WK LEGAL | SPRECHEN SIE UNS GERNE AN

Das Team von WK LEGAL steht Ihnen gerne jederzeit für Ihre rechtlichen Fragen am Standort Berlin, telefonisch oder per E-Mail zur Verfügung. Dabei legen wir besonderen Wert darauf für unsere Mandanten wirtschaftlich optimale Ergebnisse zu entwickeln, die rechtlich fundiert sind und das Ziel unserer Mandanten erreichen.

Fanpage-Betreiber sind datenschutzrechtlich auch Verantwortliche

06.06.2018 | Autor: Guido Kluck, LL.M.

Gestern hat der Europäische Gerichtshof (EuGH) für eine aufsehenerregende Entscheidung (AZ: C-210/16) gesorgt und dabei zwei entscheidende Aussagen getroffen:

1. Der Betreiber einer Facebook-Fanpage ist mit Facebook gemeinsam datenschutzrechtlich Verantwortlicher im Sinne der Richtline 95/46/EG.

2. Datenschützer können auch in Deutschland gegen Facebook vorgehen und müssen sich nicht an die zuständige Kontrollstelle des europäischen Hauptsitzes des Unternehmens in Irland wenden.

Das dem Verfahren zu Grunde liegende Vorabentscheidungsersuchen des Oberverwaltungsgerichts betrifft die Auslegung der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. 1995, L 281, S. 31).

Die Entscheidung des EuGH erging im Rahmen eines Rechtsstreits zwischen dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (im Folgenden: ULD) und der Wirtschaftsakademie Schleswig-Holstein GmbH, einem privatrechtlich organisierten Bildungsunternehmen (im Folgenden: Wirtschaftsakademie), über die Rechtmäßigkeit einer Anordnung des ULD gegenüber der Wirtschaftsakademie, mit der dieser aufgegeben wurde, eine auf der Website des sozialen Netzwerks Facebook (im Folgenden: Facebook) unterhaltene Fanpage zu deaktivieren. Das ULD bemängelte, dass dort Nutzerdaten erfasst würden, ohne dass die Besucher ausreichend darüber informiert würden. Dafür sei nicht nur Facebook, sondern auch der Betreiber der Fanpage verantwortlich.

Nachdem die Vorinstanzen der Wirtschaftsakademie zunächst Recht gegeben hatten und keine Verantwortlichkeit für die Datenerhebung sahen, urteilte der EuGH nun im Sinne des ULD. Seitenbetreiber erhalten detaillierten Einblick in die Besucherstatistiken und erfahren so unter anderem demografische Merkmale ihrer Nutzer. Die Erfassung dieser Daten lässt sich nicht deaktivieren. Dementsprechend sei nicht nur Facebook, sondern auch der Betreiber dafür verantwortlich, so der EuGH. Dem Urteil ging ein entsprechender Schlussantrag des Generalanwalts voraus: Er sieht den Betreiber der Fanpage in der Verantwortung, da er durch die Öffnung der Seite Einfluss auf die Datenverarbeitung nehme. Dies könne der Fanpage-Seitenbetreiber auch ganz einfach verhindern, indem er seine Seite schließt, so der Generalanwalt.

In seiner Entscheidung führt der EuGH wörtlich aus:

„Wie aus den dem Gerichtshof vorgelegten Akten hervorgeht, erfolgt die im Ausgangsverfahren in Rede stehende Datenverarbeitung im Wesentlichen in der Weise, dass Facebook auf dem Computer oder jedem anderen Gerät der Personen, die die Fanpage besucht haben, Cookies platziert, die die Speicherung von Informationen in den Web-Browsern bezwecken und für die Dauer von zwei Jahren wirksam bleiben, sofern sie nicht gelöscht werden. Außerdem geht aus den Akten hervor, dass in der Praxis Facebook die in den Cookies gespeicherten Informationen empfängt, aufzeichnet und verarbeitet, insbesondere wenn eine Person die „Facebook-Dienste, Dienste, die von anderen Mitgliedern der Facebook-Unternehmensgruppe bereitgestellt werden, und Dienste, die von anderen Unternehmen bereitgestellt werden, die die Facebook-Dienste nutzen“, besucht. Außerdem können andere Stellen wie Facebook-Partner oder sogar Dritte „auf den Facebook-Diensten Cookies verwenden, um [diesem sozialen Netzwerk direkt] bzw. den auf Facebook werbenden Unternehmen Dienstleistungen bereitzustellen“.

