Der Gerichtshof der Europäischen Union (EuGH) hat mit seinem heutigen Urteil die Frage der Haftung von Betreibern von Facebook-Fanpages entschieden. Danach ist der Betreiber einer Facebook-Fanpage gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich.

Wer ist datenschutzrechtlich verantwortlich?

Zunächst stellt der EuGH fest, dass kein Zweifel daran besteht, dass die amerikanische Gesellschaft Facebook und, was die Union betrifft, deren irische Tochtergesellschaft Facebook Ireland als „für die Verarbeitung“ der personenbezogenen Daten der Facebook-Nutzer und der Personen, die die auf Facebook unterhaltenen Fanpages besucht haben, „Verantwortliche“ anzusehen sind. Denn diese Gesellschaften entscheiden in erster Linie über die Zwecke und Mittel der Verarbeitung dieser Daten.

Gleichzeitig stellt das Gericht aber auch fest, dass ein Betreiber einer Facebook-Fanpage gemeinsam mit Facebook Ireland für die fragliche Datenverarbeitung verantwortlich anzusehen ist. Dabei geht der EuGH davon aus, dass ein solcher Betreiber zumindest an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt ist. Hierbei stellt das Gericht zum einen darauf ab, dass der Betreiber durch die Eröffnung der Fanpage die Erhebung der Daten der Besucher erst ermöglicht und zum anderen der Betreiber gemeinsam mit Facebook das Interesse verfolgt, aufgrund der gewonnenen Daten beispielsweise spezielle Werbeaktionen durchzuführen oder Veranstaltungen zu organisieren.

In diesem Zusammenhang spielt es schließlich aus unserer Sicht keine Rolle, dass die Entscheidung noch zur Richtlinie 95/46 des Europäischen Parlaments und des Rates (EG-DSRL) ergangen ist. Denn auch die Vorschrift in Art. 4 Nr. 7 DSGVO definiert den Verantwortlichen wie auch schon Art. 2 lit. d) EG-DSRL als diejenige natürliche oder juristische Person, Behörde, Einrichtung oder anderer Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Daher sind Facebook und der Betreiber der Fanpage auch nach der DSGVO gemeinsam verantwortlich (Art. 26 DSGVO).

Folgen für Betreiber von Facebook-Fanpages

Der Betreiber ist als Verantwortlicher gemeinsam mit Facebook für die Einhaltung der Datenschutzbestimmungen rechtlich verantwortlich. Dies bedeutet konkret, dass den Betreiber sämtliche datenschutzrechtlichen Verpflichtungen aus der DSGVO treffen. Er muss also beispielsweise gemäß Art. 24 Abs. 1 DSGVO sicherstellen und den Nachweis dafür bringen, dass die Verarbeitung gemäß der DSGVO erfolgt, ihn treffen vollumfänglich die Informations- und Auskunftspflichten aus Art. 12 ff. DSGVO und er kann selbstverständlich direkt von Datenschutzbehörden, Mitbewerbern und Besuchern der Fanpage in Anspruch genommen werden.

Wir gehen davon aus, dass es dem Betreiber aktuell nicht möglich ist, die Datenschutzbestimmungen im Hinblick auf das Betreiben einer Fanpage einzuhalten. Hierzu wäre beispielsweise erforderlich, dass Facebook mit dem Betreiber eine Vereinbarung dahingehend trifft, wer von Ihnen welche Verpflichtung gemäß der DSGVO erfüllt (Joint-Control-Vereinbarung). Dies bedeutet, dass Facebook sich schnellstmöglich bewegen müsste, um Betreibern die weitere Nutzung der Seiten zu ermöglichen und letztlich eine massenhafte Abschaltung von Fanpages zu verhindern.

Fazit und Handlungsoptionen

Das Urteil stellt viele Unternehmen vor große Herausforderungen und neue Risiken, die sie aktuell allein nicht lösen können. Wir erwarten daher, dass viele Unternehmen ihre Facebook-Fanpages zunächst schließen und eine Reaktion von Facebook abwarten werden. Dies würde natürlich die sicherste Lösung darstellen, auch wenn zahlreiche Unternehmen mittlerweile auf derartige Seiten angewiesen sind. Daher können auch zwingende wirtschaftliche Gründe dafür sprechen, die Fanpages trotz des Risikos zunächst weiter zu betreiben und die weiteren Entwicklungen abzuwarten.

Bei dieser Abwägung sollten Unternehmen auch berücksichtigen, dass diese Entscheidung auch sämtliche weiteren Plattformen, sozialen Netzwerke und Onlinedienste erfassen dürfte, die Unternehmen einen eigenen Auftritt ermöglichen, so z.B. YouTube, Instagram, Xing, LinkedIn usw. Auch könnte das Urteil Auswirkungen auf den Einsatz von Tracking-Tools und Social Plugins haben, die von vielen Unternehmen auf ihren Websites genutzt werden. Konsequenterweise müsste eine Weiternutzung dieser Dienste dann ebenfalls kritisch überprüft werden.

In jedem Fall dürfte durch diese Entscheidung das Abmahnrisiko gestiegen sein, auch wenn der EuGH lediglich über die Vorlagefragen und nicht über den Fall selbst entschieden hat. Es ist jedoch nicht unwahrscheinlich, dass sowohl die Aufsichtsbehörden als auch Wettbewerber zunächst die Entscheidungen des Bundesverwaltungsgerichts und des OLG Düsseldorf abwarten werden.

[Update:]

Nur einen Tag nachdem wir diesen Beitrag veröffentlicht haben, gibt es schon eine Verlautbarung der Aufsichtsbehörden zu diesem Thema. Die Datenschutzkonferenz (DSK) hatte sich zu einer Sondersitzung zusammengefunden, um ihre Position zum Urteil des EuGH zu bestimmen.

