Der EuGH hatte im Juni 2018 entschieden, Fanpage-Betreiber in der EU gemeinsam mit Facebook Ireland als für die Datenverarbeitung Verantwortlicher anzusehen. Danach war klar: Eigentlich müssten massenweise Social-Media-Fanpages aus datenschutzrechtlichen Gründen schließen. Drei Monate später hat die Datenschutzkonferenz einen Beschluss veröffentlicht, in dem es heißt: Facebook-Fanpages sind illegal, weil es keine Vereinbarung mit Facebook gibt. Daraufhin hatte Facebook reagiert. Doch reichte die vorgelegte Vereinbarung aus? Nein – das zumindest meinte die Verbraucherzentrale, die Bundestagsfraktion der Grünen und auch die Berliner Datenschutzbehörde. Sie versendete Anhörungsschreiben an Fanpage-Betreiber. Nun hat das BVerwG entschieden, dass – sollte die Vereinbarung nicht ausreichen – Fanpage-Betreiber zum Abschalten ihrer Webseite verpflichtet werden können.

im Auftrag des Präsidenten des Bundesverwaltungsgericht, Simsonplatz 1, 04107 Leipzig

[Update 11.09.2019] Der Betreiber eines im sozialen Netzwerk Facebook unterhaltenen Unternehmensauftritts (Fanpage) kann verpflichtet werden, seine Fanpage abzuschalten, falls die von Facebook zur Verfügung gestellte digitale Infrastruktur schwerwiegende datenschutzrechtliche Mängel aufweist. Das hat das Bundesverwaltungsgericht (BVerwG) in Leipzig am 11.09.2019 entschieden.

Gegenstand des Revisionsverfahrens war eine Anordnung der schleswig-holsteinischen Datenschutzaufsicht, mit der die Klägerin, eine in Kiel ansässige Bildungseinrichtung, unter der Geltung der Datenschutzrichtlinie (Richtlinie 95/46/EG) verpflichtet worden war, die von ihr bei Facebook betriebene Fanpage zu deaktivieren. Der Bescheid beanstandete, dass Facebook bei Aufruf der Fanpage auf personenbezogene Daten der Internetnutzer zugreife, ohne dass diese gemäß den Bestimmungen des Telemediengesetzes über Art, Umfang und Zwecke der Erhebung sowie ein Widerspruchsrecht gegen die Erstellung eines Nutzungsprofils für Zwecke der Werbung oder Marktforschung unterrichtet würden. Ein gegenüber der Klägerin als Betreiberin der Fanpage erklärter Widerspruch des Nutzers bleibe mangels entsprechender technischer Einwirkungsmöglichkeiten folgenlos.

Die Klage hatte in den Vorinstanzen Erfolg. Das Oberverwaltungsgericht hat eine datenschutzrechtliche Verantwortlichkeit der Klägerin abgelehnt, weil sie keinen Zugriff auf die erhobenen Daten habe. Dagegen wandte sich der Beklagte im vorliegenden Revisionsverfahren.

Auf Vorlage des Bundesverwaltungsgerichts (Beschluss vom 25. Februar 2016 – BVerwG 1 C 28.14) hat der Gerichtshof der Europäischen Union (EuGH) mit Urteil vom 5. Juni 2018 – C-210/16 – entschieden, dass der Betreiber einer Fanpage für die durch Facebook erfolgende Datenverarbeitung mitverantwortlich ist. Denn er ermöglicht durch den Betrieb der Fanpage Facebook den Zugriff auf die Daten der Fanpage-Besucher.

Das Bundesverwaltungsgericht hat auf der Grundlage dieser bindenden Vorgabe das Berufungsurteil aufgehoben und den Rechtsstreit an das Schleswig-Holsteinische Oberverwaltungsgericht zurückverwiesen. Um das von der Datenschutzrichtlinie bezweckte hohe Datenschutzniveau möglichst zügig und wirkungsvoll durchzusetzen, konnte sich der Beklagte bei der Auswahl unter mehreren datenschutzrechtlichen Verantwortlichen vom Gedanken der Effektivität leiten lassen und ermessenfehlerfrei die Klägerin für die Herstellung datenschutzkonformer Zustände bei Nutzung ihrer Fanpage in die Pflicht nehmen. Er musste nicht gegen eine der Untergliederungen oder Niederlassungen von Facebook vorgehen, weil das wegen der fehlenden Kooperationsbereitschaft von Facebook mit erheblichen tatsächlichen und rechtlichen Unsicherheiten verbunden gewesen wäre. Erweisen sich die bei Aufruf der Fanpage ablaufenden Datenverarbeitungen als rechtswidrig, so stellt die Deaktivierungsanordnung ein verhältnismäßiges Mittel dar, weil der Klägerin keine anderweitige Möglichkeit zur Herstellung datenschutzkonformer Zustände offensteht.

Zur Frage der Rechtswidrigkeit der beanstandeten Datenverarbeitungsvorgänge bedarf es einer näheren Aufklärung der tatsächlichen Umstände durch das Berufungsgericht. Die Rechtmäßigkeit der bei Aufruf der klägerischen Fanpage ablaufenden Datenverarbeitungsvorgänge ist an den Vorgaben des im Zeitpunkt der letzten Behördenentscheidung gültigen Datenschutzrechts, insbesondere an den Vorschriften des Telemediengesetzes, denen die Klägerin als Betreiberin unterliegt, zu messen.

Soforthilfe vom Anwalt

Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.

[Update April 2019]

Datenschutzkonferenz – Facebooks Beitrag reicht nicht aus

Die Datenschutzkonferenz (DSK) äußert sich am 1. April 2019 erneut zum Betrieb einer Facebook Fanpage:

“(…) Diese von Facebook veröffentliche „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ erfüllt nicht die Anforderungen an eine Vereinbarung nach Art. 26 DSGVO. Insbesondere steht es im Widerspruch zur gemeinsamen Verantwortlichkeit gemäß Art. 26 DSGVO, dass sich Facebook die alleinige Entscheidungsmacht „hinsichtlich der Verarbeitung von Insights-Daten” einräumen lassen will. Die von Facebook veröffentlichten Informationen stellen zudem die Verarbeitungstätigkeiten, die im Zusammenhang mit Fanpages und insbesondere Seiten-Insights durchgeführt werden und der gemeinsamen Verantwortlichkeit unterfallen, nicht hinreichend transparent und konkret dar. Sie sind nicht ausreichend, um den Fanpage-Betreibern die Prüfung der Rechtmäßigkeit der Verarbeitung der personenbezogenen Daten der Besucherinnen und Besucher ihrer Fanpage zu ermöglichen. 