Diese Verarbeitungen personenbezogener Daten sollen u. a. zum einen Facebook ermöglichen, sein System der Werbung, die es über sein Netzwerk verbreitet, zu verbessern. Zum anderen sollen sie dem Betreiber der Fanpage ermöglichen, zum Zweck der Steuerung der Vermarktung seiner Tätigkeit Statistiken, die Facebook aufgrund der Besuche dieser Seite erstellt, zu erhalten, die es ihm beispielsweise ermöglichen, Kenntnis von den Profilen der Besucher zu erlangen, die seine Fanpage schätzen oder die seine Anwendungen nutzen, um ihnen relevantere Inhalte bereitstellen und Funktionen entwickeln zu können, die für sie von größerem Interesse sein könnten.

Auch wenn der bloße Umstand der Nutzung eines sozialen Netzwerks wie Facebook für sich genommen einen Facebook-Nutzer nicht für die von diesem Netzwerk vorgenommene Verarbeitung personenbezogener Daten mitverantwortlich macht, ist indes darauf hinzuweisen, dass der Betreiber einer auf Facebook unterhaltenen Fanpage mit der Einrichtung einer solchen Seite Facebook die Möglichkeit gibt, auf dem Computer oder jedem anderen Gerät der Person, die seine Fanpage besucht hat, Cookies zu platzieren, unabhängig davon, ob diese Person über ein Facebook-Konto verfügt.

In diesem Rahmen geht aus den dem Gerichtshof unterbreiteten Angaben hervor, dass die Einrichtung einer Fanpage auf Facebook von Seiten ihres Betreibers eine Parametrierung u. a. entsprechend seinem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten impliziert, die sich auf die Verarbeitung personenbezogener Daten zum Zweck der Erstellung der aufgrund der Besuche der Fanpage erstellten Statistiken auswirkt. Mit Hilfe von durch Facebook zur Verfügung gestellten Filtern kann der Betreiber die Kriterien festlegen, nach denen diese Statistiken erstellt werden sollen, und sogar die Kategorien von Personen bezeichnen, deren personenbezogene Daten von Facebook ausgewertet werden. Folglich trägt der Betreiber einer auf Facebook unterhaltenen Fanpage zur Verarbeitung der personenbezogenen Daten der Besucher seiner Seite bei.

Insbesondere kann der Fanpage-Betreiber demografische Daten über seine Zielgruppe – und damit die Verarbeitung dieser Daten – verlangen, so u. a. Tendenzen in den Bereichen Alter, Geschlecht, Beziehungsstatus und berufliche Situation, Informationen über den Lebensstil und die Interessen seiner Zielgruppe und Informationen über die Käufe und das Online-Kaufverhalten der Besucher seiner Seite, die Kategorien von Waren oder Dienstleistungen, die sie am meisten interessieren, sowie geografische Daten, die ihn darüber informieren, wo spezielle Werbeaktionen durchzuführen oder Veranstaltungen zu organisieren sind, und ihm ganz allgemein ermöglichen, sein Informationsangebot so zielgerichtet wie möglich zu gestalten.

Zwar werden die von Facebook erstellten Besucherstatistiken ausschließlich in anonymisierter Form an den Betreiber der Fanpage übermittelt, jedoch beruht die Erstellung dieser Statistiken auf der vorhergehenden Erhebung – durch die von Facebook auf dem Computer oder jedem anderen Gerät der Personen, die diese Seite besucht haben, gesetzten Cookies – und der Verarbeitung der personenbezogenen Daten dieser Besucher für diese statistischen Zwecke. Die Richtlinie 95/46 verlangt jedenfalls nicht, dass bei einer gemeinsamen Verantwortlichkeit mehrerer Betreiber für dieselbe Verarbeitung jeder Zugang zu den betreffenden personenbezogenen Daten hat.

Unter diesen Umständen ist festzustellen, dass der Betreiber einer auf Facebook unterhaltenen Fanpage wie die Wirtschaftsakademie durch die von ihm vorgenommene Parametrierung u. a. entsprechend seinem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt ist. Daher ist der Betreiber im vorliegenden Fall als in der Union gemeinsam mit Facebook Ireland für diese Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 einzustufen.“

Was bedeutet diese Entscheidung nun für Betreiber von Facebook-Fanseiten?

