Der DSGVO-Stress ist noch in vollem Gange, da kommt der nächste Knaller: Das Urteil, das der Europäische Gerichtshof (EuGH) am 05. Juni 2018 veröffentlich hat sagt, dass Facebook Fanpage Betreiber für mögliche Datenschutzverstöße etwa beim Tracking auf der Plattform mitverantwortlich sind. Müssen nun alle Facebook-Fanpages abgeschaltet werden und droht eine riesige Klage- oder Abmahnwelle?
Was war Hintergrund des aktuellen Facebook-Urteils?
Es ging im Ausgangsfall darum, dass das Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) der Wirtschaftsakademie Schleswig-Holstein das Betreiben seiner Facebook Fanpage untersagt hat. Mehr Informationen zu den Hintergründen des Falles finden Sie hier:
Facebook Fan-Seiten: Betreiber sind nicht für Datenschutz verantwortlich
Facebook und Fanpages: Wer ist für den Datenschutz verantwortlich?
Zusammengefasst ging es um die Tracking-Funktionen von Facebook Insight, die dafür notwendigen Cookies und die Frage, ob allein Facebook datenschutzrechtlich dafür verantwortlich ist oder auch die Betreiber der Fanpages, die diese und vergleichbare Facebook-Features nutzen.
Vor den deutschen Gerichten hat die Wirtschaftsakademie Schleswig-Holstein stets gegen die Datenschützer gewonnen. Die Gerichte sahen hier stets Facebook in der Verantwortlichkeit. Die Datenschützer gaben aber nicht klein bei, so landete der Fall vor dem EuGH.
Was hat der EuGH denn nun genau entschieden?
Die wichtigsten Passagen aus der Pressemitteilung des EuGH lauten:
„Der Betreiber einer Facebook-Fanpage ist gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich.“
„Sodann befindet der Gerichtshof, dass ein Betreiber wie die Wirtschaftsakademie als in der Union gemeinsam mit Facebook Ireland für die fragliche Datenverarbeitung verantwortlich anzusehen ist.“
„Nach Ansicht des Gerichtshofs kann der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, diesen (Anm: den Fanpage-Betreiber) nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien.“
Quelle:
PRESSEMITTEILUNG Nr. 81/18
Gerichtshof der Europäischen Union
Luxemburg, den 5. Juni 2018
https://curia.europa.eu/jcms/upload/docs/application/pdf/2018-06/cp180081de.pdf
Es folgen dann weitere Ausführungen des EuGH dazu, dass das Unabhängige Landeszentrum für Datenschutz durchaus auch gegen Facebook Irland direkt hätte vorgehen können.
Was jetzt ggf. auch geschehen könnte, wenn man Facebook wirklich zum Handeln zwingen wollte.
Ja, es ist unfair, dass die Untätigkeit von Facebook in Sachen Datenschutz nun auf dem Rücken Hunderttausender Facebook Fanpage-Betreiber ausgetragen wird. Und es ist ärgerlich, dass die Behörden nicht konsequent gegen Facebook selbst vorgegangen sind, um das Unternehmen zu datenschutzkonformen Umgang mit Nutzerdaten zu zwingen. Stattdessen wurde eine Art Stellvertreterkrieg gegen Facebook Fanpage-Betreiber vom Zaun gebrochen, der nun die Existenzen zahlreicher Unternehmen nicht nur aus der Social Media Branche bedrohen kann.
Andererseits: Natürlich profitieren die Betreiber der Fanpages direkt oder indirekt auch von der Reichweite des Netzwerkes. In vielen Fällen stecken ausschließlich wirtschaftliche Überlegungen hinter dem Betrieb einer professionellen Facebook-Seite.
Was bedeutet das Urteil denn nun genau?
Eine mögliche Sichtweise ist:
Der EuGH hat (vereinfacht gesagt) geurteilt, dass jeder Betreiber einer Facebook-Fanpage auch für Datenschutzverstöße von Facebook verantwortlich gemacht werden kann. Auch dann, wenn er den Umgang von Facebook mit den Nutzerdaten in der Praxis kaum oder gar nicht beeinflussen kann.
Dann wäre das Abschalten der eigenen Facebook-Fanpage die einzige Möglichkeit, rechtlichen Konsequenzen zu entgehen. Zumindest bis Facebook hier für das Nutzertracking auf Facebook und Webseiten eine DSGVOkonforme Lösung zur Verfügung stellt.
Die andere Sichtweise:
Ganz so wild ist das alles nicht. Der EuGH hat betont, „dass die amerikanische Gesellschaft Facebook und ... deren irische Tochtergesellschaft Facebook Ireland als „für die Verarbeitung“ der personenbezogenen Daten... „Verantwortliche“ anzusehen sind.“
Abmahnungen und behördliches Vorgehen gegen die Fanpage-Betreiber könnten deshalb unverhältnismäßig, da man sich nun mit weiteren Maßnahmen zunächst an Facebook halten müsste.
Zudem muss nun in der Sache auch erst einmal wieder das Bundesverwaltungsgericht den Fall zu Ende führen. Wobei dieses grundsätzlich an die Entscheidungen des EuGH gebunden ist, allerdings auch einen eigenen Beurteilungsspielraum in bestimmten Punkten besitzt.
Und was sollen Betreiber von Facebook Fanpages jetzt konkret tun?
- Wenn Sie jedes rechtliche Risiko scheuen, sollten Sie Ihre Fanpage deaktivieren.
- Wenn Sie etwas risikofreudiger sind, warten Sie ab, ob ggf. das Bundesverwaltungsgericht der Sache noch einen neuen Aspekt hinzufügen wird.
Der einzig sinnvolle Weg, die Daten der Nutzer und die wirtschaftlichen Interessen der Fanpage-Betreiber in Einklang zu bringen wäre natürlich, dass Facebook nun reagiert und verstärkt über den Umgang mit den Daten der Nutzer informiert und auf datenschutzkonforme Prozesse setzt.
Wie wahrscheinlich dies ist, kann aktuell aber niemand vorhersagen.
Aber das Urteil betrifft doch die Rechtslage vor der DSGVO?
Das stimmt, hilft als Argument in der Sache aber nicht. Es geht um die allgemeine Frage der datenschutzrechtlichen Verantwortlichkeit im Sinne der EG-Datenschutzrichtlinie. Die Argumente des EuGH sind auch im Rahmen der DSGVO anwendbar.
Zudem benennt die DSGVO nun ebenfalls Fälle der "gemeinsamen Verantwortlichkeit". Das Urteil des EuGH gilt also erst Recht im Rahmen der Geltung der DSGVO.
Quelle: .e-recht24