Vor diesem Hintergrund bekräftigt die Konferenz erneut die Rechenschaftspflicht der Fanpage-Betreiber (unabhängig von dem Grad der Verantwortlichkeit) und stellt fest:

  1. Jeder Verantwortliche benötigt für die Verarbeitungstätigkeiten, die seiner
    Verantwortung unterliegen, eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO
    und – soweit besondere Kategorien personenbezogener Daten verarbeitet
    werden – nach Art. 9 Abs. 2 DSGVO. Dies gilt auch in den Fällen, in denen sie
    die Verarbeitungstätigkeiten nicht unmittelbar selbst durchführen, sondern
    durch andere gemeinsam mit ihnen Verantwortlichen durchführen lassen.
  2. Ohne hinreichende Kenntnis über die Verarbeitungstätigkeiten, die der
    eigenen Verantwortung unterliegen, sind Verantwortliche nicht in der Lage,
    zu bewerten, ob die Verarbeitungstätigkeiten rechtskonform durchgeführt
    werden. Bestehen Zweifel, geht dies zulasten der Verantwortlichen, die es in
    der Hand haben, solche Verarbeitungen zu unterlassen. Der EuGH führt
    hierzu aus: „Der Umstand, dass ein Betreiber einer Fanpage die von Facebook
    eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in
    Anspruch zu nehmen, kann diesen nämlich nicht von der Beachtung seiner
    Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien.“
    (EuGH, C-210/16, Rn. 40).
  3. Im Hinblick auf die Ausführungen zur „Hauptniederlassung für die
    Verarbeitung von Insights-Daten für sämtliche Verantwortliche“ sowie zur
    federführenden Aufsichtsbehörde (Punkt 4 in der „Seiten-Insights-Ergänzung
    bezüglich des Verantwortlichen“) weist die Konferenz darauf hin, dass sich
    die Zuständigkeit der jeweiligen Aufsichtsbehörden für Fanpage-Betreiber
    nach der DSGVO richtet. Nach Art. 55 ff. DSGVO sind die Aufsichtsbehörden
    für Verantwortliche (wie z. B. Fanpage-Betreiber) in ihrem Hoheitsgebiet
    zuständig. Dies gilt unabhängig von den durch die DSGVO vorgesehenen
    Kooperations- und Kohärenzmechanismen.

Sowohl Facebook als auch die Fanpage-Betreiber müssen ihrer Rechenschaftspflicht nachkommen. Die Datenschutzkonferenz erwartet, dass Facebook entsprechend nachbessert und die Fanpage-Betreiber ihrer Verantwortlichkeit entsprechend gerecht werden. Solange diesen Pflichten nicht nachgekommen wird, ist ein datenschutzkonformer Betrieb einer Fanpage nicht möglich.“

Sie haben eine Pressefrage an uns?

Kontaktieren Sie unsere Presseabteilung. Wir sind für Journalistinnen und Journalisten aller Medien jederzeit schnell erreichbar und äußern uns zeitnah, fundiert und verständlich.

Wir sind bekannt aus

[Update 19.11.2018]

Berliner Behörde versendet Anhörungsschreiben an Fanpage-Betreiber

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit führt seit Anfang November Anhörungsverfahren bei Stellen der Berliner Landesverwaltung, bei den politischen Parteien sowie einer Reihe von Unternehmen und Organisationen u. a. aus der Handels-, Verlags- und Finanzbranche in Sachen Facebook-Fanpages durch. Die Behörde stellt darin 15 Fragen an die datenschutzrechtlich Mit-Verantwortlichen der Facebook-Fanpage. Diese Anhörungsschreiben werden versendet, obwohl Facebook auf das EuGH-Urteil und den Beschluss der DSK (s.u.) reagiert und eine Vereinbarung vorgelegt hatte. Diese reichte nach Ansicht der Berliner Datenschützer aber nicht aus, um die Anforderungen des Art. 26 DSGVO zu erfüllen. In einer Pressemitteilung heißt es dazu:

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat allerdings Zweifel, dass die Informationen, die Facebook bisher – auch im Zusammenhang mit der veröffentlichten Ergänzungsvereinbarung – zur Verfügung gestellt hat, ausreichen, um Rechenschaft über die Rechtmäßigkeit der Verarbeitung der Daten von Besucherinnen und Besuchern der Fanpage ablegen zu können.” 

Daher fordert die Berliner Datenschutzbehörde sehr viel genauere Informationen über die Ausgestaltung der gemeinsamen Verantwortlichkeit von den Seitenbetreibern. Die Fragen lehnen sich offenkundig an den bereits formulierten Fragenkatalog der DSK an, der den Schreiben auch noch einmal angehängt ist – sie gehen aber noch weiter ins Detail. Ohne die Hilfe von Facebook können diese 15 Fragen wohl nicht beantwortet werden:

  1. Haben Sie die Insights-Ergänzung mit Facebook abgeschlossen? Wenn ja, auf welche Weise ist dies erfolgt?
  2. Zu welchem Text / zu welcher Vereinbarung stellt die Insights-Ergänzung eine Ergänzung dar?
  3. Handelt es sich bei der Insights-Ergänzung um eine Vereinbarung i.S.d. Art. 26 Abs. 1 Satz 1 DSGVO?
  4. Für welche konkreten Verarbeitungen personenbezogener Daten besteht nach dieser Vereinbarung eine gemeinsame Verantwortung? Bitte stellen Sie dies im Detail dar.
  5. Was ist unter den in der Insights-Ergänzung und in den Insights-Informationen genannten „Insights-Daten“ zu verstehen? Bitte erläutern Sie abschließend.
  6. In der Insights-Ergänzung wird auf die „Verarbeitung von Insights-Daten“ Bezug genommen. Um welche konkreten Verarbeitungen zu welchen Zwecken handelt es sich hierbei? Bitte erläutern Sie im Detail.
  7.  Auf welche Art und Weise werden die betroffenen Personen (Facebook-Mitglieder sowie Nicht-Mitglieder) über das Wesentliche der Vereinbarung nach Art. 26 Abs. 2 DSGVO informiert?
  8. Welche Informationen haben Sie erhalten bzw. erhalten Sie von Facebook über die Verarbeitung personenbezogener Daten der Besucherinnen und Besucher Ihrer Fanpage? Ermöglichen es die Ihnen zur Verfügung stehenden Informationen, dass Sie Ihren Verpflichtungen nach der DSGVO, insbesondere Ihrer Pflicht aus Art. 5 2 DSGVO, nachkommen können?
  9. Bitte erläutern Sie, wie die personenbezogenen Daten der Besucherinnen und Besucher Ihrer Fanpage verarbeitet werden. Zu welchen Zwecken erfolgen diese Verarbeitungen?
  10. Auf welcher Rechtsgrundlage bzw. auf welchen Rechtsgrundlagen verarbeiten Sie die personenbezogenen Daten der Besucherinnen und Besucher Ihrer Fanpage?
  11. Auf welche Art und Weise und mit welchem Inhalt werden die betroffenen Personen (Facebook-Mitglieder sowie Nicht-Mitglieder) über die Verarbeitung ihrer Daten beim Besuch Ihrer Fanpage gem. Art. 12 und Art. 13 informiert?
  12. Wie stellen Sie sicher, dass die Betroffenenrechte (Art. 12 ff. DSGVO) erfüllt werden können, insbesondere die Rechte auf Löschung nach Art. 17 DSGVO, auf Einschränkung der Verarbeitung nach Art. 18 DSGVO, auf Widerspruch nach Art. 21 DSGVO und auf Auskunft nach Art. 15 DSGVO?
  13. In der Insights-Ergänzung heißt es im Zusammenhang mit den Betroffenenrechten: „Wenn eine betroffene Person oder eine Aufsichtsbehörde gemäß DSGVO hinsichtlich der Verarbeitung von Insights-Daten und der von Facebook Ireland im Rahmen dieser Seiten-Insights-Ergänzung übernommenen Pflichten Kontakt mit Dir aufnimmt (jeweils eine „Anfrage“), bist Du verpflichtet, uns unverzüglich, jedoch spätesten innerhalb 7 Kalendertagen sämtliche relevanten Informationen weiterzuleiten. Zu diesem Zweck kannst Du dieses Formular einreichen. Facebook Ireland wird Anfragen im Einklang mit den uns gemäß dieser Seiten-Insights-Ergänzung obliegenden Pflichten beantworten. Du stimmst zu, zeitnah sämtliche angemessenen Anstrangungen zu unternehmen, um mit uns an der Beantwortung jedweder derartigen Anfrage zusammenzuarbeiten. Du bist nicht berechtigt, im Namen von Facebook Ireland zu handeln oder zu antworten.“ Bitte erläutern Sie konkret, wie Facebook mit den von Ihnen eingereichten Anfragen verfährt und welche konkreten Maßnahmen Sie ergriffen haben, um zu prüfen, ob die Rechte der betroffenen Personen auf diesem Wege entsprechend der DSGVO erfüllt werden.
  14. Werden beim Erstaufruf Ihrer Fanpage auch bei Nicht-Mitgliedern Einträge im so. Local Storage erzeugt? Zu welchem Zweck und auf welcher Rechtsgrundlage erfolgt dies?
  15. Werden nach Aufruf einer Unterseite innerhalb Ihres Fanpage-Angebots ein Session-Cookie und drei Cookies mit Lebenszeiten zwischen vier Monaten und zwei Jahren gespreichert? Zu welchen Zwecken und auf welcher Rechtsgrundlage erfolgt dies?

