25.06.2018 — Rolf Becker. Quelle: Verlag Dashöfer GmbH.
Der Europäische Gerichtshof (EuGH) hat eine lange erwartete Entscheidung zur Haftung von Fanpage-Betreibern für die Datenerhebung von Facebook getroffen. Der Inhalt der Entscheidung war schon im Votum des Generalanwalts zu erahnen.
Risiken und Verantwortlichkeiten: von AEO über Compliance bis hin zur Zollabwicklung
Der Generalanwalt, der die Urteilsfindung vorbereitet und dem die Richter häufiger folgen, ging für den Verarbeitungsschritt der Erhebung der Daten von einer gemeinsamen Verantwortlichkeit von Facebook Ireland, Facebook Inc. und dem Betreiber der Fanpage aus. Er sei an der Entscheidung über die Zwecke und Mittel der Verarbeitung beteiligt. Dabei komme es nicht auf die vertraglichen Vereinbarungen, sondern auf die Fakten an. Eine umfassende Kontrolle der Verarbeitung sei nicht erforderlich, ebenso keine Parität der gemeinsam Verantwortlichen.
Am Ende kann man die Fanpage löschen und damit die weitere Erhebung zumindest insoweit stoppen.
Dem schloss sich der EuGH im Ergebnis an (Urteil vom 05.06.2018, Az.. C-210/16).
Generell ist die Nutzung von Facebook und Dienstleistungsangeboten von Facebook datenschutzrechtlich problematisch. Dies ergibt sich nicht nur aus den zahlreichen vergangenen und teils aktuellen Diskussionen um die Datennutzung von Facebook. Nach § 2 Nr. 1 TMG wird der Unternehmer mit seiner Facebookseite zum Diensteanbieter. Neben der Impressumspflicht nach § 5 TMG bestehen auch grundsätzlich Pflichten, die Nutzer über Datennutzungen und ihre Rechte dazu zu informieren. Dies ergibt sich aus dem TMG (§§ 13 I iVm. § 13 III S. 1, VI S. 2; 15 III S. 2 TMG), aber auch jetzt nach der Datenschutzgrundverordnung, DSGVO.
Das Bundesverwaltungsgericht in Leipzig hatte dem Europäischen Gerichtshof in Luxemburg Fragen zur datenschutzrechtlichen Verantwortlichkeit zur Beantwortung vorgelegt. Es ging um ein Verfahren zwischen dem schleswig-holsteinischen Landeszentrum für Datenschutz (ULD) und der Wirtschaftsakademie Schleswig-Holstein, einem Bildungsunternehmen der Industrie- und Handelskammern (IHK) (Az.: BVerwG 1 C 28.14). Der Grund: Weder die Akademie selbst noch Facebook wiesen im Jahr 2011 die Besucher der Fanpage darauf hin, dass Facebook mit Cookies ihre personenbezogenen Daten erhebt, diese für Werbezwecke nutzt und auch verarbeitet, z.B. um Besucherstatistiken für die Seitenbetreiberin zu generieren.
Das Urteil lässt sich auch auf andere Sachverhalte übertragen. Damit haften Betreiber auch bei Social Plugins auf eigenen Seiten für die damit ermöglichte Datenerhebung. Die Behörden können sich auch an das Unternehmen wenden.
Jedenfalls der Nutzer einer Fanpage haftet mit für die Datenerhebung von Facebook und muss darüber informieren. Dabei kommt es nicht darauf an, ob der Betreiber der Fanpage die Datenerhebung selbst nutzt. Er hat sie durch die Nutzung von Facebook selbst mit veranlasst. Das gilt ja auch schon, wenn Ihr Hoster Datenerhebungen vornimmt, ob Sie das wollen oder nicht.
Dem EuGH reicht schon, dass der Fanpagebetreiber durch seine Parametrierung eine Vorauswahl unter den Besuchern betreibt.
„Zwar werden die von Facebook erstellten Besucherstatistiken ausschließlich in anonymisierter Form an den Betreiber der Fanpage übermittelt, jedoch beruht die Erstellung dieser Statistiken auf der vorhergehenden Erhebung – durch die von Facebook auf dem Computer oder jedem anderen Gerät der Personen, die diese Seite besucht haben, gesetzten Cookies – und der Verarbeitung der personenbezogenen Daten dieser Besucher für diese statistischen Zwecke.
Die Richtlinie 95/46 verlangt jedenfalls nicht, dass bei einer gemeinsamen Verantwortlichkeit mehrerer Betreiber für dieselbe Verarbeitung jeder Zugang zu den betreffenden personenbezogenen Daten hat.
Die Frage ist berechtigt. Grundsätzlich hat Facebook seit 2012 bei den eigenen Informationen nachgebessert. Das rechtliche Risiko ist allerdings sehr hoch zu bewerten, dass den Behörden auch aktuelle Maßnahmen von Facebook nicht ausreichen. Hier ist zu berücksichtigen, dass Facebook aufgrund der Klarnamenspflicht und dem Login-Status der Facebook-Besucher immer Daten zu den Personen erhebt. Die sind zwar für den Fanpage-Betreiber nicht zuordnungsfähig. Aber eine Mithaftung für solche Datenerhebungen, bei denen Facebook über das Ziel hinausschießt steht immer im Raum. In jedem Fall sollte man eigene Datenschutzhinweise bei Facebook vorsehen, auch wenn diese praktisch ja immer zu spät kommen, weil Facebook schon Daten zum Besucher erhoben hat, sobald dieser die Fanpage aufruft. Schon hat die Datenschutzkonferenz (DSK) und auch die Datenschutzbehörde NRW mitgeteilt, dass der legale Betrieb einer Facebook-Fanpage nur noch möglich sei, wenn Facebook selbst etwas ändert.
Andererseits wollen die Behörden Druck auf Facebook ausüben und nicht auf die Nutzer. Es ist zudem rechtlich fraglich, ob Behörden nach der aktuellen Rechtslage sich in diesen Fällen direkt an die Nutzer wenden können, wenn ein effektiverer Weg direkt gegen Facebook eröffnet ist.
Wer nur eine kleine Fanpage betreibt, die keine große Rolle spielt, dürfte eher zum risikolosen Abschalten neigen. Anderen Fanpagebetreibern kann prognostiziert werden, dass ihnen wohl nicht gleich in Gestalt von Bußgeldern der „Himmel auf den Kopf“ fallen wird.
Es steht zu hoffen, dass Facebook reagiert.
X
