Die Datenschutzgrundverordnung (DSGVO) sorgt seit ihrer Anwendbarkeit am 25.05.2018 für große Unsicherheit in der Welt des Datenschutzrechtes. Zu dieser Unsicherheit trägt das jüngste Urteil des EuGH vom 05.06.2018 (Az. C-210/16) ebenso bei, in welchem entschieden wurde, dass Betreiber von Facebook-Fanpages für die Datenverarbeitung von Facebook als gemeinsam Verantwortlicher zu qualifizieren sind. Diese Sicht der Dinge ließ die Datenschutzbehörden der einzelnen Bundesländer aufjubeln. Schnell verbreitete sich allerdings die Auffassung, dass sämtliche Facebook-Fanpages nun abgeschaltet werden müssen. Diese drastische Maßnahme dürfte sich allerdings als vorschnell und im Ergebnis als überzogen darstellen.
Hintergrund dieses Urteils ist ein Rechtsstreit zwischen dem Unabhängigen Landesdatenschutzzentrum Schleswig-Holstein (ULD) und der Wirtschaftsakademie Schleswig-Holstein GmbH vor dem Bundesverwaltungsgericht. Das Bundesverwaltungsgericht legte dem EuGH die Rechtssache zur Vorabentscheidung vor, um über die Auslegung der Richtlinie 95/46/EG zu entscheiden. Diese Richtlinie wurde zwar von der neuen DSGVO weitestgehend abgelöst, aber dennoch stellen sich die Ausführungen des EuGH als wegweisend auch für das neue Datenschutzrecht dar.
Im Mittelpunkt des Verfahrens steht eine seitens der Wirtschaftsakademie Schleswig-Holstein GmbH betriebene Facebook-Fanpage, deren Betrieb das ULD mittels Verfügung untersagt hat. Begründet wurde dieser Schritt mit der rechtswidrigen Speicherung von Interessens- und Verhaltensprofilen der einzelnen Nutzer sowie mangelnder Transparenz seitens des Plattformbetreibers Facebook. Aufhänger dieser Streitigkeit ist der so genannte „Insights“-Bereich, der dem Betreiber der Fanpage (anonymisiert) Daten über die Besuche bzw. Nutzung seiner Seite durch die Benutzer zur Verfügung stellt.
Das Unternehmen setzt sich mit dem Argument zur Wehr, dass der Betreiber einer Fanpage die Daten nicht selbst erhebt und damit (im Gegensatz zu Facebook) nicht als Verantwortlicher im Sinne des Datenschutzes einzustufen ist. Dieser Auffassung schloss sich der EuGH in seinem jüngsten Urteil jedoch nicht an und ging von einer weiten Auslegung des Begriffes des „Verantwortlichen“ aus. Der EuGH stellte hierbei klar, dass die Betreiber von Fanpages als gemeinsam Verantwortlicher mit Facebook zu qualifizieren sind. Dies wird damit begründet, dass der Betreiber der Fanpage es Facebook ermöglicht, für die Dauer von zwei Jahren Cookies auf den Rechnern der Besucher abzulegen. Zudem kann der Betreiber mithilfe von Facebook zur Verfügung gestellten Filtern einstellen, nach welchen Kriterien die Statistiken (bspw. demografische Daten) erstellt werden sollen. Speziell diese Funktion nahm der EuGH zum Anlass, den Betreiber einen Beitrag zur Verarbeitung der personenbezogenen Daten durch Facebook zuzurechnen.
Was bedeutet dies für die Praxis?
Was dies zukünftig praktisch für die Betreiber von Fanpages bedeutet, wird allerdings abzuwarten sein, da die endgültige Entscheidung des Bundesverwaltungsgerichtes noch nicht getroffen wurde. Hierbei müsste zunächst einmal festgestellt werden, dass Facebook als „Hauptverantwortlicher“ die Datenschutzbestimmungen in rechtswidriger Weise verletzt hat, um überhaupt eine Untersagung begründen zu können. In einem zweiten Schritt wird die Frage zu klären sein, ob die Datenschutzbehörden sich nicht auch direkt an Facebook selbst wenden können. Dies hätte dann zur Folge, dass die Betreiber von Fanpages zunächst „aus dem Schneider“ wären, da Behörden bei der Auswahl ihrer Gegner an die Grundsätze des Ermessens gebunden sind und somit für alle Beteiligte das mildeste Mittel (bei gleichwirksamer Zweckerreichung) wählen müssen.
Bis dahin sollte sichergestellt sein, dass die Besucher der Fanpage ausreichend über die Verarbeitung ihrer personenbezogenen Daten durch Facebook informiert werden. Hierzu empfiehlt es sich, die eigens dazu vorgesehene Funktion zur Verlinkung einer Datenschutzerklärung zu nutzen, um auf eine umfassende Datenschutzerklärung (bspw. auf einer dazugehörigen Webseite) zu verlinken. Zu beachten ist hierbei, dass dies sowohl für die bei Facebook registrierten als auch für nicht registrierte Besucher geschehen muss.
Weitreichende Probleme wirft das oben beleuchtete Urteil bezüglich der datenschutzrechtlichen Betroffenenrechte auf. Nach Art. 15 ff. DSGVO können betroffene Personen gegen den Verantwortlichen diverse Rechte (bspw. auf Auskunft) geltend machen. Die Daten, die bei Facebook-Fanpages erhoben werden, sind jedoch Facebook allein zugänglich, sodass es faktisch für den (nun) gemeinsam verantwortlichen Seitenbetreiber nicht möglich ist, den Rechten der Betroffenen effektiv nachzukommen. Es liegt also nahe, dass es zwischen den Seitenbetreibern und Facebook genaue Absprachen geben muss, um klarzustellen, wer welchen Betroffenenrechten nachkommen muss und auch wird. Dies könnte bspw. in Form einer Vereinbarung abgesichert werden. Dieses Vorgehen erinnert gewissermaßen an die Pflicht zum Vertragsschluss mit Auftragsverarbeitern.
Abschließend bleibt demnach abzuwarten, wie sich das Urteil des EuGH auf das anschließende Urteil des Bundesverwaltungsgerichtes auswirkt. Bis dahin sollte die Wahrscheinlichkeit einer Abmahnung noch schwindend gering sein, da spezialisierte Abmahnkanzleien üblicherweise die endgültige Entscheidung abwarten. Fest steht allerdings, dass sich das Urteil des EuGH als wegweisend für die Haftung in der neuen Ära des Datenschutzrechtes auf sozialen Netzwerken und insbesondere Facebook darstellt.