Der Betreiber einer Facebook-Fanpage trägt gemeinsam mit Facebook Ireland die datenschutzrechtliche Verantwortung für die Verarbeitung der personenbezogenen Daten der Besucher. Das hat der EuGH am 05.06.2018 entschieden (C‑210/16). Begründet hat der EuGH dies damit, dass der Betreiber der Facebook-Fanpage Facebook die Möglichkeit gebe auf dem Endgerät des Nutzers Cookies zu platzieren – und zwar unabhängig davon, ob diese Person über ein Facebook-Konto verfügt. Heißt das jetzt, dass Facebook-Fanseiten sofort vom Netz genommen werden müssen, wie man mancherorts schon liest? Müssen Facebook-Seitenbetreiber nun massenhaft mit Bußgeldbescheiden der Datenschutzbehörden rechnen. Droht in den nächsten Tagen eine massenhafte Abmahnwelle?
- Datenschutzrecht
- Medienrecht
Nach EuGH Urteil: Muss ich jetzt meine Facebook Fanseiten abschalten?
von Carl Christian Müller
Mei Herz, mei Nerv, mei Drobbe!!!
Ruhig Blut, Fury!
Nein, mit alldem ist erst mal bzw. noch nicht zu rechnen. Also erst mal alle wieder den Zeigefinger von der Maustaste nehmen, die Ihre Facebook-Fanseite schon offline nehmen wollten und tieeeeef durchatmen.
Denn: Zum einen handelt es sich bei der Entscheidung des EuGH um eine solche, die in einem Vorlageverfahren ergangen ist. Der EuGH hat mit seiner Entscheidung sechs Fragen beantwortet, die das Bundesverwaltungsgericht (BVerwG) ihm in einem in Deutschland seit 7 Jahren geführten Verfahren zwischen dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) und dem Betreiber einer Facebook-Fanseite gestellt hat. Auf Grundlage der Antworten des EuGH muss das BVerwG nun eine Entscheidung treffen. Erst dann besteht abschließend Klarheit.
Nicht jeder ist gleichviel verantwortlich
Zum anderen hat der EuGH darauf hingewiesen, dass das Bestehen einer gemeinsamen Verantwortlichkeit nicht zwangsläufig eine gleichwertige Verantwortlichkeit der verschiedenen Akteure zur Folge hat. Vielmehr sei zu berücksichtigen, dass die Akteure bei der Verarbeitung personenbezogener Daten unterschiedliche Beiträge erbringen. Daher sei der Grad der Verantwortlichkeit eines jeden Akteurs unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen.
Insofern leistet der Fanpage-Betreiber zwar auch einen Beitrag – er hat nämlich die Möglichkeit Kriterien festzulegen, nach denen bestimmte Besucher-Statistiken erstellt werden. Außerdem kann er gegenüber Facebook Kategorien von Personen bezeichnen, deren personenbezogene Daten er ausgewertet haben möchte. Da aber zunächst mal Facebook alleine entscheidet, welche Nutzerdaten beim Besuch einer Fan-Seite erhoben, wie diese zunächst weiterverarbeitet und an welche Stellen weitergegeben werden, dürfte wohl der „Hauptteil der Verantwortlichkeit“ bei der Datenkrake Facebook liegen.
Wenn nicht jeder gleichviel Verantwortlich ist: Gegen wen muss vorgegangen werden?
Mit diesem Punkt hat sich der EuGH ebenfalls beschäftigt. Das BVerwG wollte nämlich wissen, ob die deutschen Datenschützer, namentlich das am Verfahren beteiligte ULD, unmittelbar gegen Facebook vorgehen kann. Dies deshalb, weil sich das von dem ULD geführte Verfahren gar nicht unmittelbar gegen Facebook richtet, sondern gegen die von der IHK betriebene Wirtschaftsakademie Schleswig-Holstein GmbH.
Von hinten durch die Brust ins Auge
Diesen Weg war die Behörde seinerzeit deshalb gegangen, weil die Facebook Ireland nicht in deren Zuständigkeitsbereich lag. Für diese sind vielmehr die irischen Datenschützer verantwortlich. Aus diesem Grunde hatte sich das Gericht auch überhaupt mit der Frage zu beschäftigen, ob Betreiber einer Facebook-Fanseite (mit)-verantwortlich für die Datenverarbeitung sind. Da nämlich die ULD nicht unmittelbar gegen Facebook vorgehen konnte, suchte sie sich einen in Deutschland sitzenden Betreiber einer Fanpage aus (Wirtschaftsakademie Schleswig-Holstein GmbH) und untersagte ihm das Betreiben der Fanpage mit dem Ziel, in dem sich anschließenden Musterverfahren gerichtlich klären zu lassen, dass die durch Facebook praktizierten Datenverarbeitungsvorgänge rechtswidrig sind (was in dem hier besprochenen Verfahren übrigens auch noch nicht abschließend geklärt ist, wofür aber nach der bisherigen Rechtsprechung Einiges spricht). Voraussetzung hierfür war bzw. ist aber, dass die Wirtschaftsakademie Schleswig-Holstein GmbH (mit)verantwortlich für die Datenverarbeitung ist, also überhaupt Adressat der Untersagungsverfügung sein konnte. Diese Frage ist nun entsprechend beantwortet. Aber:
Ist der Facebook-Fanseitenbetreiber der richtige Adressat einer Verfügung der Datenschützer?
