Mit großer Spannung war die Entscheidung nicht nur bei den Datenschutzrechtlern, sondern in der Unternehmer-Welt erwartet worden: Dürfen wir unsere Facebook-Fanpages aus datenschutzrechtlicher Sicht überhaut weiter betreiben?
Mit Urteil von heute, den 05.06.2018 hat die große Kammer des europäischen Gerichtshofes (EuGH) in der Rechtssache C 210/16 entschieden:
Betreiber von Facebook-Fanpages sind gemeinsam mit Facebook dafür verantwortlich, wie Daten erhoben und verarbeitet werden.
Die Begründung:
Der Betreiber einer Facebook-Fanpage erhalte einen detaillierten Einblick in die Besucherstatistiken und erfahre eine Vielzahl von Merkmalen, darunter auch demografische. Deaktivieren ließe sich die Erfassung dieser Merkmale nicht. Daher steht für den EuGH fest: Neben Facebook selbst ist der Betreiber verantwortlich. Der EuGH führt aus:
"Der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, kann diesen nämlich nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien. Im Übrigen ist hervorzuheben, dass die bei Facebook unterhaltenen Fanpages auch von Personen besucht werden können, die keine Facebook-Nutzer sind und somit nicht über ein Benutzerkonto bei diesem sozialen Netzwerk verfügen. In diesem Fall erscheint die Verantwortlichkeit des Betreibers der Fanpage hinsichtlich der Verarbeitung der personenbezogenen Daten dieser Personen noch höher, da das bloße Aufrufen der Fanpage durch Besucher automatisch die Verarbeitung ihrer personenbezogenen Daten auslöst.
Unter diesen Umständen trägt die Anerkennung einer gemeinsamen Verantwortlichkeit des Betreibers des sozialen Netzwerks und des Betreibers einer bei diesem Netzwerk unterhaltenen Fanpage im
Zusammenhang mit der Verarbeitung personenbezogener Daten der Besucher dieser Fanpage dazu bei, entsprechend den Anforderungen der Richtlinie 95/46 einen umfassenderen Schutz der Rechte
sicherzustellen, über die die Personen verfügen, die eine Fanpage besuchen.
Klarzustellen ist, dass das Bestehen einer gemeinsamen Verantwortlichkeit, wie der Generalanwalt in den Nrn. 75 und 76 seiner Schlussanträge ausgeführt hat, aber nicht zwangsläufig eine
gleichwertige Verantwortlichkeit der verschiedenen Akteure zur Folge hat, die von einer Verarbeitung personenbezogener Daten betroffen sind. Vielmehr können diese Akteure in die Verarbeitung
personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß in der Weise einbezogen sein, dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung
aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist."
Die Folgen:
Für uns Facebook-Fanpage-Betreiber heißt das, dass wir unsere Nutzer künftig informieren müssen, welche Daten Facebook denn bei Besuch unserer Fanpage erhebt und wie Facebook diese verarbeitet.
Für die Nutzer heißt dies, dass diese gegen datenschutzrechtliche Verstöße nicht nur gegen Facebook, sondern auch gegen den Betreiber der Fanpage vorgehen dürfen.
Sicher ist letzteres gut für den Nutzer. Wie aber soll der Betreiber über Datenströme informieren, deren Fluss rauszufinden nicht gerade ein Leichtes ist.
Die rechtskonforme Lösung sähe derzeitig also so aus, dass die Fanpages abgeschaltet werden sollten, wenn der Betreiber risikolos agieren möchte.
Allerdings wird das Bundesverwaltungsgericht, welches die Frage dem EuGH vorgelegt hatte, nunmehr noch zu klären haben, ob denn überhaupt ein Verstoß gegen Datenschutz von Facebook vorgelegen
hat. Bis diese Entscheidung vorliegt, können noch einige Monate vergehen.
Wir halten Sie über die aktuelle Entwicklung auf dem Laufenden.