Der Europäische Gerichtshof (EuGH) hat am 05.06.2018 entschieden, dass der Betreiber einer Facebook-Fanpage gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich ist. Die Datenschutzbehörde des Mitgliedstaats, in dem dieser Betreiber seinen Sitz hat, kann nach der Richtlinie 95/46 sowohl gegen ihn als auch gegen die in diesem Mitgliedstaat niedergelassene Tochtergesellschaft von Facebook vorgehen. Zwar bezieht sich das Urteil auf die Rechtslage nach Datenschutzrichtlinie. Jedoch ist es noch aktuell, da sich die Definition der gemeinsamen Verantwortung mit Einführung der DSGVO nicht geändert hat.
Sachverhalt
Dem Vorabentscheidungsverfahren am EuGH lag ein Verwaltungsrechtsstreit zwischen der Wirtschaftsakademie Schleswig-Holstein GmbH und dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) zugrunde. Die klagende Akademie bewirbt Bildungsangebote auf einer Facebook-Fanpage.
Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein ordnete gegenüber der Wirtschaftsakademie an, ihre Fanpage zu deaktivieren. Nach dessen Auffassung wiesen nämlich weder die Wirtschaftsakademie noch Facebook die Besucher der Fanpage darauf hin, dass Facebook mittels Cookies sie betreffenden personenbezogenen Daten erhebt und diese Daten danach verarbeitet. Die Wirtschaftsakademie erhob beim Verwaltungsgericht in Deutschland Klage gegen diesen Bescheid. Das Oberverwaltungsgericht hatte eine Verantwortlichkeit der Klägerin zunächst abgelehnt, mit der Begründung, sie habe keinen Zugriff auf die erhobenen Daten. Im Revisionsverfahren entschied der EuGH auf Vorlage des Bundesverwaltungsgerichts (BVerwG), dass der Betreiber einer Fanpage für die durch Facebook erfolgende Datenverarbeitung mitverantwortlich ist. Insbesondere durch die Funktion „Facebook-Insight“, können anonymisierte statistische Daten über die Nutzer dieser Seite eingesehen werden. Das BVerwG hat auf dieser Grundlage das Berufungsurteil aufgehoben und den Rechtsstreit an das Schleswig-Holsteinische Oberverwaltungsgericht zurückgewiesen. Die Beklagte konnte sich, aufgrund des Bedürfnisses nach einer möglichst schnellen Durchsetzung des Datenschutzniveaus, bei der Auswahl unter mehreren Verantwortlichen vom Gedanken der Effektivität leiten lassen und die Klägerin für die Herstellung des erforderlichen Datenschutzniveaus in die Pflicht nehmen. Da deutsche Aufsichtsbehörden ohnehin aufgrund des One Stop Shops oft nur mittelbar gegen Facebook vorgehen können war diese Wahl sinnvoll. Das Verfahren wurde endgültig durch das Urteil des Oberverwaltungsgerichts vom 25.11.2021 abgeschlossen.
Argumentation des EuGHs
Der EuGH stellte in dem Urteil zunächst fest, dass die amerikanische Gesellschaft Facebook und deren irische Tochtergesellschaft Facebook Ireland zweifellos als „Verantwortliche“ anzusehen sind. Verantwortliche sind natürliche oder juristische Personen, Behörden oder Einrichtungen, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden. Jedoch sieht er den Betreiber, im vorliegenden Fall die Wirtschaftsakademie, für die fragliche Datenverarbeitung als mitverantwortlich im Sinne des Art. 26 DSGVO an. Als Argumente führt er an, dass Besucher der Fanpage beim Setzen von Cookies durch Facebook keine wirksame Einwilligung abgeben könnten. Außerdem könnten sie der Profilbildung nicht widersprechen und werden nicht ausreichend informiert. Betreiber sind also deshalb mitverantwortlich, weil sie Daten verlangen können, die es ihnen ermöglichen, ihr Informationsangebot zielgerichtet zu gestalten. So werden zum einen demographische Daten, wie etwa das Alter oder das Geschlecht erfasst. Zum anderen sind Informationen über Interessen und den Lebensstil wie auch geographische Daten betroffen. Nach Ansicht des Gerichtshofs könne der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutze, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, diesen nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien.
