Der Gerichtshof der Europäischen Union(EuGH) hat am 05.062018 entschieden, dass der Betreiber einer Facebook-Fanpage gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich ist. Die Datenschutzbehörde des Mitgliedstaats, in dem dieser Betreiber seinen Sitz hat, kann nach der Richtlinie 95/46* sowohl gegen ihn als auch gegen die in diesem Mitgliedstaat niedergelassene Tochtergesellschaft von Facebook vorgehen.
Sachverhalt
Dem Vorabentscheidungsverfahren am EuGH lag ein Verwaltungsrechtsstreit zwischen der Wirtschaftsakademie Schleswig-Holstein GmbH und dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) zugrunde. Die klagende Akademie bewirbt Bildungsangebote auf eine Facebook-Fanpage. Gegen eine datenschutzrechtliche Anordnung des beklagten ULD setzte sich die Einrichtung bis zum Bundesverwaltungsgericht (BVerwG) zu Wehr, das dem EuGH u.a. die Frage vorlegte, ob die Akademie als Fanpage-Betreiberin verantwortliche Stelle sein kann. Dies hat der EuGH nun bejaht. Fanpages sind dabei solche Benutzerkonten, die bei Facebook von Privatpersonen oder Unternehmen eingerichtet werden können. Der Fanpage-Betreiber kann nach seiner Registrierung Facebook dazu benutzen, sich den übrigen Nutzern oder auch externen Seitenbesuchern zu präsentieren, Beiträge zu veröffentlichen oder Werbung zu machen. Mit Hilfe der Funktion „Facebook Insight“, die ihnen Facebook als nicht abdingbaren Teil des Benutzungsverhältnisses kostenfrei zur Verfügung stellt, können anonymisierte statistische Daten über die Nutzer dieser Seiten eingesehen werden.
Datenschutzbehörde ordnete Deaktivierung der klägerischen Fanpage an
Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein ordnete gegenüber der Wirtschaftsakademie an, ihre Fanpage zu deaktivieren. Nach dessen Auffassung wiesen nämlich weder die Wirtschaftsakademie noch Facebook die Besucher der Fanpage darauf hin, dass Facebook mittels Cookies sie betreffende personenbezogene Daten erhebt und diese Daten danach verarbeitet. Die Wirtschaftsakademie erhob beim Verwaltungsgericht in Deutschland eine verwaltungsgerichtliche Klage gegen diesen Bescheid und machte geltend, dass ihr die Verarbeitung personenbezogener Daten durch Facebook nicht zugerechnet werden könne und sie Facebook auch nicht mit einer von ihr kontrollierten oder beeinflussbaren Datenverarbeitung beauftragt habe. Daraus leitete die Wirtschaftsakademie ab, dass das Unabhängige Landeszentrum direkt gegen Facebook und nicht gegen sie hätte vorgehen müssen. Das inzwischen mit dem Rechtsstreit befasste Bundesverwaltungsgericht ersuchte den Gerichtshof um Auslegung der Richtlinie 95/46.
Argumentation des EuGH
In seinem Urteil stellte der Gerichtshof zunächst fest, dass in der vorliegenden Rechtssache nicht in Zweifel gezogen wird, dass die amerikanische Gesellschaft Facebook und, was die Union betrifft, deren irische Tochtergesellschaft Facebook Ireland als „für die Verarbeitung“ der personenbezogenen Daten der Facebook-Nutzer und der Personen, die die auf Facebook unterhaltenen Fanpages besucht haben, „Verantwortliche“ anzusehen sind. Denn diese Gesellschaften entscheiden in erster Linie über die Zwecke und Mittel der Verarbeitung dieser Daten. Der Gerichtshof hat insoweit darauf hingewiesen, dass der Fanpage-Betreiber insbesondere demografische Daten über seine Zielgruppe verlangen könne. Dazu zählten Informationen über den Lebensstil und die Interessen seiner Zielgruppe und geografische Daten, die ihn darüber informieren, wo spezielle Werbeaktionen durchzuführen oder Veranstaltungen zu organisieren sind und ihm ganz allgemein ermöglichen, sein Informationsangebot so zielgerichtet wie möglich zu gestalten. Nach Ansicht des Gerichtshofs könne der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutze, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, diesen nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien.
Fazit
Die Entscheidung hat keine Auswirkungen auf die Nutzung von Sozialen Netzwerken für ausschließlich private Zwecke. Wer Fanpages zu geschäftlichen Zwecken einrichtet, ist aber datenschutzrechtlich in der Mitverantwortung. Das Urteil ist auf ähnliche Dienste wie Instagram, Snapchat oder Youtube übertragbar. Mit der Verkündung des BVerwG-Revisionsurteils werden Fanpage-Betreiber den Pflichten, insbesondere Informationspflichten, Betroffenenrechten und der Haftung nach der DSGVO unterliegen, was zu aufsichtsbehördlichen Anordnungen oder wettbewerbsrechtlichen Abmahnungen führen kann. Fanpages stehen aber auch nicht automatisch vor dem Aus. Zunächst muss die Wertung des EuGH Eingang in das Revisionsverfahren finden und im Urteil des BVerwG umgesetzt werden. Akuter Handlungsbedarf für eilige Kontolöschungen besteht daher nicht. Bereits jetzt können Fanpage-Betreiber in der Facebook-Seiteninformation unter „Datenschutzrichtlinie“ eine eigene extern gespeicherte Datenschutzerklärung verlinken, um die Informationspflichten gem. Art. 13, 14 DSGVO zu erfüllen. Darin kann auf die Datenverarbeitung im Rahmen einer Fanpage für das jeweilige Soziale Netzwerk Bezug genommen werden, um – soweit möglich – für Transparenz zu sorgen.