26
Jun
2018

Datenschutz und IT-RechtGewerblicher Rechtsschutz

Facebook-Fanpages im Visier der Datenschützer

Dr. Oliver Stegmann

Wer trägt die Verantwortung, wenn beim Verarbeiten von Daten auf Facebook-Fanpages datenschutzrechtliche Vorschriften verletzt werden? Facebook, der Betreiber der Fanpage, oder beide? Der EuGH hat Anfang Juni 2018 entschieden, dass die Betreiber der Fanseiten mitverantwortlich sind. Jetzt hat Facebook ein Datenschutz-Update für Seitenbetreiber angekündigt.

Das Social-Media Netzwerk Facebook ist eine gigantische Marketing-Plattform. Das Netzwerk verdient sein Geld mit Werbung. Facebook selbst bezeichnet sich als eine der weltweit effizientesten Plattformen für Online-Werbung. Diese Werbung ist deshalb so attraktiv, weil Facebook über unvorstellbar große Datensammlungen über seine Nutzer verfügt, ja sogar über Personen, die selbst gar kein Facebook-Profil haben. Mit Hilfe dieser Daten können Empfänger für Werbung gezielt ausgewählt werden – neudeutsch Targeting.

Mit einer sogenannten Fanpage können sich Unternehmen bei Facebook präsentieren. Dafür muss ein Nutzungsvertrag mit Facebook geschlossen werden. In diesem ist geregelt, dass Facebook auf den Endgeräten der Besucher der Fanpage (gleich ob mit oder ohne eigenem Facebook-Account) Cookies speichert. Auf diese Weise sammelt und verarbeitet Facebook Daten. Der Betreiber der Fanpage erhält diese Daten. Mit ihrer Hilfe kann er Statistiken und Informationen zu den Profilen seiner Fans erstellen, und Facebook kann die Werbung seiner Kunden noch gezielter platzieren.

Doch wer trägt die Verantwortung, wenn beim Verarbeiten dieser Daten datenschutzrechtliche Vorschriften verletzt werden?

Die Richter am Europäischen Gerichtshof (EuGH) in Luxemburg haben am 5. Juni 2018 entschieden (Az.: C-210/16), dass neben Facebook der Betreiber der Fanseite für die Datenverarbeitung durch Facebook mitverantwortlich ist. Begründung: Der Betreiber der Fanpage ist „an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt.“ Der Umstand, dass der Betreiber einer Fanpage lediglich ein Feature von Facebook nutzt und die Daten nicht selbst erhebt, kann ihn nicht von seiner datenschutzrechtlichen Verantwortung befreien, so die Richter.

Ins Rollen gebracht hatte das EuGH-Verfahren die Facebook-Fanpage der Wirtschaftsakademie Schleswig-Holstein. Der Datenschutzbeauftragte von Schleswig-Holstein hatte die Akademie 2011 per Bescheid aufgefordert, die Facebook-Seite zu deaktivieren, weil sie nicht auf die eingangs dargestellte Verarbeitung von Nutzerdaten hinwies. Die Wirtschaftsakademie klagte gegen den Bescheid vor den Verwaltungsgerichten und obsiegte in zwei Instanzen. Das BVerwG setzte das Verfahren aus und legte dem EuGH mehrere Fragen zur damals noch geltenden Datenschutzrichtlinie 95/46 vor, die inzwischen durch die Datenschutzgrundverordnung (DSGVO) ersetzt ist. Nach der Beantwortung dieser Fragen durch den EuGH ist mit einer Entscheidung des BVerwG in einigen Monaten zu rechnen. In Anbetracht des Urteils des europäischen Gerichts ist es nicht unwahrscheinlich, dass die deutschen Richter den Bescheid der schleswig-holsteinischen Behörde bestätigen werden.

Facebook hatte bislang nur sehr schwammig zum Urteil des EuGH Stellung bezogen. In einer Stellungnahme im Facebook newsroom hat das Unternehmen nun am 15. Juni 2018 ein Update für Facebook-Seiten angekündigt, das den Betreibern der Fanpages ermöglichen soll, „ihren rechtlichen Verpflichtungen nachzukomme".

Praxistipp
Zwar hat der EuGH nicht entschieden, dass Facebook oder die Wirtschaftsakademie in dem konkreten Fall datenschutzrechtliche Vorschriften verletzt haben. Das Urteil besagt lediglich, dass dem Betreiber der Facebook-Fanpage eine Mitverantwortung zukommt. Wenn man allerdings einmal unterstellt, dass die Datenerhebung und -verarbeitung durch Facebook nicht konform mit der jetzt geltenden DSGVO ist, dann haftet dem EuGH zufolge eben auch der Betreiber der Fanpage. Wer als Betreiber einer solchen Fanpage auf Nummer sicher gehen will, sollte sie daher offline stellen oder ganz löschen.

Wichtig ist auch, dass die EuGH-Entscheidung für sämtliche Online-Dienste gilt – nicht nur für Facebook. Auch bei Auftritten bei Instagram, Twitter oder bestimmten Google-Diensten trifft die Inhaber entsprechender Seiten die vom EuGH angenommene Mitverantwortung bei Verstößen gegen Datenschutzrecht durch diese Unternehmen.

Wettbewerber könnten nicht datenschutzkonforme Auftritte anderer Unternehmen jetzt zum Anlass nehmen, letztere wegen UWG-Verstößen kostenpflichtig abzumahnen. Bei berechtigten Abmahnungen müssen die angegriffenen Internetauftritte, also beispielsweise Facebook-Fanpages, dann offline geschaltet oder gelöscht werden.

» zur Übersicht