Entschließung der Datenschutzkonferenz

Herausgekommen ist eine Entschließung mit dem kämpferischen Titel “Die Zeit der Verantwortungslosigkeit ist vorbei: EuGH bestätigt gemeinsame Verantwortung von Facebook und Fanpage-Betreibern”.

Darin stellt die DSK zunächst zutreffend fest, dass das Urteil auf nach der jetzt geltenden DSGVO Anwendung findet:

Dabei müssen sie die Verpflichtungen aus den aktuell geltenden Regelungen der Datenschutz-Grundverordnung (DS-GVO) beachten. Zwar nimmt das Urteil Bezug auf die frühere Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zum freien Datenverkehr, doch die vom EuGH festgestellte Mitverantwortung der Seitenbetreiber erstreckt sich auf das jeweils geltende Recht, insbesondere auf die in der DS-GVO festgeschriebenen Rechte der Betroffenen und Pflichten der Verarbeiter.
Anschließend stellt die DSK ihre Position zum Urteil vor. Diese umfassen folgende Aussagen:
  • Wer eine Fanpage besucht, muss transparent und in verständlicher Form darüber informiert werden, welche Daten zu welchen Zwecken durch Facebook und die Fanpage-Betreiber verarbeitet werden. Dies gilt sowohl für Personen, die bei Facebook registriert sind, als auch für nicht registrierte Besucherinnen und Besucher des Netzwerks.
  • Betreiber von Fanpages sollten sich selbst versichern, dass Facebook ihnen die Informationen zur Verfügung stellt, die zur Erfüllung der genannten
    Informationspflichten benötigt werden.
  • Soweit Facebook Besucherinnen und Besucher einer Fanpage durch Erhebung personenbezogener Daten trackt, sei es durch den Einsatz von Cookies oder
    vergleichbarer Techniken oder durch die Speicherung der IP-Adresse, ist grundsätzlich eine Einwilligung der Nutzenden erforderlich, die die Anforderung der DS-GVO erfüllt.
  • Für die Bereiche der gemeinsamen Verantwortung von Facebook und Fanpage-Betreibern ist in einer Vereinbarung festzulegen, wer von ihnen
    welche Verpflichtung der DS-GVO erfüllt. Diese Vereinbarung muss in wesentlichen Punkten denBetroffenen zur Verfügung gestellt werden, damit diese ihre Betroffenenrechte wahrnehmen können.

Am Ende der Entschließung stellt die DSK noch fest:

Die deutschen Aufsichtsbehörden weisen darauf hin, dass nach dem Urteil des EuGH dringender Handlungsbedarf für die Betreiber von Fanpages besteht. Dabei ist nicht zu verkennen, dass die Fanpage-Betreiber ihre datenschutzrechtlichen Verantwortung nur erfüllen können, wenn Facebook selbst an der Lösung mitwirkt und ein datenschutzkonformes Produkt anbietet, das die Rechte der Betroffenen wahrt und einen ordnungsgemäßen Betrieb in Europa ermöglicht.
Was bedeutet dieses Positionspapier für Betreiber von Fanpages?

Um es kurz zu machen: Aus unserer Sicht können Betreiber von Facebook-Fanpages keine der Forderungen ohne die Mitwirkung von Facebook erfüllen.

Zwar können sie allgemein über die Erhebung von Daten auf der Fanpage nach Art. 13 DSGVO (ggf. durch Integration einer Passage in der Datenschutzerklärung) informieren. Ihnen wird es aber nicht gelingen in transparenter und in verständlicher Form darüber informiert, welche Daten zu welchen Zwecken durch Facebook und die Fanpage-Betreiber verarbeitet werden. Selbst die DSK weist darauf hin, dass sich die Betreiber diese Informationen bei Facebook holen müssen.

Unabhängig ob man mit der DSK der Auffassung ist, dass für das Tracking von Nutzern auf Facebook eine Einwilligung erforderlich ist, kann ein Fanpage-Betreiber aktuell keine Einwilligung einholen. Auch hier wäre er auf die Mitwirkung von Facebook angewiesen.

Auch einen Vertrag bei einer gemeinsamen Verantwortlichkeit (Joint Control Agreement), in dem festzulegen ist, wer welche Verpflichtungen aus der DSGVO erfüllt, setzt voraus, dass Facebook mit dem Betreiber einer Fanpage eine solche Vereinbarung abschließt. Auch dies ist aktuell nicht abzusehen.

Und nun?

Trotz der Verlautbarung der Aufsichtsbehörden hat sich an unserem obigen Fazit nichts geändert:

Wer auf Nummer sicher gehen will und das bestehende Risiko scheut, sollte seine Fanpage abschalten. Wer allerdings seine Fanpage und auch alle sonstigen Seiten in sozialen Netzwerken und anderen Plattformen weiter betreiben möchte, sollte weiterhin die Entwicklungen abwarten und ggf. auch bei dem Anbieter des Netzwerkes die oben genannten Mitwirkungspflichten einfordern. Wir gehen davon aus, dass sich Facebook und auch die anderen Plattformen bewegen müssen.

Zudem empfiehlt es sich zumindest die Datenschutzinformationen in die Fanpage zu integrieren, ggf. durch eine Verlinkung auf die Datenschutzerklärung der eigenen Website, die mit einem Hinweis auf den Betrieb von Social Media Präsenzen ergänzt wurde.

Christian Krösch

Rechtsanwalt, Betriebswirt (IWW)
Fachanwalt für Insolvenzrecht
Datenschutzauditor (TÜV)
Datenschutzbeauftragter (TÜV)

Zum Profil
Christian Krösch