Richtungweisendes EuGH-Urteil: Fanseiten-Betreiber auf Facebook für Datenschutz mitverantwortlich

Viele Unternehmen hatten und haben alle Hände voll zu tun, die DSGVO rechtskonform umsetzen. Da platzt eine weitere Bombe, genauer ein Urteil des Europäischen Gerichtshofs (EuGH). Demnach sind nun Betreiber von Fanpages auf Facebook gemeinsam mit Facebook für den Schutz der Besucherdaten verantwortlich.

Wenn man vielen Medienveröffentlichungen, Social-Media-Kommentaren und vielen Gesprächen folgt, erscheint die Atmosphäre seit Ende Mai ziemlich aufgeladen: Mit Inkrafttreten der DSGVO reagieren viele Unternehmer und Selbstständige ihren Unmut ab. Auch Unsicherheiten und Unkenntnis zeigen sich. Viele Unternehmen sehen sich bereits außerstande, diese Verpflichtung zu erfüllen, und deaktivieren ihre Fanseiten. Wie kam es zu diesem Urteil mit weitreichenden Folgen?

Eine lange Vorgeschichte

So viele tun es, aber nur eine trifft es: Die IHK-Wirtschaftsakademie Schleswig-Holstein war bis 2011 auf Facebook aktiv. In diesem Jahr ordnete der frühere Landesdatenschutzbeauftragte eine Deaktivierung der Akademie-Fanseite an, weil Facebook über Cookies Nutzerdaten erhebe und daraus eine Besucherstatistik erstelle. Diesen kostenlosen Service von Facebook können Unternehmen nicht abbestellen. Für den Datenschutzbeauftragten lag das Problem darin, dass die Wirtschaftsakademie nicht eigens auf diesen Vorgang der Datenverarbeitung hingewiesen hatte.

Es kam zum Rechtsstreit, den auch die Nachfolgerin des Datenschutzbeauftragten fortführte. Mit Schützenhilfe des Zusammenschlusses der Industrie- und  Handelskammern in Schleswig-Holstein setzte sich die IHK-Wirtschaftsakademie juristisch zur Wehr. Dieser schnell als »Musterprozess« publik gemachte Fall ging in Deutschland durch die Instanzen. Die Gerichte waren stets auf der Seite der Akademie – bis sich das Bundesverwaltungsgericht mit einem Fragenkatalog an den Europäischen Gerichtshof wandte.

EU-Gerichtshof wirft frühere Entscheide über den Haufen

Die maßgebliche Instanz Europas entschied nun in einem spektakulären Urteil anders. Zwar stützt es sich noch auf die EU-Datenschutzrichtlinie aus dem Jahr 1995, doch besteht in dieser Frage Konformität zur neuen DSGVO. Der EuGH erklärt Betreiber einer Fanpage als mitverantwortlich für die Verarbeitung personenbezogener Nutzerdaten von Seitenbesuchern, denn sie würden unter Anleitung von Facebook über Zweck und Mittel dieser Datenverarbeitung mitentscheiden.

In der Tat können Unternehmen die Auswertung der von Facebook erhobenen Daten beeinflussen. Facebook bietet ihnen zur Personalisierung Auswahlkriterien wie Alter, Beruf, Geschlecht und geografische Informationen an, die zu zielgenauen Werbeaktionen auf Facebook genutzt werden können. Dabei spielt es keine Rolle, dass diese Besucherdaten anonymisiert sind. Die Datenerhebung über Cookies beinhaltet eindeutige Nutzerkennungen und stellt in Verbindung mit den Zugangsdaten für Facebook einen eindeutigen Bezug zur Person her.

Das Gericht nimmt Facebook als Hauptverantwortlichen in die Pflicht, dehnt aber den DSGVO-Schlüsselbegriff »Verantwortlicher« auch auf die gewerblichen Nutzer von Facebook aus.

Die Folgen sind noch nicht absehbar

Die DSGVO regelt klar, wie Verantwortlichkeiten in solchen Fällen wahrgenommen werden müssen. Dennoch stellt das Urteil aus Luxemburg eine Wegmarke dar: Fanpage-Betreiber wie die Wirtschaftsakademie und viele Tausende andere (2017 nutzten 31 Millionen Deutsche Facebook) sind nun zutiefst verunsichert und wähnen sich mit mindestens einem Bein über der Grenze zum Datenschutzverstoß – mit horrenden Strafandrohungen am Horizont.

Wie lässt sich diese gemeinsame Verantwortung von Facebook und Fanpage-Betreiber regeln? Es wäre im eigenen Interesse, wenn Facebook eine Vereinbarung über Teilpflichten beim Datenschutz mit seinen Seitenbetreibern eingehen würde. Die DSGVO ist aber in diesem Punkt knallhart: »Ungeachtet der Einzelheiten kann eine von der Datenschutzverletzung betroffene Person ihre Rechte gegenüber jedem einzelnen der Verantwortlichen geltend machen.« (Art. 26 DSGVO Abs. 3).

Somit liegt der Ball weiterhin beim Seitenbetreiber. Ist dies das Aus für Facebook-Werbekampagnen und weitere Social-Media-Aktivitäten von Unternehmen?

Ein Grundsatzurteil

Wie geht es nun weiter? Grund zur Panik besteht erst einmal nicht. Auch wenn das Medienecho dieser Tage nach einem mittleren Erdbeben klingt: Beobachter sind sich einig, dass die EuGH-Entscheidung als Grundsatzurteil gelten kann. Was indes viele vorläufig aufatmen lässt: Dieses richtungweisende Urteil bezeichnet keineswegs den Inhalt besagter Fanseiten als Verstoß gegen das Datenschutzrecht.

So ist noch längst nicht klar, ob, und wenn ja welche Nutzerhinweise Seitenbetreiber künftig auf der Fanpage platzieren müssen. Auch die Aufteilung der Verantwortlichkeit zwischen Facebook und Seitenbetreiber ist nicht eindeutig geklärt. Das EuGH signalisiert in der Urteilsbegründung, dass diese nicht zwangsläufig eine „Fifty-Fifty“-Konstellation sei. Nun kommt es auch darauf an, wie Facebook zu dem Urteil Stellung nimmt. Mit anderen Worten: Noch ist nichts definitiv. Es bleibt spannend.

Wie reagieren?

Fakt ist: Das Gerichtsverfahren ist noch längst nicht abgeschlossen. Das wissen auch die Datenschutzbehörden. Im Grunde geht es um durch das EuGH beantwortete Fragen zur Verantwortung von Facebook-Fanpagebetreibern. Diese werden ganz sicher eines Tages vom Bundesverwaltungsgericht in Leipzig berücksichtigt, an das der Fall aus Schleswig-Holstein nun geht. Erst dieses wird abschließend entscheiden, ob die Wirtschaftsakademie mit ihrer Fanpage wirklich gegen den Datenschutz verstößt.

Bis dahin wird noch so mancher Monat ins Land gehen. Abseits der Medienhysterie lohnt es sich, einen kühlen Kopf zu bewahren und die Entwicklung aufmerksam zu beobachten. Gut möglich, dass Facebook nun den nächsten Schritt macht.

Vorläufe Maßnahmen des DSB-Portals

Bereits nach Bekanntwerden des Facebook-Datenschutz-Skandals hatten wir die Aktivitäten auf unserer Facebook-Fanseite eingestellt. Aufgrund der neuen Entwicklung und der vielen noch ungeklärten Datenschutzfragen, haben wir uns nach fachlicher Rücksprache dazu entschlossen, die Fanseite nun vorläufig zu schließen.