Verantwortlichkeit des Betreibers einer Facebook-Fanpage

Der Europäische Gerichtshof (EuGH) hat entschieden, dass Unternehmen, die im Rahmen ihres Social Media-Auftritts eine Facebookseite (sog. Fanpage) betreiben, gemeinsam mit Facebook für die Einhaltung des Datenschutzes verantwortlich sind (Urteil vom 05.06.2018, Az. C-210/16). Somit können sie auch bei Datenschutzverstößen zur Verantwortung gezogen werden.

Zum Verständnis: Facebook erhebt für Seitenbetreiber eine Reihe von Nutzerdaten und stellt diese kostenlos zur Verfügung. Beispielsweise kann der Betreiber einer Fanpage so statistische Daten über Seitenbesuche oder Klicks abrufen. Über die Datenerhebung und -verarbeitung werden die Besucher der Fanpage allerdings nicht informiert. Denn die Statistiken beruhen auf anonymisierten Daten. Allerdings erfolgt die Erhebung wiederum über Cookies, die eindeutige Nutzerkennungen enthalten. Diese zusammen mit den Anmeldedaten bekommen also einen Personenbezug und können somit nicht mehr als anonym gelten. Daher müssten die Besucher aufgrund der geltenden Datenschutzgesetze eigentlich über die Datenerhebung informiert werden.

Die Richter des EuGH waren der Ansicht, dass zu den „für die Verarbeitung Verantwortlichen“ nicht nur Facebook zählt, sondern auch der Betreiber einer Fanpage. Denn wer sich entscheide, Dienstleistungen von Facebook hinsichtlich einer Fanpage in Anspruch zu nehmen, sei auch an der Entscheidung über die Art und Weise der Datenverarbeitung seiner Besucher beteiligt. Und daher sei nicht nur der Plattformbetreiber sondern auch der Fanpage-Betreiber für die Einhaltung des Datenschutzes verantwortlich.

Die in Rede stehende Datenschutzrichtlinie wurde mittlerweile durch die EU-Datenschutzgrundverordnung (DSGVO) abgelöst. Aber die Definition von „Verantwortlicher“ ist gleich geblieben. Allerdings ist unklar, ob die Erhebung und Verarbeitung der Nutzerdaten in der bisherigen Form auch unter der DSGVO rechtswidrig ist. Daher ist momentan auch schwer abzusehen, welche Folgen das Urteil haben wird.

Grundsätzlich liegt der Entscheidung ein deutscher Rechtsstreit zugrunde, der vor dem Bundesverwaltungsgericht verhandelt wurde. Da hinsichtlich des Wortlautes der damaligen Datenschutzrichtlinie und insbesondere hinsichtlich der Verantwortlichkeit von Facebook-Fanseiten-Betreiber einiges ungeklar war, wurden dem EuGH die offenen Fragen zur Auslegung vorgelegt. Jetzt liegt es wiederum beim Bundesverwaltungsgericht, die gefundenen Antworten auf den konkreten Fall anzuwenden und eine endgültige gerichtliche Entscheidung zu treffen. Bis dahin kann nur spekuliert werden, welche Pflichten auf die Fanpage-Betreiber zukommen werden.

Wahrscheinlich ist aber, dass zukünftig zwischen Fanpage-Betreibern und Facebook geklärt werden muss, wer für welche Datenschutzpflichten zuständig ist. Weiterhin sollte man bereits jetzt darauf achten, umfassende Datenschutzinformationen in die eigene Fanpage einzubinden und auch über die Betroffenenrechte wie das Recht auf Auskunft, Berichtigung oder Widerruf hinzuweisen. Zudem sollte im Fall des Trackings oder bei Speicherung der IP-Adresse die Einwilligung des Besuchers eingeholt werden. Denn – wie oben ausgeführt – kann jeder Nutzer seine Rechte sowohl gegenüber Facebook als auch dem Fanpage-Betreiber direkt geltend machen.

Das große Problem dabei dürfte allerdings sein, von Facebook überhaupt Informationen darüber zu bekommen, welche Cookies gesetzt und welche Daten erhoben werden. Davon, was mit den ganzen Daten überhaupt passiert, mal ganz zu schweigen.

Übrigens: Das Urteil gilt nicht nur für Facebook, sondern wohl für alle Social Media-Plattformen. Auch hier sollte also der Datenschutz entsprechend angepasst werden.