Diese Frage muss nun das BVerwG klären. Denn die Vorfrage, ob die deutschen Datenschützer gegen Facebook selbst vorgehen können, hat der EuGH mit Verweis auf eine eigene zwischenzeitlich ergangene Entscheidung bejaht (C‑131/12). Danach durfte die spanische Niederlassung von Google datenschutzrechtlich in die Verantwortung genommen werden, gleichwohl sie selbst keine Daten verarbeitete. Der EuGH hat insofern darauf abgestellt, dass die spanische „Zweigstelle“ das dortige Anzeigengeschäft betrieb, welches mit der Datenverarbeitung des Mutterkonzerns verbunden war. Da Facebook in ähnlicher Weise eine Dependance in Hamburg betreibt, könnten die Datenschutzbehörden unter dem Gesichtspunkt der ermessenfehlerfreien Auswahl des richtigen Adressaten einer entsprechenden Verfügung durchaus sogar verpflichtet sein, gegen die Facebook Deutschland GmbH anstatt gegen einzelne Facebook-Fanseitenbetreiber vorzugehen. Im Rahmen der ermessenfehlerfreien Auswahl wäre dann zu berücksichtigen, dass eine unmittelbar gegen Facebook gerichtete Verfügung alleine deshalb effektiver ist, weil in einem solchen Verfahren dann für alle einheitlich geklärt werden könnte, zu welchen Bedingungen Facebook bzw. Fanseitenbetreiber zukünftig berechtigt sein sollen, Daten zu verarbeiten, anstatt mit einzelnen Bescheiden gegen Facebook-Fanseitenbetreiber vorzugehen.
Wie geht es jetzt weiter?
Jetzt bleibt die Entscheidung des BVerwG abzuwarten. Wenn dieses entscheidet, dass das ULD gegen Facebook selbst statt gegen Betreiber einer Facebook-Fanseite vorgehen muss, wird das ULD das konkrete Verfahren zwar verlieren, letztlich aber als Sieger vom Platz gehen, denn es hat dann eine konkrete Handhabe gegen Facebook. Facebook wäre – endlich – gezwungen, sich konkret mit den Anforderungen des europäischen Datenschutzrechts auseinanderzusetzen und für den Nutzer datenschutzkonforme Lösungen anzubieten. Dass dies nicht unmöglich ist, hat beispielsweise Google im Zuge des Inkrafttretens der DSGVO vorgemacht.
Datenschutzerklärungs-Generator von SOS-Recht vermeidet Abmahnungen
Die Gefahr von Abmahnungen wegen DSGVO-Verstößen ist durchaus real.
Wir haben auf der Seiten SOS Datenschutz einen Datenschutz-Erklärungsgenerator aufgesetzt, den Sie kostenfrei nutzen können. Mit unserem Datenschutz-Generator können Sie eine Datenschutzerklärung erstellen, die individuell auf Ihr Unternehmen und die Anwendungen Ihrer Webseite ausgerichtet ist. Der Datenschutz-Generator geht damit über das hinaus, was die meisten Muster-Datenschutzerklärungen zu bieten haben. Zudem enthält der Generator viele Umsetzungshinweise – so beispielsweise auch einen zur SSL-Verschlüsselung bei Kontaktformularen.
Sofern auch Sie mit einer Abmahnung konfrontiert sind, sollten Sie anwaltlichen Rat suchen. Gerne können Sie sich bei uns melden – wir verteidigen seit über 10 Jahren Mandanten gegen Abmahnungen. Profitieren auch Sie von unseren Erfahrungswerten. Wir vertreten bundesweit.
Haben Sie bereits eine DSGVO-konforme Datenschutzerklärung?
Seit dem 25.05.2018 müssen alle Webseitenbetreiber eine Datenschutzerklärung vorhalten, die den Anforderungen der Datenschutz-Grundverordnung entspricht. Nutzen Sie hierzu unseren DSGVO-Datenschutz-Generator, mit dem Sie Ihre individuelle Datenschutzerklärung in wenigen Minuten erstellen können.
SOS Datenschutzgenerator:
- DSGVO-konform
- Von Anwälten entwickelt
- Mit vielen wertvollen Umsetzungshinweisen
Hier kostenfrei Datenschutzerklärung erstellen