Sofern man den Fragenkatalog des Berliner Beauftragten für Datenschutz vom 16. November 2018 beziehungsweise den Fragekatalog der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vom 5. September 2018 erhalten hat, muss man sich als Facebook-Fanpage-Betreiber unbedingt damit befassen.

Immer auf dem neusten Stand bleiben!

Aktuelle Urteile und Neuigkeiten aus der Welt des Rechts, verständlich und kompetent erläutert. Dazu hilfreiche Verbrauchertipps und die neuesten Videos von unserem YouTube-Channel. Das alles gibt es jede Woche in unseren Rechts-News.

Jetzt abonnieren!

[Update 23.10.2018]

Verbraucherzentrale Sachsen verklagt Facebook

Die Verbraucherzentrale Sachsen sieht die Vereinbarung, die Facebook vorgelegt hat, als nicht ausreichend an und hat Facebook deswegen verklagt. In einer Pressemitteilung heißt es zur Begründung: “(…) anstatt die damit verbundenen Gesetzesvorgaben zu erfüllen, lässt Facebook seine Nutzer hinsichtlich der Verantwortlichkeit für die gemeinsame Datenverarbeitung im Dunklen tappen.” Die Verbraucherzentrale ist der Ansicht dass das Page Controller Addendum den Betreibern von Fanpages nicht ermöglicht, ihre Seiten DSGVO-konform zu betreiben. Schließlich könnten Betreiber von Fanpages immer noch nicht nachvollziehen, wie Facebook auf ihren Seiten Daten sammelt bzw. Einfluss auf diese Datensammlung nehmen. Das Problem sei die fehlende Rechtsklarheit für Verbraucher, so die Pressemitteilung.

Medienberichten zufolge liegt bereits eine entsprechende Klage der Bundestagsfraktion der Grünen vor.

Wir sind bekannt aus

[Update 11.09.2018]

Facebook reagiert und legt Vereinbarung vor

Kurz, nachdem bekannt wurde, dass die Datenschutzkonferenz (DSK) mangels einer Vereinbarung über die gemeinsame Verantwortlichkeit alle Facebook-Fanpages für illegal erklärt hat, reagiert Facebook und legt eine entsprechende Vereinbarung vor – das sog. „Page Controller Addendum ist “über den Seitenmanager einsehbar. Fanpage-Betreiber stimmen dieser Ergänzung automatisch zu, indem sie ihre Seite weiter nutzen. Wer dem nicht zustimmt, muss die jedwede Nutzung von Seiten beenden, schreibt Facebook.

Erfreulich ist, dass es sich hierbei um die geforderte Vereinbarung über die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO handelt. Somit wird der offensichtlich rechtswidrige Zustand aller Facebook-Fanpages, den die DSK wenige Tage zuvor beschlossen hatte, beendet. Sicherlich werden weitere Fragen zu klären sein, doch Fanpage-Betreiber dürfen jetzt erst einmal aufatmen. Ganz zurücklehnen können sie sich jedoch nicht, denn nach der Zusatzvereinbarung verlangt Facebook von ihnen auch die Erfüllung einiger Pflichten.

Was steht in der Zusatzvereinbarung?

Die Zusatzvereinbarung beschreibt zunächst den Status Quo, nämlich das Facebook und Fanpage-Betreiber gemeinsam für die Datenverarbeitung verantwortlich sind.

Facebook übernimmt in der Vereinbarung die Haupt-Verantwortung für den Datenschutz und kümmert sich insbesondere um die Auskunfts-, Sicherheits-, Informations- und Meldepflichten nach der DSGVO:

  • Informationspflichten (Art. 12 – 13 DSGVO)
  • Betroffenenrechte (Art. 15 – 22 DSGVO)
  • Datensicherheit und Meldung von Datenschutzverletzungen (Art. 32-34 DSGVO)

Doch Fanpage-Betreiber müssen nach dieser Vereinbarung nun folgende Dinge für sich klären bzw. auf ihrer eigenen Seite folgende Informationen bereitstellen:

  • “sicherstellen, dass du eine Rechtsgrundlage für die Verarbeitung von Insights-Daten gemäß DSGVO hast”. Eine Möglichkeit hierfür bietet Art. 6 Abs.1 lit. f der DSGVO, die überwiegenden berechtigten Interessen. Es könnte nämlich ein berechtigtes betriebswirtschaftliches und kommunikatives Interesse an dem Angebot eines Informations- und Kommunikationskanals bestehen. Möglicherweise muss man aber sogar selbst eine Einwilligung der Nutzer einholen.
  • “den Verantwortlichen für die Datenverarbeitung der Seite benennen“.
  • „jedwede sonstigen geltenden rechtlichen Pflichten erfüllen“
  • Außerdem sollen Betreiber alle Nutzeranfragen oder Kontaktaufnahmen der Aufsichtsbehörden mittels eines Formulars direkt an Facebook weiterleiten. Facebook und der Betreiber müssen dann die Angelegenheit gemeinsam klären.

