+49 30 285 058 56 berlin@res-media.net
Fachanwälte in Kooperation
Facebook-Fanpage

Verantwortlich für Facebook-Fanpage: Sollten Unternehmen Social-Media-Accounts löschen?

Am vergangenen Dienstag hat der Europäische Gerichtshof (EuGH) entschieden, dass Betreiber von Facebook-Fanseiten für die Datenverarbeitung des sozialen Netzwerks verantwortlich sind (Urteil vom 05.06.2018, Az. C-210/16). Das Urteil erging zwar zu Facebook auf der Grundlage der „alten“ Rechtslage nach der bisherigen EU-Datenschutzrichtlinie (RiLi 95/46/EG) bzw. dem nationalen Bundesdatenschutzgesetz (BDSG) alter Fassung, ist aber auch gültig für praktisch alle sozialen Netzwerke und die seit dem 25.05.2018 geltende Rechtslage nach der neuen Datenschutzgrundverordnung (DSGVO). Die Frage ist also, ob Unternehmen jetzt ihre Accounts in sozialen Netzwerken abschalten müssen. Wir meinen, nicht sofort – allerdings ist Vorsicht geboten.

Wie kam es zu dem Verfahren?

In dem Verfahren hatte das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) der Wirtschaftsakademie Schleswig-Holstein GmbH im Jahr 2011 verboten, weiterhin eine Facebook – Fanseite zu betreiben. Grund: Über die Fanseite würden personenbezogene Daten der Nutzer an Facebook geliefert, denn Facebook erhebe und verarbeite die Daten über die jeweiligen Fanseiten bei jedem Aufrufen. Das machten sich auch die Betreiber zu Nutze, indem sie über die Funktion „Facebook Insight“ diese Daten zu eigenen Werbezwecken in anonymisierter Form abrufen könnten. Die Daten würden über Cookies gesammelt, die für zwei Jahre aktiv sind. Über das gesamte Vorgehen informierten weder Facebook noch die jeweiligen Fanseiten-Betreiber, wobei letztere von Facebook auch gar nicht die dazu erforderlichen Informationen erhielten.
Da sich die Wirtschaftsakademie Schleswig-Holstein gegen die Verfügung wehrte, ging das Verfahren durch alle Instanzen bis hin zum Bundesverwaltungsgericht (BVerwG), welches dem EuGH schließlich verschiedene Vorlagefragen im Hinblick auf die Auslegung der EU-Datenschutzrichtlinie vorlegte. Der EuGH gab jetzt dem ULD Recht und folgte komplett dessen Argumentation.

Was ist jetzt das rechtliche Problem?

Die juristische Diskussion entzündet sich jetzt vor allem an der Entscheidung, dass Betreiber von Facebook-Fanseiten neben Facebook als Verantwortliche für die Datenverarbeitung einstehen müssen und daher bei Verstößen auch zur Verantwortung gezogen werden können.
–        Der Fanpage-Betreiber als „Verantwortlicher“
Die Entscheidung erging aufgrund der Rechtslage vor dem 25.05.2018: Nach Art. 2 d der bis dahin geltenden EU-Datenschutzrichtlinie ist als Verantwortlicher jeder anzusehen, der allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Nach § 3 Abs. 7 BDSG alter Fassung ist verantwortliche Stelle jeder, der personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. Der EuGH hat dazu festgestellt, dass zunächst einmal Facebook als ein für die Verarbeitung Verantwortlicher anzusehen ist, da das Unternehmen unstreitig über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Facebook-Nutzer und der Personen entscheidet, die die auf Facebook unterhaltenen Fanpages besucht haben. Aber das Gericht hat auch die Frage, ob der Betreiber einer auf Facebook unterhaltenen Fanpage wie die Wirtschaftsakademie ebenfalls als Verantwortlicher anzusehen ist bejaht:
Die Datenverarbeitung erfolge so, dass Facebook Cookies auf den Rechnern der Fanpage-Besucher für die Dauer von zwei Jahren platziere, sofern sie nicht gelöscht würden. Die in den Cookies gespeicherten Informationen empfange Facebook, nutze diese selbst oder stelle die Informationen anderen Stellen wie Facebook-Partnern oder Dritten, z. B. auf Facebook werbenden Unternehmen, zur Verfügung. Zweck der Datenverarbeitung sei es Facebook zu ermöglichen, sein System der Werbung zu verbessern. Zum anderen werde es Fanpage-Betreiber ermöglicht, zum Zweck der Steuerung der eigenen Vermarktung auf Statistiken zuzugreifen und so Kenntnis von den Profilen der Besucher zu erlangen, die seine Fanpage schätzten oder die seine Anwendungen nutzten, um ihnen relevantere Inhalte bereitstellen und interessante Funktionen entwickeln zu können. Mit der Einrichtung einer Fanpage gebe der Betreiber Facebook die Möglichkeit, auf dem Computer oder jedem anderen Gerät der Fanpage-Besucher Cookies zu platzieren, unabhängig davon, ob diese Person über ein Facebook-Konto verfüge.
–        Gilt das Urteil für die neue Rechtslage nach der DSGVO?
Der Wortlaut der DSGVO entspricht den alten, bis 25.05.2018 geltenden Regelungen. Nach Art. 4 Nr. 7 DSGVO ist „Verantwortlicher“ jeder, der allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Damit ist die vorliegende EuGH-Entscheidung auch für die neue Rechtslage maßgeblich und legt die Richtung für die kommende, nationale Rechtsprechung fest. In Art. 26 DSGVO sind die gemeinsam Verantwortlichen zudem jetzt gesetzlich geregelt. Legen mehrere Verantwortliche gemeinsam die Zwecke und Mittel der Datenverarbeitung fest, müssen sie dazu jetzt eine Vereinbarung schließen, wer welchen Teil der Verpflichtungen übernimmt.

