Recht: Facebook-Datenschutz – wer trägt die Verantwortung?

Fanpages auf Facebook können auch für Onlinedrucker wertvolle Kommunikationskanäle darstellen. In Zukunft könnte sich jedoch rechtlich einiges ändern, was einige Seitenbetreiber womöglich zum Handeln zwingt.

Auch in vielen Unternehmen der Onlineprint-Branche hat dieses Urteil für große Aufregung gesorgt: Der EuGH entschied in einem Vorlageverfahren, dass nicht nur Facebook selbst, sondern auch die Betreiber von Facebook-Fanseiten für etwaige Datenschutzverstöße verantwortlich sind. Muss jetzt jede Präsenz eines Onlinedruckers auf Facebook gelöscht werden? Zum Hintergrund des Urteils und was in Sachen Facebook-Fanseiten auf Onlineprinter rechtlich zukünftig häufiger zukommen könnte, führt Dr. Martin Schirmbacher, Anwalt der Initiative Online Print und Fachanwalt für IT-Recht bei HÄRTING Rechtsanwälte, in dem folgenden Beitrag detailliert aus.

Hintergrund

Bereits vor 7 Jahren klagte die Wirtschaftsakademie Schleswig-Holstein, die auf Facebook über eine Fanpage verschiedene Bildungsdienstleistungen anbietet, gegen das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD), nachdem dieses die Deaktivierung der Fanpage des Unternehmens angeordnet hatte. Als Begründung wurde angeführt, dass weder die Wirtschaftsakademie noch Facebook die Nutzer der Fanpage auf die Erhebung und Verarbeitung personenbezogener Daten mittels Cookies hinwies. Die Klägerin war hingegen der Ansicht, die Verarbeitung personenbezogener Daten durch Facebook könne ihr nicht zugerechnet werden.

Der Streit zog über das Oberverwaltungsgericht in Schleswig bis vor das Bundesverwaltungsgericht, das dann wiederum Anfang 2016 den EuGH zur Beantwortung mehrerer Fragen die damalige EU-Datenschutzrichtlinie betreffend anrief. Die wichtigste Vorlagefrage betrifft die Verantwortlichkeit der Betreiber von Fanpages. Das Gericht wollte wissen, ob Unternehmen, die auf Facebook eine Fanpage einrichten aus datenschutzrechtlicher Sicht als Betreiber der Seite anzusehen sind. Das hätte zur Folge, dass im Falle eines Datenschutzverstoßes nicht nur Facebook, sondern jedenfalls auch das die Seite betreibende Unternehmen in Anspruch genommen werden könnten. Aus haftungsrechtlicher Sicht liegt eine Verantwortlichkeit zunächst nahe. Schließlich kann das Unternehmen über die Inhalte der Seite frei bestimmen. Andererseits hat es auf die durch Facebook auf Facebook allgemein und auf der Facebookpage im Besonderen erhobenen Daten keinerlei Einfluss. Es ist den betreibenden Unternehmen nicht einmal bekannt, welche Daten zu welchen Zwecken auf den Fanpages erhoben werden. Zugreifen kann man als Unternehmen nur auf aggregierte Daten, die keinen Rückschluss auf konkrete Nutzer zulassen.

Facebook-Seiten können für Onlineprinter wertvolle Marketingkanäle darstellen – Abonnentenzahlen im fünfstelligen Bereich sind nicht selten bei den größeren Onlinedruckern; Quelle: facebook.com/diedruckerei.de

Entscheidung des EuGH

Dennoch wird die Antwort des Gerichtshofs zumindest auf die erste Frage eher nicht im Interesse der meisten Onlineprinter sein: Neben Facebook ist auch der Betreiber einer Facebook-Fanpage für die Datenverarbeitung verantwortlich!