Es bietet sich also an, in der eigenen Datenschutzerklärung noch einige spezielle Datenschutzinformationen speziell für die sozialen Netzwerke bereitzuhalten. Denn obwohl Facebook im Kern alle Informationspflichten übernimmt, hat man als Verantwortlicher für die Seite immer noch eine Pflicht, über die eigene Rechtsgrundlage der Verarbeitung aufzuklären sowie den Verantwortlichen der Seite zu benennen. Auch sollte man die Nutzer über ihre Rechte aufklären, die ja zunächst auch gegenüber dem Seiten-Betreiber geltend gemacht werden können, auch wenn diese intern dann an Facebook weitergeleitet werden. Zusätzlich sollte man die Nutzer darüber aufklären, welche Verantwortung Facebook für die Insights-Daten übernimmt. Schließlich sollte man auch über andere als die betroffenen “Insights”-Daten, die gesammelt werden, vollumfassend informieren. Der Link auf die eigene Datenschutzerklärung muss bei Facebook selbst platziert werden.

Werden die Fragen der DSK nun trotzdem an Fanpage-Betreiber versendet werden?

Es ist weiterhin möglich, dass diese Fragen bald vielen Betreibern zugehen, weil die DSK ja mehr Fragen hatte als nur solche zum „ob“ der Vereinbarung. Doch nicht alle Fragen können die Betreiber aber beantworten, gerade wenn es um die konkrete Verwendung der Daten geht. So lässt sich Facebook ausdrücklich absichern, dass Fanpage-Betreiber kein Recht haben, “die Offenlegung von im Zusammenhang mit Facebook-Produkten verarbeiteten personenbezogenen Daten von Facebook-Nutzern zu verlangen, einschließlich für Seiten-Insights, welche wir dir bereitstellen.“ 

Allerdings sind Betreiber dann verpflichtet, solche Anfragen an Facebook weiterzuleiten. Das Unternehmen wird diese Informationen dann offensichtlich selbst in Zusammenarbeit mit dem Betreiber an die Aufsichtsbehörden weiterleiten.

Fanpage-Betreiber müssen Datenschutzerklärung ergänzen:

Alles, was Betreiber derzeit tun können, ist, sich an die vorhandene Vereinbarung zu halten und alle weiteren datenschutzrechtlichen Pflichten zu erfüllen, die sich aus der Datenschutzgrundverordnung (DSGVO) ergeben. Betreiber müssen insbesondere eine Datenschutzerklärung hinterlegen. Darin sollte Folgendes angegeben werden:

  • Namen und Kontaktdaten des Verantwortlichen für die Seite
  • Die Rechtsgrundlage, nach der man personenbezogene Insights-Daten verarbeitet. Eine Möglichkeit hierfür bietet Art. 6 Abs.1 lit. f DSGVO, die überwiegenden berechtigten Interessen. Es dürfte ein berechtigtes betriebswirtschaftliches und kommunikatives Interesse daran bestehen, einen Informations- und Kommunikationskanal anzubieten, um sich zu präsentieren, den Erfolg der Maßnahmen zu messen und das eigene Angebot an den Interessen der Besucher auszurichten.
  • Für die Verarbeitung weiterer personenbezogener Daten muss im Einzelfall möglicherweise aber auf eine Einwilligung der Nutzer abgestellt werden.
  • Schließlich muss man darauf hinweisen, dass alle Nutzeranfragen oder Kontaktaufnahmen der Aufsichtsbehörden direkt an den Fanpage-Betreiber gerichtet werden können. Dieser muss diese dann mittels eines Formulars direkt an Facebook weiterleiten. Facebook und der Betreiber müssen dann die Angelegenheit gemeinsam klären.
  • Auch sollte man die Nutzer über ihre Rechte aufklären, die ja zunächst auch gegenüber dem Seiten-Betreiber geltend gemacht werden können, auch wenn diese intern dann an Facebook weitergeleitet werden.
  • Zusätzlich sollte man die Nutzer darüber aufklären, welche Verantwortung Facebook für die Insights-Daten übernimmt. Hierfür sollte man sowohl auf die Zusatzvereinbarung selbst als auch auf die Facebook-Datenrichtlinie verlinken.
  • Schließlich sollte man auch über andere als die betroffenen „Insights“-Daten, die gesammelt werden, vollumfassend informieren.

Abseits von der Frage der gemeinsamen Verantwortlichkeit verarbeitet man im Rahmen von Onlinepräsenzen in sozialen Netzwerken regelmäßig Daten der Nutzer, etwa über Privatnachrichten oder Kommentarfunktionen. Daher sollten auch diese Informationen in der Datenschutzerklärung nicht fehlen. Dies gilt nicht nur für Facebook, sondern für alle weiteren Präsenzen in den sozialen Medien.

Die Datenschutzerklärung kann man bei Facebook selbst im Infobereich im Feld „Datenrichtlinie“ als Link auf die Datenschutzerklärung der eigenen Webseite eintragen. In der Datenschutzerklärung sollte dann ein entsprechender Abschnitt für Social Media und insbesondere Facebook stehen.

Wie reagiere ich als Fanseitenbetreiber mit Anfragen von Usern oder der Aufsichtsbehörden?

Facebook schreibt in seiner Zusatzvereinbarung ein genaues Verfahren, dass zwingend anlaufen muss, wenn eine Anfrage von Usern oder der Aufsichtsbehörden kommt:

„Wenn eine betroffene Person oder eine Aufsichtsbehörde gemäß DSGVO hinsichtlich der Verarbeitung von Insights-Daten und der von Facebook Ireland im Rahmen dieser Seiten-Insights-Ergänzung übernommenen Pflichten Kontakt mit dir aufnimmt (jeweils eine „Anfrage“), bist du verpflichtet, uns unverzüglich jedoch spätestens innerhalb von 7 Kalendertagen sämtliche relevanten Informationen weiterzuleiten. Zu diesem Zweck kannst du dieses Formular einreichen. Facebook Ireland wird Anfragen im Einklang mit den uns gemäß dieser Seiten-Insights-Ergänzung obliegenden Pflichten beantworten. Du stimmst zu, zeitnah sämtliche angemessenen Anstrengungen zu unternehmen, um mit uns an der Beantwortung jedweder derartigen Anfrage zusammenzuarbeiten. Du bist nicht berechtigt, im Namen von Facebook Ireland zu handeln oder zu antworten.“

Reicht die neue Regelung aus, damit ich mit meiner Fanpage sicher bin?

Zunächst einmal existiert nun eine Vereinbarung nach Art. 26 DSGVO. Deren Fehlen hatte die DSK dazu gebracht, zu beschließen, dass alle Facebook Fanpages rechtswidrig sind. Damit ist allein diese Reaktion von Facebook zu begrüßen.

Zumindest auf den ersten Blick scheint Facebook etwas zu den wesentlichen Fragen geschrieben zu haben. Die Vereinbarung ist aber recht kurz. Ob diese aber den rechtlichen Anforderungen der DSGVO im Detail standhalten, bedarf einer ausgiebigen Prüfung. Manche Formulierungen lassen die Fanpage-Betreiber im Unklaren, etwa darüber, wie weit ihre Informationspflichten reichen und welche anderen Pflichten Facebook meint, wenn es schreibt: „jedwede sonstigen geltenden rechtlichen Pflichten erfüllen“.

