EuGH-Urteil zu Facebook

Der Europäische Gerichtshof (EuGH) hat heute (5. Juni 2018) entschieden, dass der Betreiber einer sogenannten „Facebook-Fanpage“ gemeinsam mit Facebook für bestimmte Datenschutzverletzungen auf dieser Seite haftet (Rs. C-210/16). Der EuGH ist damit wie so oft den Schlussanträgen des Generalanwalts Ives Bot gefolgt. Die Entscheidung erging zwar zur vor kurzem außer Kraft getretenen EU-Datenschutzrichtlinie, gilt nach Ansicht von cep-Expertin Hoffmann aber auch unter der neuen Datenschutzgrundverordnung fort.

Das Urteil betrifft alle Unternehmen und Personen, die bei einem sozialen Netzwerk wie Facebook eine sogenannte – nicht rein private – „Fanpage“ unterhalten, auf der sie z.B. für ihre Produkte werben. Erhebt das soziale Netzwerk (hier: Facebook) dabei über Cookies personenbezogene Daten der Besucher dieser Webseite zur Erstellung von Besucherstatistiken und hat der Betreiber die Möglichkeit, Kriterien festzulegen, wie diese Statistiken erstellt werden, bestimmt er die Zwecke und Mittel der Verarbeitung mit und ist daher ebenfalls verantwortlich, für den Schutz dieser Daten zu sorgen. Anderes könnte evtl. dann gelten, wenn die Datensammelfunktion oder die Einstellungsmöglichkeiten des Betreibers ausgeschlossen oder deaktivierbar ist. Bei Facebook ist dies aber bislang nicht der Fall.

Der Gerichtshof merkt jedoch an, dass die gemeinsame Verantwortlichkeit von Fanpage-Betreibern und nicht zwangsläufig bedeutet, dass diese auch gleichwertig für alles verantwortlich sind. Vielmehr sei der Grad der Verantwortlichkeit stets im jeweiligen Einzelfall unter Berücksichtigung aller maßgebenden Umstände zu beurteilen.

Wie der EuGH ferner betont, schließt die Möglichkeit der zuständigen Aufsichtsbehörde, direkt gegen Facebook vorzugehen, es nicht aus, dass diese (auch) Maßnahmen gegen den mitverantwortlichen Betreiber der „Fanpage“ zu ergreifen. Verstößt die Fanpage gegen Datenschutzvorschriften und ist der Betreiber nach dem oben Gesagten für diese Verstöße mitverantwortlich, könnten Aufsichtsbehörden Unternehmen demnach künftig vermehrt dazu zwingen, die Verstöße zu beseitigen und notfalls datenschutzwidrige Fanseiten vom Netz zu nehmen.

Betreiber einer Fanpage sollten nun mit dem jeweiligen sozialen Netzwerk eine Vereinbarung treffen, wer von ihnen welche datenschutzrechtlichen Verpflichtungen erfüllt. Insbesondere müssen die Besucher der Fanpage darüber informiert werden, dass und welche Daten über Cookies erhoben und wie diese anschließend durch Facebook und den Seitenbetreiber selbst genutzt werden. Im Zweifelsfall sollten die Fanpage-Betreiber diese Informationspflichten unmittelbar auf ihrer Fanpage selbst erfüllen.

Zum Hintergrund:

Das deutsche Bundesverwaltungsgericht hatte diese und weitere – unter der DSGVO teils obsolet gewordene – Fragen zur Abgrenzung der Zuständigkeiten verschiedener nationaler Datenschutz-aufsichtsbehörden dem EuGH im Februar 2017 zur Vorabentscheidung vorgelegt. Ausgangspunkt des Verfahrens war eine Anordnung der schleswig-holsteinischen Datenschutzbehörde (ULD) gegenüber der Wirtschaftsakademie Schleswig-Holstein, einem Bildungsunternehmen der IHK, die von dieser betriebene Facebook-Fanpage zu deaktivieren. Das ULD hatte argumentiert, der Betrieb der Fanpage verstoße gegen europäisches und nationales Datenschutzrecht, weil Facebook personenbezogene Daten der Fanpage-Nutzer ohne deren Einwilligung über Cookies erhebe und verarbeite.