Auswirkungen des Urteils auf Facebook
Facebook hatte infolge des Urteils am 11.09.2018 seine Seiten-Insights ergänzt, was allerdings von Aufsichtsbehörden und für eine Vereinbarung nach Art. 26 DSGVO als unzureichend kritisiert wurde. Daraufhin hat Facebook die Informationen der Seiten-Insights aktualisiert. Dabei handelte es sich um die Vereinbarung nach Art. 26 DSGVO, in welcher einige Kritikpunkte umgesetzt wurden. Unter anderem wurden detaillierte Angaben zu den Arten der erhobenen Daten gemacht sowie technische und organisatorische Maßnahmen hinzugefügt. Ob dadurch ein geringeres Risiko für Datenschutzverletzungen erreicht wird, bleibt abzuwarten. Das Risiko komplett auszuschließen ist allerdings nicht möglich, es wird immer ein Restrisiko verbleiben. Facebook schaffte es zwar das Argument des EuGHs zu entkräften, es würde Daten von Nicht-Mitgliedern sammeln. Jedoch gehen die Behörden davon aus, dass Fanpage Betreiber immer noch nicht ihrer Rechenschaftspflicht hinsichtlich der Rechtsmäßigkeit der Verarbeitung von Daten der Fanpage-Besucher nachkommen.
Aktuelle Entwicklung
Seit der Datenschutzverletzung durch die Wirtschaftsakademie sind bereits 11 Jahre vergangen. Innerhalb dieses Zeitraums hat sich die Lage einiger der kritisierten Punkte verändert. So wurde beispielsweise eine Cookie Einwilligung eingeführt, sowie das Widerspruchsrecht und die zur Verfügung gestellten Informationen verbessert. Aus dem Urteil von 2018 lässt sich somit nicht genau ableiten, ob und falls ja, wie eine Facebook Fanpage datenschutzkonform zu gestalten wäre. Mittlerweile wurden Empfehlungen für das Betreiben einer solchen Fanpage ausgesprochen, die helfen sollen, das Risiko einer Datenschutzverletzung zu minimieren. Unter anderem soll der Betreiber wichtige Informationen bezüglich Datenerhebung- und Verarbeitung von Facebook anfordern, um seinerseits transparent darüber informieren zu können. Dies erfolgt in Form einer Datenschutzerklärung nach Art. 13, 14 DSGVO, in welche der Fanpage Besucher einwilligen muss. Bei einem geschäftsmäßigen Facebook-Auftritt wäre zusätzlich ein ausführliches Impressum erforderlich. Facebook und der Fanpage Betreiber würden zudem ihr Risiko einschränken, indem sie eine Vereinbarung zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO treffen. Aus dem Positionspapier der Datenschutzkonferenz vom 1. April 2019 geht hervor, dass ein datenschutzkonformes Betreiben einer Facebook Fanpage ohne diese Anforderungen nicht möglich ist. Problematisch dabei ist, dass die Betreiber auf Mithilfe von Facebook angewiesen sind. Sollte also eine Vereinbarung zwischen den Parteien scheitern, ist ein datenschutzkonformes Einstellen der Fanpage nicht möglich.
Fazit
Das Urteil ist auf ähnliche Dienste wie Instagram oder Youtube übertragbar. Die Entscheidung hat jedoch keine Auswirkungen auf die Nutzung von sozialen Netzwerken für ausschließlich private Zwecke. Wer jedoch Fanpages zu geschäftlichen Zwecken einrichtet, ist datenschutzrechtlich mitverantwortlich. Für Unternehmen sind Fanpages sehr vorteilhaft, da mit ihrer Hilfe viele Personen erreicht werden können und sich so die Reichweite des Unternehmens vergrößert. Dennoch ist deren Betrieb mit erheblichem Aufwand verbunden und man bleibt mit datenschutzrechtlichen Problemen konfrontiert. Betreiber unterliegen strengen Informationspflichten sowie der Haftung nach DSGVO, was zu aufsichtsrechtlichen Anordnungen oder wettbewerbsrechtlichen Abmahnungen führen kann. Allgemein sollte deshalb auf sie verzichtet werden, vor allem wenn sie nicht ausschließlich für strategisches Marketing verwendet werden. Sollten allerdings die oben beschriebenen Pflichten und Anforderungen ordnungsgemäß erfüllt sein und ist der Datenschutz für das betroffene Unternehmen von großer Bedeutung, können Fanpages betrieben werden. Jedes Unternehmen muss somit eine eigene Risikoabwägung vornehmen.