Auch muss Facebook noch selbst seine Datenschutzerklärung aktualisieren und die entsprechenden Informationspflichten erfüllen, so wie angekündigt. Dies ist noch nicht geschehen. Darin müsste dann mehr darüber stehen, wie die Nutzerdaten konkret verwendet werden.

Letztlich ist es aber die Entscheidung der Aufsichtsbehörden, ob ihnen die Vereinbarung ausreicht oder nicht. Wenn die Vereinbarung nicht die Formvorschriften erfüllt, können dennoch Bußgelder verhängt werden. Gemeinsame Verantwortlichkeit nach Art. 26 DSGVO bedeutet im Übrigen, dass man als Fanpage-Betreiber zumindest theoretisch sogar für die Fehler von Facebook als sog. Gesamtschuldner (Art. 26 Abs. 3) verantwortlich gemacht werden kann. Am Ende werden die Gerichte entscheiden. Vor allem aber muss hier überprüft werden, ob es akzeptabel ist, dass Facebook allein nach irischem Recht beurteilt werden will.

Darüber hinaus nimmt Facebook die Fanpage-Betreiber selbst in die Pflicht. Somit hängt es nicht nur von Facebook selbst, sondern auch vom Fanpage-Betreiber selbst ab, ob die Bestimmungen der DSGVO eingehalten werden und man mit der eigenen Seite sicher ist.

Sie haben eine Pressefrage an uns?

Kontaktieren Sie unsere Presseabteilung. Wir sind für Journalistinnen und Journalisten aller Medien jederzeit schnell erreichbar und äußern uns zeitnah, fundiert und verständlich.

[Update 10.09.2018] 

DSK-Beschluss – Facebook-Fanpages sind illegal

In einem aktuellen Beschluss hat die Datenschutzkonferenz (DSK) nun festgestellt: Alle derzeit aktiven Facebook-Fanpages sind rechtswidrig. Dies unter anderem deswegen, weil Facebook es versäumt hat, drei Monate nach dem EuGH-Urteil Vereinbarungen über die gemeinsame Verantwortlichkeit auszuarbeiten, um darin die notwendigen datenschutzrechtlichen Aufgaben der beiden Vertragspartner zu regeln. „Ohne Vereinbarung nach Art. 26 DSGVO ist der Betrieb einer Fanpage, wie sie derzeit von Facebook angeboten wird, rechtswidrig,“ heißt es in dem am Montag bekannt gewordenen Dokument. Trotz Ankündigung seitens Facebook habe das Unternehmen noch keine entsprechende Vorlage erstellt. „Die deutschen Datenschutzaufsichtsbehörden wirken daher auf europäischer Ebene auf ein abgestimmtes Vorgehen gegenüber Facebook hin,“ heißt es. Fanpage-Betreiber hängen in der Luft.

Zwar sind DSK-Beschlüsse rechtlich nicht bindend. Sie haben jedoch auf Grund der fachlichen Kompetenz und der Autorität der Konferenzteilnehmer faktische Auswirkungen auf die Entwicklung des Datenschutzes.

Weiter heißt es in dem Dokument: Auch die Änderungen, die Facebook an seinem Dienst vorgenommen hat, reichen nach Ansicht der DSK nicht aus, Facebook-Fanpages datenschutzkonform zu gestalten. Weiterhin würden auch bei Personen, die keine Facebook-Nutzer sind, Cookies mit Identifikatoren gesetzt, jedenfalls wenn sie über die bloße Startseite einer Fanpage hinaus dort einen Inhalt aufrufen. Auch würden nach wie vor die Fanpage-Besuche von Betroffenen nach bestimmten, teilweise voreingestellten Kriterien im Rahmen einer sogenannten Insights-Funktion von Facebook ausgewertet und den Betreiberinnen und Betreibern zur Verfügung gestellt.

Daher fordert die DSK, dass nun die Anforderungen des Datenschutzrechts beim Betrieb von Fanpages erfüllt werden. Dazu gehört insbesondere, dass auch die Seitenbetreiber die erforderlichen Informationen den betroffenen Besuchern bereitstellen. Auch müssten sie die Rechtmäßigkeit der Datenverarbeitung gewährleisten und dies nachweisen können. Schließlich ist ein Fragenkatalog angehängt, den nicht nur Facebook, sondern auch alle Fanpage-Betreiber werden beantworten müssen. Es ist möglich, dass diese Fragen bald vielen Betreibern zugehen.

Das Perfide ist: Auch der DSK ist klar, dass Betreiber diese Fragen nicht ohne Facebook beantworten können. Schließlich hat man weder Einsicht in die Datenverarbeitung bei Facebook noch Einfluss auf das Unternehmen. Auch die Vereinbarung nach Art. 26 DSGVO können Betreiber ohne Facebook nicht schließen. Und obwohl sich der Beschluss wie eine Mahnung an Facebook liest, konkretisiert der Beschluss das Damoklesschwert, das über den Fanpages liegt: So könnte, da die Erfüllung der datenschutzrechtlichen Anforderungen derzeit unmöglich ist, zumindest theoretisch bald die Schließung von Facebook-Fanpages angeordnet werden. So würde der Druck auf Facebook verlagert werden – wenn die Fanpages dicht gemacht werden, müsste auch Facebook reagieren, denn ohne Fanpages entgeht ihnen deren wichtigstes Kapital, die Werbetreibenden. Leidtragende wären Fanpage-Betreiber, die sehr viel Zeit und Mühe in den Aufbau einer Community betrieben haben. So wie wir von WBS. Wir jedenfalls gehen das Risiko ein, warten ab und gehen mit unserer Fanpage nicht offline.

Soforthilfe vom Anwalt

Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.

[Update 08.06.2018]

DSK äußerte sich überraschend schnell

Das EuGH-Urteil hat europaweit für Aufsehen und zu erheblicher Rechtsunsicherheit, vor allem bei Unternehmen, geführt. Das war leider auch zu erwarten, ist es doch nicht die Aufgabe des EuGH, konkrete Handlungsanweisungen zu geben, wie die Urteile letztlich in die Praxis umgesetzt werden sollen. Die Datenschutzkonferenz (DSK) hat nun sehr zeitnah eine Entschließung zu den sich aus ihrer Sicht ergebenden Folgen der Entscheidung für Betreiber von Fanpages veröffentlicht.

Zur kurzen Information: Die Beschlüsse und Entschließungen der Konferenz sind rechtlich nicht bindend. Sie sind weder Gesetz noch Verwaltungsakt. Sie haben jedoch auf Grund der fachlichen Kompetenz und der Autorität der Konferenzteilnehmer faktische Auswirkungen auf die Entwicklung des Datenschutzes.

Die DSK begrüßt das EuGH-Urteil und stellt fest, dass Betreiber einer Fanpage „selbst mitverantwortlich für die Einhaltung des Datenschutzes gegenüber den Nutzenden ihrer Fanpage“ sind. Das ist wenig überraschend, ist es doch die Kernaussage des EuGH-Urteils. Zudem folgt die DSK unserer bereits mehrfach geäußerten Auffassung, dass Betreiber „die Verpflichtungen aus den aktuell geltenden Regelungen der Datenschutz-Grundverordnung (DSGVO) beachten“ müssen.

