Wie weit reicht die Verantwortlichkeit von Facebook? Und welche Rolle spielen die Betreiber einer Fanpage dabei? Wir klären auf.
Datenschutzwahnsinn!
Das Datenschutzrecht steht derzeit im ständigen Wandel, weshalb es mittlerweile vielen schwer fallen dürfte den Überblick zu behalten.
Dieser Artikel soll Ihnen daher kurz und bündig die relevantesten Punkte der Entscheidung des EuGH und des BVerwG über den Umgang und die Verantwortlichkeit von Facebook für Fanpages und deren weitreichende Bedeutung vorstellen.
…zu den Hintergründen
Das Bundesverwaltungsgericht hatte am 11.September 2019 entschieden, dass Betreiber einer Facebook Fanpage gemeinsam mit Facebook für die dort stattfindende Datenverarbeitung verantwortlich sind. Die Fanpage sei weiterhin bei datenschutzrechtlichen Mängeln vom Betreiber abzuschalten.
Bereits aus 2018 dürfte einigen eine ähnliche Entscheidung im Kopf geblieben sein: Auch hier ging es um die Verantwortlichkeit. Zum einen des Fanpage-Betreibers und zum anderen von Facebook selbst. Zwar erging diese Entscheidung auf Grundlage der damals geltenden Datenschutz-Richtlinie. Die getroffenen Aussagen dürften jedoch auch für die Beurteilung unter der nun geltenten Datenschutz-Grundverordnung(DSGVO) maßgeblich sein. Wir wollen daher zunächst auf das in 2018 ergangene Urteil des EuGH zurückblicken um das aktuelle Urteil des BVerwG besser einordnen zu können.
Das Vorabentscheidungsverfahren des EuGH in 2018
Das Unabhängige Landeszentrum für Datenschutz(ULD) hatte den Betreiber einer Facebook Fanpage zur Deaktivierung wegen unzulässiger Verarbeitung personenbezogener Daten von Fanpage-Besuchern aufgefordert. Insbesondere wurde beanstandet, dass der Betreiber die Besucher der Fanpage nicht über die stattfindende Datenverarbeitung zu Werbezwecken und das ihnen zustehende Widerspruchsrecht aufgeklärt hatte. Außerdem wäre ein trotz der widrigen Umstände erhobener Widerspruch folgenlos geblieben: Die technischen Umsetzungsmöglichkeiten hierfür fehlten.
Der Rechtsstreit landete also letzten Endes zum Vorabentscheidungsverfahren vor dem europäischen Gerichtshof. Dieser hatte dann eine Grundsatzentscheidung zu treffen, auf deren Basis nun – in 2019 – das BVerwG ein Urteil zu treffen hatte.
Was war der Inhalt der Grundsatzentscheidung aus 2018?
Wie bereits erwähnt ging es um die Reichweite der Verantwortlichkeit von Facebook selbst, sowie den Betreibern einer Facebook Fanpage. Nach altem und neuen Datenschutzrecht gilt grundsätzlich: Wer allein oder gemeinsam mit anderen über die Zwecke und Mittel der Datenverarbeitung entscheidet, ist Verantwortlicher.
Die Verarbeitung personenbezogener Daten durch Facebook beginnt, sobald eine Fanpage aufgerufen wird. Dabei werden Cookies auf dem jeweiligen Endgerät gespeichert um diese im späteren Verlauf zu Werbezwecken und/oder zur Bereitstellung von Besucherstatistiken und -profilen zu nutzen. Die Verantwortlichkeit von Facebook war daher naheliegend.
Aber was sollte für die Betreiber der Fanpage gelten? Inwieweit könnten auch diese zur Verantwortung gezogen werden?
Für einen eigenen Anteil an Verantwortung war es laut dem EuGH notwendig, dass der Betreiber einen eigenen Beitrag über die Zwecke und Mittel der Datenverarbeitung leistet. Klargestellt wurde, dass erst durch die Einrichtung und den Betrieb der Fanpage die Möglichkeit der Datenverarbeitung für Facebook eröffnet wurde. Weiterhin nehmen Betreiber in der Regel eine sogenannte Parametrierung vor, er modifiziert also beispielsweise Einstellungen zur Zielgruppe. Durch diesen Vorgang hat der Betreiber dann einen Einfluss auf Art und Umfang der weiteren Verarbeitung durch Facebook. All diese Aspekte reichten für die Richter des EuGH aus, um von einer Mitverantwortlichkeit ausgehen zu können.
Wie sieht das Urteil des BVerwG daraufhin aus?
Zunächst wurde die Entscheidung des EuGH von den Richtern des BVerwG bestätigt, was zu erwarten war. Darüber hinaus wurde aber festgestellt, dass Betreiber in bestimmten Fällen zukünftig auch dazu verpflichtet werden können die Fanpage abzuschalten. Eine deartige Pflicht könnte bei schwerwiegenden datenschutzrechtlichen Mängeln bei der digitalen Infrastruktur von Facebook vorliegen.
Wer bei gemeinsamer Verantwortlichkeit im Einzelfall dafür herangezogen werden kann, hänge laut dem BVerwG dann davon ab, bei wem die Verpflichtung am effektivsten durchsetzbar sei. In der Regel dürfte das der Betreiber selbst sein. Die konkrete Entscheidung im vorliegenden Einzelfall wurde wie üblich offen gelassen und zurückverwiesen an das Schleswig-Holsteinische-Oberverwaltungsgericht.
Was müssen Betreiber nun beachten?
Social-Media-Auftritte sind heutzutage für viele Unternehmen essentielle Kanäle für die Kundenbeziehungen. Das aktuelle Urteil bringt wohl wieder einmal etwas mehr Rechtsunsicherheit ins Spiel.
Facebook übernimmt einen Großteil der Verantwortlichkeit
Ratsam ist es jedoch mindestens, spätestens jetzt die nach aktuellem Datenschutzrecht erforderliche Vereinbarung über eine gemeinsame Verantwortlichkeit nach Art.26 DSGVO zu beachten. Facebook bietet diese inzwischen an – für Fanpage-Betreiber wird die Vereinbarung automatisch Vertragsbestandteil.
Aus der Vereinbarung geht grundsätzlich hervor, dass Facebook die meisten datenschutzrechtlichen Pflichten im Rahmen der gemeinsamen Verantwortlichkeit übernimmt. Dazu gehören insbesondere Datensicherheit, einige Informationspflichten, die Erfüllung der Betroffenenrechte aber auch die Meldung von Datenschutzverstößen.
Aber Achtung: Für Fanpage-Betreiber verbleiben weitere wichtige Pflichten
Betroffenenanfragen müssen unter Umständen an Facebook weitergeleitet werden. Zudem muss die Datenverarbeitung auf eine Rechtsgrundlage gestützt sein. In einer eigenen, beispielsweise auf der jeweiligen Fanpage verlinkten Datenschutzerklärung(Hier kommt es vor allem auf die gute Sichtbarkeit und Erreichbarkeit an), muss dann über diese Rechtsgrundlage informiert werden.
Sind noch Fragen offen? Wir beraten Sie gerne!
Kontaktieren Sie uns unter +49 221 – 2921920