Sollten Unternehmen jetzt alle Social-Media-Accounts sofort löschen?

Das Urteil gilt nicht nur für Facebook, sondern wohl für alle Social-Media-Plattformen, die über Fanseiten Daten erheben und verarbeiten. Allerdings hat der EuGH jetzt nur über die Frage entschieden, wie das EU-Recht in Bezug auf die Verantwortlichkeit von Facebook-Fanseiten-Betreibern grundsätzlich auszulegen ist. Die eigentliche Entscheidung im konkreten Fall wird jedoch erst durch das BVerwG getroffen, welches die Auslegungsfragen dem EuGH vorgelegt hatte. Das BVerwG muss also erst noch entscheiden, ob die Wirtschaftsakademie im konkreten Fall tatsächlich Verantwortlicher für die Datenverarbeitung ist, ob das ULD so weit gehen durfte, den Betrieb der Facebook-Seite komplett zu untersagen und ob das ULD nicht zuerst gegen Facebook hätte vorgehen müssen, anstatt gegen den einzelnen Fanpage-Betreiber.
–       Abmahngefahr?
Trotzdem können in der Zwischenzeit neue Verfahren entstehen, nämlich dann, wenn jetzt Abmahner mit dem EuGH-Urteil im Rücken anfangen, andere Unternehmen wegen ihrer Fanpages wettbewerbsrechtlich abzumahnen. Ob ein Datenschutzverstoß immer gleich ein Wettbewerbsverstoß ist, ist zwar streitig. Kommt es aber in diesem Zuge zu Gerichtsverfahren, entscheiden die dann zuständigen Zivilrichter selbständig und berücksichtigen dabei auch das neue Urteil des EuGH. Sie sind also nicht verpflichtet, eine Entscheidung des BVerwG abzuwarten. Also sollten Fanpage-Betreiber zunächst einmal Ruhe bewahren. Wer trotzdem das Risiko von Auseinandersetzungen scheut und zu 100 % rechtssicher sein will, muss seine Social-Media-Accounts jedoch sofort löschen. Alle anderen sollten erst einmal abwarten, wie sich die Rechtsprechung entwickelt.
–        Stellungnahme der DSK
Die Datenschutzkonferenz (DSK), eine Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder, haben am 06.06.2018 eine Stellungnahme zum EuGH-Urteil abgegeben und weist darauf hin, dass jetzt dringender Handlungsbedarf für die Betreiber von Fanpages bestehe. Zwar sei nicht zu verkennen, dass Fanpage-Betreiber ihre datenschutzrechtliche Verantwortung nur erfüllen könnten, wenn Facebook selbst an der Lösung mitwirke und ein datenschutzkonformes Produkt anbiete.
Die DSK fasst die aus ihrer Sicht unabdingbaren Pflichten so zusammen:

  • Wer eine Fanpage besucht, muss transparent und in verständlicher Form darüber informiert werden, welche Daten zu welchen Zwecken durch Facebook und die Fanpage – Betreiber verarbeitet werden. Dies gilt sowohl für Personen, die bei Facebook registriert sind, als auch für nicht registrierte Besucherinnen und Besucher des Netzwerks.
  • Betreiber von Fanpages sollten sich selbst versichern, dass Facebook ihnen die Informationen zur Verfügung stellt, die zur Erfüllung der genannten Informationspflichten benötigt werden.
  • Soweit Facebook Besucherinnen und Besucher einer Fanpage durch Erhebung personenbezogener Daten trackt, sei es durch den Einsatz von Cookies oder vergleichbarer Techniken oder durch die Speicherung der IP-Adresse, ist grundsätzlich eine Einwilligung der Nutzenden erforderlich, die die Anforderung der DS-GVO erfüllt.
  • Für die Bereiche der gemeinsamen Verantwortung von Facebook und Fanpage – Betreibern ist in einer Vereinbarung festzulegen, wer von ihnen welche Verpflichtung der DS-GVO erfüllt. Diese Vereinbarung muss in wesentlichen Punkten den Betroffenen zur Verfügung gestellt werden, damit diese ihre Betroffenenrechte wahrnehmen können.

 
Diese Anforderungen können derzeit mehr oder weniger schlecht von Fanpage-Betreibern erfüllt werden. Umfassende Datenschutzinformationen sollten zwar jetzt sofort in die eigenen Fanpages eingebunden werden, allerdings dürfte es nicht so einfach werden von Facebook Informationen dazu zu bekommen, welche Daten erhoben und welche Cookies usw. gesetzt werden und was mit den Daten passiert. Außerdem bleibt abzuwarten, ob und wann Facebook die erste Vereinbarung mit einem Fanpage-Betreiber zur gemeinsamen Verantwortung nach Art. 26 DSGVO schließt.
Allerdings wird sich Facebook bewegen müssen, wenn das Geschäft mit Unternehmen innerhalb der EU nicht maßgeblich Schaden nehmen soll.

An den Anfang scrollen