Im Einzelnen sind laut DSK nun Folgende vier Punkte zu beachten.

  • Wer eine Fanpage besucht, muss transparent und in verständlicher Form darüber informiert werden, welche Daten zu welchen Zwecken durch Facebook und die Fanpage-Betreiber verarbeitet werden. Dies gilt sowohl für Personen, die bei Facebook registriert sind, als auch für nicht registrierte Besucherinnen und Besucher des Netzwerks.
  • Betreiber von Fanpages sollten sich selbst versichern, dass Facebook ihnen die Informationen zur Verfügung stellt, die zur Erfüllung der genannten Informationspflichten benötigt werden.
  • Soweit Facebook Besucherinnen und Besucher einer Fanpage durch Erhebung personenbezogener Daten trackt, sei es durch den Einsatz von Cookies oder vergleichbarer Techniken oder durch die Speicherung der IP-Adresse, ist grundsätzlich eine Einwilligung der Nutzenden erforderlich, die die Anforderung der DS-GVO erfüllt.
  • Für die Bereiche der gemeinsamen Verantwortung von Facebook und Fanpage-Betreibern ist in einer Vereinbarung festzulegen, wer von ihnen welche Verpflichtung der DS-GVO erfüllt. Diese Vereinbarung muss in wesentlichen Punkten den Betroffenen zur Verfügung gestellt werden, damit diese ihre Betroffenenrechte wahrnehmen können.

Klare Antworten und eine klare Positionierung bleibt die DSK jedoch schuldig. Unternehmen dürften sich darüber sicher enttäuscht zeigen. Ihnen sollte klar sein, dass es mit der Umsetzung der wenigen DSK-Vorgaben sicherlich nicht getan ist, wenn man seine Fanpage DSGVO-konform einsetzen möchte. Interessant ist aber die Tatsache, dass die DSK nicht erwähnt, dass Fanpages abgeschaltet werden sollen. Und zwar selbst dann nicht, wenn die von der DSK zwingend vorgegeben Anforderungen nicht eingehalten werden

[Updates Ende]

Immer auf dem neusten Stand bleiben!

Aktuelle Urteile und Neuigkeiten aus der Welt des Rechts, verständlich und kompetent erläutert. Dazu hilfreiche Verbrauchertipps und die neuesten Videos von unserem YouTube-Channel. Das alles gibt es jede Woche in unseren Rechts-News.

Jetzt abonnieren!


[Dieser ursprüngliche Beitrag erschien am 5. Juni 2018]

Worum ging es eigentlich vor dem EuGH?

“Die Wirtschaftsakademie Schleswig-Holstein ist (WAK) ein auf den Bereich Bildung spezialisiertes Unternehmen. Sie bietet u. a. über eine auf Facebook unter der Adresse www.facebook.com/wirtschaftsakademie unterhaltene Fanpage Bildungsdienstleistungen an. Die Betreiber von Fanpages wie die Wirtschaftsakademie können mit Hilfe der Funktion Facebook Insight, die ihnen Facebook als nicht abdingbaren Teil des Benutzungsverhältnisses kostenfrei zur Verfügung stellt, anonymisierte statistische Daten betreffend die Nutzer dieser Seiten erhalten. Diese Daten werden mit Hilfe sogenannter Cookies gesammelt, die jeweils einen eindeutigen Benutzercode enthalten, der für zwei Jahre aktiv ist und den Facebook auf der Festplatte des Computers oder einem anderen Datenträger der Besucher der Fanpage speichert. Der Benutzercode, der mit den Anmeldungsdaten solcher Nutzer, die bei Facebook registriert sind, verknüpft werden kann, wird beim Aufrufen der Fanpages erhoben und verarbeitet. Das unabhängige Landeszentrum für Datenschutz Schleswig Holtstein (ULD) hatte der WAK angeordnet, ihre Fanpage zu deaktivieren. Warum? Nun, weder die Wirtschaftsakademie selbst noch Facebook wiesen Besucher der Fanpage darauf hin, dass Facebook mittels Cookies ihre personenbezogenen Daten erhebe und diese für Werbezwecke sowohl nutze als auch verarbeite, um Besucherstatistiken für die Akademie, der Betreiberin der Seite, zu generieren. Diese Cookies würden genutzt, ohne dass die Nutzer hierüber hinreichend aufgeklärt würden und in diese Nutzung eingewilligt hätten.

Im Kern ging es um die Frage, ob auch Betreiber von Facebook-Fanpages für Datenschutzverstöße, die durch Facebook begangen werden, verantwortlich sind. Sollten sie Verantwortlicher sein, drohen bei datenschutzrechtlichen Verstößen hohe Bußgelder.

Die Akademie ging 2013 zunächst erfolgreich gegen die Anordnung vor dem Verwaltungsgericht (VG) Schleswig-Holstein vor. Die Wirtschaftsakademie erhob beim Verwaltungsgericht in Deutschland eine verwaltungsgerichtliche Klage gegen diesen Bescheid und machte geltend, dass ihr die Verarbeitung personenbezogener Daten durch Facebook nicht zugerechnet werden könne und sie Facebook auch nicht mit einer von ihr kontrollierten oder beeinflussbaren Datenverarbeitung beauftragt habe. Daraus leitete die Wirtschaftsakademie ab, dass das Unabhängige Landeszentrum direkt gegen Facebook und nicht gegen sie hätte vorgehen müssen.

Über das Oberverwaltungsgericht (OVG) Schleswig-Holstein, welches die Berufung zurückgewiesen hatte, gelangte der Rechtsstreit zum Bundesverwaltungsrecht (BVerwG). Nach einem mehr als fünf Jahre andauernden Rechtsstreit blieb die erhoffte Klärung durch das BVerwG allerdings aus, denn das BVerwG hatte in seinem Beschluss keine Entscheidung getroffen. Vielmehr wurde das Verfahren ausgesetzt und es wurden am 25. Februar 2017 sechs Vorlagefragen im Rahmen eines Vorabentscheidungsverfahrens an den EuGH gerichtet.

Die Vorlagefragen des BVerwG

Die Vorlagefragen betrafen insgesamt drei Themenkomplexe: Im Fokus stand die Frage, wer für die Datenverarbeitung verantwortlich sei (Vorlagefragen 1 und 2). Das BVerwG hatte in der Vorlage an den EuGH -an die Vorentscheidungen anknüpfend- eine Verantwortlichkeit der Fanpage-Betreiber abgelehnt.

Der zweite Komplex betraf die Frage nach dem anwendbaren Recht, welches zugleich die Zuständigkeiten der Aufsichtsbehörden regelt (Vorlagefragen 3 und 4).

Der dritte Themenkomplex betraf die Frage inwieweit europäische Aufsichtsbehörden ihr Vorgehen miteinander abstimmen müssen (Vorlagefragen 5 und 6).