Das Urteil könnte nach der Ansicht der Süddeutschen Zeitung weitreichende Auswirkungen haben. Seitenbetreiber müssen Besucher darüber informieren, welche Daten Facebook erfasst und wie diese verarbeitet werden. Das Problem an dieser Stelle besteht darin, dass Seitenbetreibern regelmäßig nicht bekannt ist, welche Daten in welcher Weise durch Facebook verarbeitet werden. Außerdem können Nutzer datenschutzrechtliche Ansprüche auch direkt gegen die Betreiber geltend machen.

Gleichwohl sollte auch in diesem Fall mit Bedacht den Panikwellen begegnet werden, welche gestern bereits im Internet veröffentlicht wurden. Aus den Ausführungen des EuGH geht zunächst hervor, dass die Landesdatenschutzbehörden Betreibern von Facebook-Fanpages aufgeben können diese Seite zu deaktivieren. Dass die Landesdatenschutzbehörden dies nun in flächendeckendem Umfang machen werden ist jedoch nicht ersichtlich. Darüber hinaus muss beachtet werden, dass sich die Entscheidung des EuGH auf die Rechtslage vor dem 25. Mai 2018 und damit vor Inkrafttreten der DSGVO bezieht. Dass die Ausführungen des EuGH jedoch auch im Rahmen der DSGVO in gleicher Weise gilt, hat der EuGH gerade nicht ausgeführt. Denn die DSGVO regelt die Verantwortlichkeiten abschließend.

Abmahnungen von Mitbewerbern dürften ebenfalls nicht in besonders großer Zahl zu befürchten sein. Denn auch die Mitbewerber, die regelmäßig auch Facebook-Fanpages betreiben, müssten diese vorher schließen oder datenschutzkonform über die Verarbeitung der Daten informieren, womit sie vor demselben Problem stehen würden. Darüber hinaus ist aktuell umstritten, ob derartige Abmahnungen überhaupt berechtigt wären. Eine Entscheidung der Gerichte hierzu bleibt nämlich abzuwarten.

Handlungsbedarf besteht nun jedoch in jedem Fall zunächst für die sozialen Netzwerke, allen voran, Facebook selbst, die eine Lösung für ihre Nutzer präsentieren müssen, mit der die Betreiber von Facebook-Fanpages in der Lage sein werden, ordnungsgemäß auf die Datenschutzhinweise aufmerksam zu machen. Gleichzeitig müsste Facebook und andere soziale Netzwerke offenlegen, welche Datenverarbeitung zu welchem Zweck tatsächlich stattfindet.

Bis dahin sollten Betreiber einer Facebook-Fanpage, welche diese weiteren Anforderungen nun erfülle möchten, eine Datenschutzerklärung auf ihrer Facebook-Fanpage integrieren und über die Datenverarbeitung informieren, soweit dies möglich ist und „im Übrigen“ auf die Datenschutzerklärung von Facebook verweisen, die nach Angaben von Facebook DSGVO-konform sein soll. Hierdurch würden Betreiber von Facebook-Fanpages zumindest das entstandene Risiko minimieren. Gleichwohl bleibt ein gewisses Restrisiko, dass ein Nutzer gegenüber dem Fanpage-Betreiber seine Rechte geltend macht und dieser Anspruch nicht vollständig erfüllt werden kann, mangels ausreichender Informationen von Facebook.

Sollten Sie hierzu weitere Fragen haben oder Unterstützung bei der Erstellung einer Datenschutzerklärung für Ihre Fanpage benötigen, steht Ihnen die Kanzlei WK LEGAL hierfür jederzeit zur Verfügung.

Über den Autor

Guido Kluck, LL.M.

Rechtsanwalt Guido Kluck LL.M. (Informationsrecht) ist Partner der Kanzlei WK LEGAL am Standort Berlin. Er ist Ansprechpartner für das Recht der neuen Medien sowie für die Bereiche Wettbewerbsrecht, Markenrecht, Urheberrecht, IT-Recht, Vertragsrecht und das Social Media Recht.