Begründet hat der EuGH dies damit, dass zwar letztlich Facebook die Fanpage zur Verfügung stellt, der Betreiber aber anhand verschiedener Filtermöglichkeiten festlegen könne, welche personenbezogenen Daten der Besucher seiner Fanpage erhoben und verarbeitet werden sollen. Diese Beteiligung „an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage“ sei für die Annahme einer Mitverantwortlichkeit ausreichend, auch wenn der Betreiber gar keinen eigenständigen Zugriff auf diese Daten erhält. Maßgeblich sei der Schutz der Nutzer: Nur durch eine gemeinsame Verantwortlichkeit von sozialen Netzwerken und Fanpages-Betreiber könne der von der damaligen Datenschutzrichtlinie geforderte Schutz der Betroffenenrechte umfassender gewährleistet werden. Anders als von der Aufsichtsbehörde zunächst behauptet, liege aber auch keine Auftragsdatenverarbeitung durch Facebook vor. Das Unternehmen sei nicht allein verantwortlich, vielmehr sieht der EuGH die Hauptverantwortlichkeit schon deutlich bei dem Betreiber des sozialen Netzwerks. Der EuGH stellt nämlich klar, dass das Bestehen einer gemeinsamen Verantwortlichkeit nicht zur Folge haben müsse, dass die Betroffenen in gleichem Maße verantwortlich sind. Vielmehr müsse der Grad der Verantwortlichkeit unter Berücksichtigung aller maßgeblichen Umstände anhand des Einzelfalls entschieden werden. Hauptverantwortlicher wird demnach in den meisten Fällen wohl Facebook sein. Das Urteil ist anhand der alten EU-Datenschutzrichtlinie ergangen. Diese ist bekanntlich seit Mai 2018 Geschichte und durch die vieldiskutierte (und -verfluchte) Datenschutzgrundverordnung abgelöst worden. Vieles spricht dafür, dass der EuGH, der die Entscheidung wohl nicht zufällig erst nach dem Stichtag 25. Mai 2018 gefällt hat, nach DSGVO genauso entschieden hätte.

In einer weiteren Frage hat das Bundesverwaltungsgericht den EuGH gefragt, ob das ULD auch gegen Facebook direkt hätte klagen können. Folgerichtig hat das Gericht hier festgestellt, dass das ULD auch dazu befugt gewesen wäre, gegen Facebook direkt vorzugehen. Dabei sei es unerheblich, dass Facebook außerhalb der Europäischen Union ansässig sei und die Datenverarbeitung nach der Aufgabenverteilung des Konzerns eigentlich nicht der Tochtergesellschaft Facebook Germany sondern Facebook Ireland obliegt.

Druckdiscount24 ist ein Beispiel für einen Onlinedrucker, der den entsprechenden Datenrichtlinien-Link auf Facebook bereits integriert hat; Quelle: facebook.com/pg/Druckdiscount24/about/?ref=page_internal

Was ist nun zu tun?

Die erste Aufregung hat sich gelegt. Onlinedrucker betreiben weiterhin Fanpages und das ist auch gut so. Welche unmittelbaren Folgen gibt es:

1. Fanpages müssen nicht direkt abgestellt werden!

Der EuGH hat nicht darüber entschieden, ob Fanpages rechtswidrig sind, sondern lediglich die gemeinsame Verantwortlichkeit von Betreibern und Facebook festgestellt. Über einen eventuellen Rechtsverstoß wird das Bundesverwaltungsgericht entscheiden. Denkbar ist, dass das Gericht den Streit noch einmal nach Schleswig zurückverweist – und dieses dann anhand der DSGVO entscheiden muss. Ende noch nicht absehbar.

Sie müssen daher Ihre Fanpages nicht umgehend offline nehmen. Dass der Betrieb einer Fanpage aus deutscher (besser: EU-) Sicht rechtswidrig ist, ist gerichtlich bisher nicht festgestellt. Es ist auch nicht zu erwarten, dass nun viele Klagen drohen, bevor das Verfahren nicht beendet ist. Allerdings ist sicher sinnvoll, den weiteren Verlauf des Prozesses im Auge zu behalten.