Der Generalanwalt bezog bereits Stellung

Der EuGH-Generalanwalt Yves Bot hatte bereits im Oktober 2017 in seinen Schlussanträgen zu den rechtlichen Fragen des BVerwG Stellung genommen.

Der EuGH-Generalanwalt betonte in seinen Schlussanträgen, das BVerwG gehe in seinen Vorlagefragen 1 und 2 von einer falschen Prämisse aus und bejahte, anders als die deutschen Gerichte zuvor, eine gemeinsame Verantwortlichkeit von Facebook und dem Betreiber.

Facebook-Fanpage der Kanzlei WBS
Facebook-Fanpage der Kanzlei WBS

Der Generalanwalt stellte fest, dass er für den Verarbeitungsschritt der Erhebung der Daten eine gemeinsame Verantwortlichkeit von Facebook Ireland, Facebook Inc. und der privaten Wirtschaftsakademie als Betreiberin der Fanpage sehe. Der Begriff des „Verantwortlichen“ sei weit zu verstehen. Zwar seien hauptsächlich Facebook Ireland und Facebook Inc. verantwortlich, doch auch der Betreiber einer Fanpage sei bei der Erhebung von Daten mitverantwortlich, auch weil er in die geltenden Bestimmungen Facebooks bei der Erstellung der Fanpage eingewilligt habe. Zumal jedem Fanpage-Betreiber freistehe, die Datenverarbeitung durch Facebook jederzeit zu beenden, indem man die Seite einfach lösche.

Bei der Frage des anwendbaren Rechts gibt es neben der amerikanischen Facebook Inc. für die Verarbeitung der Daten europäischer Nutzer noch die Facebook Ireland und Facebook Germany, welches sich um das nationale Werbegeschäft kümmert. Dem BVerwG war unklar, ob überhaupt deutsches Datenschutzrecht Anwendung findet. Je nach dem welches Recht anwendbar ist, ergibt sich dann auch die Zuständigkeit der Aufsichtsbehörde. Sollte nicht deutsches Recht anwendbar sein und damit auch keine deutsche Aufsichtsbehörde zuständig sein, so hätte im konkreten Fall das unabhängige Landeszentrum für Datenschutz Schleswig Holtstein, wegen fehlender Kompetenz,  gar nicht anordnen dürfen, die Seite der WAK zu deaktivieren.

Allerdings würden auch bei der deutschen Facebook Niederlassung Daten verarbeitet, wenn man als Nutzer auf eine Fanpage gehe, da diese das nationale Werbegeschäft betreibe. Der Generalanwalt sah hier eine untrennbare Verknüpfung zwischen dem Werbegeschäft und der Verarbeitung von Daten. Die Datenerhebung und Verarbeitung diene ja gerade dazu, noch effektivere Werbung zu schalten. Daher seien auch deutsche Aufsichtsbehörden zuständig. Der EuGH-Generalanwalt favorisierte hier zwar die Option, dass sich die Aufsichtsbehörde direkt an die verarbeitende Facebook-Niederlassung wende, doch sei der Behörde freigestellt, sich auch an die Betreiber der Fanpages zu wenden.

Die EuGH-Entscheidung: Die wichtigsten Fragen und Antworten von RA Solmecke

Der Europäische Gerichtshof (EuGH) hat am 05. Juni 2018 entschieden, dass die datenschutzrechtliche Verantwortung von Facebook-Fanpages beim Betreiber und bei Facebook liegt. Wer eine Seite bei Facebook betreibt, muss also auch für Datenschutzverstöße mithaften (Rechtssache C‑210/16).

Der EuGH hat geurteilt, dass Betreiber einer Fanpage gemeinsam mit Facebook Ireland für die Datenverarbeitung als Verantwortlicher anzusehen sind. Das heißt: Betreiber sind für die Verarbeitung personenbezogener Daten durch den Facebook-Konzern mitverantwortlich. Darüber hinaus entschied der EuGH, dass deutsche Datenschutzbehörden zuständig sind und z.B. die Nutzung von Facebook-Fanpages untersagen dürfen.

Das Urteil ist übrigens nicht nur für Betreiber von Fanpages, sondern auch für Privatpersonen von Relevanz, denn das Datenschutzrecht unterscheidet grundsätzlich nicht zwischen Privatpersonen oder Unternehmen. Lediglich die Risiken dürften für Privatpersonen geringer sein. Und: die Entscheidung des EuGH bezieht sich zwar im konkreten Fall nur auf Facebook, doch meiner Auffassung nach lässt sich das Urteil auch auf alle anderen Dienste und Tools übertragen, ganz gleich ob diese Instagram, Twitter oder YouTube heißen.

Für alle Betreiber bedeutet das heutige Urteil, dass die aktuelle Fanpage-Nutzung rechtswidrig ist. Denn mit heutigen Urteil ist klar, dass Betreiber einer Fanpage u.a. beispielsweise eine Datenschutzerklärung vorhalten müssen, wie es bislang  “nur”für Webseiten vorgesehen war. Auch müssen Betreiber nun Nutzern gegenüber Auskunft erteilen, ob Daten gespeichert und verarbeitet werden und wenn ja, wie genau. Dass jedoch kann nur Facebook, da Betreibern überhaupt nicht bekannt ist, in welcher Art und Weise Daten von Facebook erhoben und verarbeitet werden. Ein Irrsinn, denn damit steht es derzeit Fanpage-Betreibern nur noch offen, ihre Seiten zu löschen. Eine rechtskonforme Umsetzung ist derzeit schlicht unmöglich. Unternehmer müssen nun den Nutzen der eigenen Seite einerseits und das Risiko von etwaigen Abmahnkosten abwägen. Wer keine hohen Kosten tragen kann oder will, der muss seine Seite wohl oder übel offline stellen”.

Was konkret hat der EuGH bezüglich Fanpages entschieden?

Der EuGH hat entschieden, dass das Betreiben einer Fanpage bei Facebook eine Mitverantwortung bezüglich der Einhaltung der Datenschutzbestimmungen begründet. Hierfür führt der EuGH als Begründung insbesondere an, dass der Betreiber Facebook ermöglicht, Daten über Personen zu erheben, die nicht über ein Facebook- Konto verfügen. Außerdem macht sich der Betreiber der Fanpage die Infrastruktur von Facebook inklusive der Datenerhebung zu Nutze.

Es ist nicht erforderlich, dass der Betreiber Zugriff auf die Daten hat die verarbeitet werden, da er an der Erhebung der Daten mitgewirkt hat und die Ergebnisse der Datenverarbeitung in Form von Auswertungen abrufen kann.

Als Konsequenz hieraus ergibt sich, dass der Betreiber der Fanpage alle datenschutzrechtlichen Pflichten erfüllen muss, um sich nicht rechtswidrig zu verhalten. Insbesondere muss er bei Anfrage Auskunft erteilen, welche Daten bei wem, wo und für welchen Zweck gespeichert sind. Er müsste außerdem sämtliche Datenverarbeitungsvorgänge in einer eigenen Datenschutzerklärung darlegen und eine Widerspruchsmöglichkeit für den Nutzer vorhalten.

