen entfernen? Geht das eigentlich? …das Urteil hinterlässt leider einige Fragen.
Die praktischen Folgen sind Moment noch nicht ganz absehbar. Es gäbe verschiedene Optionen. Die eine wäre der von Ihnen angesprochene Vertrag. Eine andere, die nun diskutiert wird, wäre es die Parametrierung abzuschalten, um eine Verantwortlichkeit zu reduzieren. Ob das wirklich Abhilfe schafft, ist fraglich. Dagegen könnte die unter Rn. 41 des Urteils getroffene Feststellung des Gerichts sprechen:
„Im Übrigen ist hervorzuheben, dass die bei Facebook unterhaltenen Fanpages auch von Personen besucht werden können, die keine Facebook-Nutzer sind und somit nicht über ein Benutzerkonto bei diesem sozialen Netzwerk verfügen. In diesem Fall erscheint die Verantwortlichkeit des Betreibers der Fanpage hinsichtlich der Verarbeitung der personenbezogenen Daten dieser Personen noch höher, da das bloße Aufrufen der Fanpage durch Besucher automatisch die Verarbeitung ihrer personenbezogenen Daten auslöst.“
Fest steht aber, dass Facebook handeln muss. Gut möglich, dass der Konzern bald Verträge zur Verfügung stellt, um ein Abschalten der Fanpages durch die Betreiber zu vermeiden.