2. Eine zusätzliche Datenschutzerklärung integrieren!

Empfehlenswert ist, dass Fanpages nun neben einem Impressum auch eine Datenschutzinformation erhalten. Diese sollte die Pflichtangaben nach Art. 13 DSGVO beinhalten und in die Fanpages integriert werden. In der Datenschutzerklärung kann größtenteils auf die Dateninformationen von Facebook und auf die eigene Datenschutzerklärung verwiesen werden. Notwendig ist dabei vor allem die transparente und verständliche Darstellung für den Besucher. Für die Einbindung einer solchen Information sollte der Hinweistext in die eigene Website integriert und dann von der Facebookseite unter dem Punkt „Datenrichtlinie“ verlinkt werden.

Empfehlenswert ist, eine gesonderte Datenschutzerklärung für die Facebook-Seite vorzuhalten. Zwar ist grundsätzlich denkbar, auch die Informationen zur Facebookpage in die eigene allgemeine Datenschutzinformationen auf der Unternehmensseite zu integrieren. Doch stimmen die Einzelheiten etwa zur Auskunftserteilung dann häufig nicht. Auch der Hinweis auf die gemeinsame Verantwortlichkeit wirkt in einer allgemeinen Datenschutzerklärung eher seltsam. Der Trend geht also zur Zweit-Datenschutzerklärung.

3. Eine Vereinbarung über die gemeinsame Verantwortlichkeit schließen!

Während die ersten beiden Punkte vergleichsweise einfach erfüllbar sind, bleibt ein wichtiger Punkt offen: Gemäß Art. 26 Satz 2 DSGVO sind gemeinsam Verantwortliche verpflichtet, in einer Vereinbarung festzulegen, wer von ihnen welche Verpflichtung aus der DSGVO erfüllt. In einer solchen Joint-Controller-Vereinbarung muss also festgelegt werden, wer z. B. für die Datenschutzinformation und die Beantwortung von Auskunftsersuchen verantwortlich ist.

Im Anschluss an das Urteil stand zu vermuten, dass Facebook den Betreibern von Fanpages nun relativ schnell den Abschluss solcher Vereinbarungen vorschlagen würde. Bisher gibt es hier aber nichts Konkretes von Facebook. Insofern bleibt hier nur: abwarten.

Fazit

Die unmittelbaren Folgen des Urteils sind vergleichsweise einfach umrissen, wenn auch nicht einfach umzusetzen. Deutlich gravierender werden die längerfristigen allgemeineren Konsequenzen sein: Nicht jeder Dienstleister oder Partner, der irgendwelche Daten verarbeitet, ist ein Auftragsverarbeiter. Das war schon immer so, bekommt nun aber eine ganz neue Öffentlichkeit. Meine Prognose: Mit der gemeinsamen Verantwortlichkeit wird es der eine oder andere Onlinedrucker in Zukunft deutlich häufiger zu tun bekommen.

PS: Martin Schirmbacher bietet zum Datenschutzrecht im Online-Marketing auch Seminare an, die Sie auf den neuesten Stand bringen.

Summary
Recht: Facebook-Datenschutz – wer trägt die Verantwortung?
Article Name
Recht: Facebook-Datenschutz – wer trägt die Verantwortung?
Description
Nicht jeder Dienstleister oder Partner, der irgendwelche Daten verarbeitet, ist ein Auftragsverarbeiter. Das war schon immer so, bekommt nun aber eine ganz neue Öffentlichkeit. Meine Prognose: Mit der gemeinsamen Verantwortlichkeit wird es der eine oder andere Onlinedrucker in Zukunft deutlich häufiger zu tun bekommen.
Author
Publisher Name
beyond-print.de

Hinterlasse einen Kommentar

Mit Abschicken meines Kommentars erkläre ich mich mit den Nutzungsbedingungen einverstanden.

Send this to friend