Der Europäische Gerichtshof und die Facebook-Fanpage

 In Social Media

1. Eigentlich ist der Streit, den der Europäische Gerichtshof jetzt (und das formell nicht einmal abschließend) entschieden hat, mittlerweile sieben Jahre alt. Im Jahre 2011 erließ das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) eine Anordnung gegen die Wirtschaftsakademie Schleswig-Holstein GmbH. Mit dieser Anordnung war jener aufgegeben worden, ihre auf der Website von Facebook unterhaltene Fanpage zu deaktivieren. Die Begründung bezog sich darauf, dass Facebook im Rahmen dieses Angebots gegen geltendes Datenschutzrecht verstieß, insbesondere durch die Funktion „Facebook Insight“, die Besucherdaten der Fanpage unter Missachtung von Einwilligungserfordernissen und Hinweispflichten sammelte und auswertete.

Die Wirtschaftsakademie war hiergegen vor allem mit dem Argument vorgegangen, das ULD müsse insofern (und allein) gegen Facebook vorgehen, da sie auf diese Datenschutzverstöße keinerlei Einfluss habe. Damit fand sie Gehör im verwaltungsgerichtlichen Instanzenzug, der sich über mehrere Jahre bis zum Bundesverwaltungsgericht hinzog. Nicht so beim obersten europäischen Gericht.

2. Die entscheidende Frage, die alle Vorinstanzen anders beantwortet hatten, betraf die Definition des „Verantwortlichen“ im Sinne des Datenschutzrechts. Der EuGH entschied hierzu, dass dieser Begriff weit auszulegen sei und nicht zwingend auf eine einzige Stelle beschränkt sei. Zwar seien es vorliegend in erster Linie Facebook Inc. und Facebook Ireland, die über die Datenverarbeitung entschieden, doch sei der Betreiber einer Fanpage gemeinsam mit diesen als verantwortlich einzuordnen, insbesondere weil er Facebook die Möglichkeit gebe, bei den Besuchern der Fanpage auch dann Daten zu erheben, wenn diese nicht über ein Facebook-Konto verfügen. In solchen Fällen sei es auch der deutschen Aufsichtsbehörde gestattet, Maßnahmen zu ergreifen, wobei dies letztlich selbst ohne vorherige Konsultation des irischen Datenschutzbeauftragten geschehen könne.

3. Das Urteil ist bemerkenswert, zeigt es doch, dass das ULD allen Unkenrufen zum Trotz von Anfang an richtig lag mit seiner rechtlichen Einschätzung. Der EuGH hat letztlich klargestellt, dass es den Unternehmen, die Werbung auf Plattformen wie Facebook schalten, auch aus Rechtsgründen nicht gleichgültig sein darf, ob diese sich an geltendes Datenschutzrecht halten oder nicht.

Zwar erging die Entscheidung noch zum „alten“ Datenschutzrecht, nämlich zur EU-Datenschutzrichtlinie, die von 1995 bis zum 25.05.2018 in Kraft war. Doch unterscheidet sich die heutige Rechtslage nicht, denn die Definitionen des „Verantwortlichen“ in dieser Richtlinie und in der seither geltenden Datenschutzgrundverordnung (DSGVO) sind insoweit inhaltlich letztlich deckungsgleich. Damit aber kann der zentrale Satz dieser wichtigen Entscheidung auch nach neuem Recht Geltung beanspruchen: „Der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, kann diesen … nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien“.

4. Was ist die Folge? Alle Anbieter müssen beachten, dass allein die Möglichkeit, dass eine Aufsichtsbehörde auch gegen Facebook direkt vorgehen könnte, nicht ausschließt, auch die Betreiber der Fanpages, die letztlich der (unzulässigen) Datenerhebung durch den Plattformbetreiber Vorschub leisten, selbst in Anspruch nehmen zu können. Alle Anbieter müssen daher ihre Angebote innerhalb von sozialen Medien genau überprüfen, was nicht nur für Fanpages, sondern auch für Like-Funktionen und zuweilen sogar für die Nutzung eines bestimmten Mediums insgesamt gilt. Auch der bayerische Landesbeauftragte ruft nunmehr zu Recht dazu auf, dass Unternehmen (und Behörden) ihre Öffentlichkeitsarbeit innerhalb von „Sozialen Medien“ kritisch überprüfen mögen. Dies gilt zumindest, soweit und solange diese den Umgang mit dem europäischen Datenschutzrecht (weiterhin) auf die leichte Schulter nehmen. Facebook selbst hat sich leider (noch) nicht zum Urteil geäußert, ob und inwieweit sie die Vorgaben der Datenschutzbehörden umsetzen und so sicherstellen wollen, dass ihre eigenen Kunden nicht angreifbar sind.

Unser Fazit: Im Augenblick gibt es noch keine allgemeine Handlungsanweisung. Von kr3m betreute Fanpages werden wir mit unserem auf Datenschutz spezialisierten Anwalt jeweils einzeln prüfen und anpassen. Gerne übernehmen wir das auch für Ihre Fanpage, wenn diese aktuell nicht in unserer Verantwortung liegt.

Empfohlene Beiträge
Fragen? Anregungen?

Schnell eine Email an uns schreiben - wir melden uns baldmöglichst.

Social media & sharing icons powered by UltimatelySocial