Diese Informationen fehlen jedoch dem Fanpage-Inhaber in der Regel, sodass er diese Pflichten nicht erfüllen kann. Daher ist er darauf angewiesen, dass Facebook alle datenschutzrechtlichen Vorgaben einhält und kein Verstoß vorliegt. Wenn ein solcher Verstoß vorliegt, dann ist der Betreiber verantwortlich, obwohl er keine Chance hatte, etwas dagegen zu unternehmen.

Ob ein Datenschutzverstoß vorliegt, hat der EuGH allerdings gar nicht entschieden. Diese Entscheidung muss nun wieder das BVerwG treffen, wobei es nicht unwahrscheinlich ist, dass ein Datenschutzverstoß angenommen werden kann, da die Datenschutzerklärung von Facebook nicht ohne Weiteres verständlich und einfach aufzufinden war. Insofern gibt es erhebliche Bedenken, ob nicht doch ein Datenschutzverstoß vorliegt.

Gilt das Urteil auch für private Facebook-Nutzer?

Die klare Antwort lautet: Ja! Das Datenschutzrecht unterscheidet nicht zwischen Unternehmen und Privaten oder Verbrauchern, sondern stellt nur auf die Datenverarbeitung oder Erhebung ab. Daher ist das oben benannte grundsätzlich auch auf private Facebook- Nutzer anwendbar. Dies gilt in erster Linie für Fanpage- Betreiber, jedoch gibt es auch Stimmen, die diese Rechtsprechung auf private persönliche Facebook- Profile ausdehnen wollen.

Man muss jedoch festhalten, dass das Verfolgungsrisiko für Privatpersonen weitaus geringer ist. Jedoch sind werden die meisten Facebook-Profile nicht rein persönlicher und familiärer sein. Außerdem können Privatpersonen auch nicht von Wettbewerbern abgemahnt werden.

Soforthilfe vom Anwalt

Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.

Was passiert nun? Was sollen Fanpage-Betreiber tun?

Zunächst einmal muss nun das BVerwG sein eigenes Urteil aufgrund der Entscheidung des EuGH treffen. Dabei muss nun konkret geklärt werden, ob ein Datenschutzverstoß vorlag und wie sich die Mitverantwortung konkret darstellt, denn Mitverantwortung bedeutet nicht das der Fanpage-Betreiber und Facebook zu gleichen Teilen haften. Außerdem muss auch zumindest in diesem Fall geklärt werden, ob die Datenschutzbehörde sich an die Wirtschaftsakademie wenden durfte oder direkt gegen Facebook vorgehen musste.

Wenn Datenschutzverstöße vom BVerwG festgestellt werden, dann müssen alle Fanpage-Betreiber und möglicherwiese auch private Facebook- Nutzer mit Abmahnungen und Untersagungsverfügungen rechnen. Die daraus entstehenden Kosten muss auch grundsätzlich Facebook nicht erstatten.

Daher kann man sich nur vollumfänglich absichern, indem man die eigene Fanpage löscht. Diese Vorgehensweise ist sicherlich für die meisten Fanpage- Betreiber sehr unattraktiv, so dass man auch das Abmahnrisiko gegen das eigene wirtschaftliche Interesse an der Seite abwägen kann. Es sprechen momentan viele Gründe dafür, dass auch die Abmahner noch die endgültige Entscheidung in diesem Fall abwarten, um Rechtssicherheit zu erlangen. Daher ist es nicht geboten sofort den Betrieb der Fanpage einzustellen.

In jedem Fall sollte in der eigenen Datenschutzerklärung ein entsprechender Hinweis aufgenommen werden, dass Daten erhoben werden. Jedoch ist damit noch nicht das gesamte Problem gelöst, denn die Informationspflicht ist nur eine von vielen datenschutzrechtlichen Pflichten, die der Betreiber einer Fanpage, in der Regel nicht erfüllen kann, da er keinen unmittelbaren Zugriff auf die Daten erhält.

Was ist mit der DSGVO?

Der Entscheidung des EuGH liegt ein Sachverhalt aus dem Jahr 2011 zu Grunde. Daher stimmt es, was viele Medien schrieben, dass der EuGH über die Auslegung der Datenschutzrichtlinie (Richtlinie 95/46/EG, dort Art.2 lit d, 4 und 28) entschieden hat. Diese Richtlinie aus dem Jahre 1995 wurde auch tatsächlich durch die Datenschutzgrundverordnung (DSGVO) aufgehoben und abgelöst. Da aber auch die seit dem 25. Mai 2018 wirksame DSGVO regelt, dass es mehrere Verantwortliche für die Verarbeitung von Daten geben kann, wenn sie jeweils über die Mittel und Zwecke der Datenverarbeitung bestimmen können (Art. 4 Nr. 7 Satz 1 DSGVO), kann die EuGH-Entscheidung ohne weiteres auf die DSGVO übertragen werden. In der DSGVO lautet es an entsprechender Stelle:

„Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.”

Insofern muss klar gesagt werden, dass die gestrige EuGH-Entscheidung keineswegs nur symbolischen Charakter hat, sondern sehr wohl auf aktuelle Fanpages übertragen werden kann. Denn derjenige, der eine Facebook-Seite betreibt, ist auch für die Verarbeitung personenbezogener Daten durch Facebook und für die Erfüllung der Informationspflichten sowie die Ansprüche der betroffenen Nutzer mitverantwortlich.

Die Datenschutzbehörde nach der DSGVO wesentlich empfindlichere Strafen verhängen, so dass sie in der Zukunft wohl auch in der Lage ist Facebook zu belangen und entsprechende Verstöße direkt durch Facebook, ohne Umwege über die Fanpage- Betreiber, beseitigen zu lassen.

Welche Auswirkungen hat das Urteil auf Facebook und auf mögliche andere Dienste?

Das Urteil des EuGH hat mit einem Schlag eine mögliche Haftung aller Facebook- Nutzer begründet. Dieses Risiko hat Konsequenzen für Facebook und die gesamte Internetlandschaft.

Facebook steht nun vor dem Problem, dass die Datenschutzbehörden in jedem Land gegen Facebook vorgehen können. Darüber hinaus besteht für Facebook die Gefahr Nutzer zu verlieren, da diese nicht in die Haftung genommen werden möchten.

Die Rechtsprechung bezieht sich zwar nur auf Facebook, sie lässt sich jedoch auf sämtliche Konstellationen anbieten, bei denen nutzergenerierte Inhalte genutzt werden, um Daten zu sammeln und zu verarbeiten. Dies könnte also ebenso Google Analytics, Twitter oder Youtube betreffen. Es wird sich zeigen müssen, wie sich die Situation hier langfristig entwickelt. Denkbar ist, dass die großen Plattformbetreiber sich schützend vor ihre Nutzer stellen. Ebenso kann es auch sein, dass die Datenschutzbehörden sich in erster Linie an die Plattformbetreiber halten. Jedoch bleibt das Schreckensszenario, dass auch die Nutzer in die Haftung genommen werden. Diese Konstellation hat der EuGH mit seinem Urteil ermöglicht.