EuGH zu Facebook-Fanpages Sieg für Datenschützer
Betreiber von Facebook-Fanseiten sind zusammen mit Facebook für den Schutz von Nutzerdaten verantwortlich. Das entschied der EuGH nach einem jahrelangen Rechtsstreit. Claudia Kornmeier und Frank Bräutigam erklären, was das für Firmen und Nutzer bedeutet.
Worum geht es in dem Fall?
Wie viele Unternehmen wirbt auch die IHK-Wirtschaftsakademie Schleswig-Holstein auf Facebook für ihr Angebot. Dem ehemaligen Datenschutzbeauftragten des Landes, Thilo Weichert, waren solche Auftritte in dem sozialen Netzwerk ein Dorn im Auge. 2011 ordnete er deshalb gegenüber der Akademie an, die Facebook-Fanpage zu deaktivieren.
Der Grund: Über sogenannte Cookies erhebe Facebook Daten der Nutzer, um Besucherstatistiken zu erstellen. Diese Statistiken stellt das soziale Netzwerk den Seitenbetreibern kostenlos zur Verfügung. Abbestellen können Unternehmen den Service nicht.
Den Datenschutzbeauftragten störte, dass die Wirtschaftsakademie nicht auf diese Datenverarbeitung hinwies. Weichert war einer der bekannteren unter den Landesdatenschutzbeauftragten. Bis zu seinem Ausscheiden aus dem Amt ging er nicht nur gegen Facebook vor, sondern auch gegen Google-Street-View und Microsoft. Den Rechtsstreit mit der Wirtschaftsakademie führt nun seine Nachfolgerin Marit Hansen fort.
Wieso lag die Sache jetzt bei Gericht?
Die Wirtschaftsakademie wehrte sich gegen die Anordnung, unterstützt vom Zusammenschluss der Industrie- und Handelskammern in Schleswig-Holstein. Der spricht von einem "Musterprozess". In Deutschland ging der Fall bereits durch die Instanzen und fiel bisher immer zugunsten der Akademie aus. Das Bundesverwaltungsgericht wandte sich nun an den EU-Gerichtshof mit einer Reihe von Fragen.
Was hat der EU-Gerichtshof entschieden?
Betreiber einer Fanpage sind gemeinsam mit Facebook für die Verarbeitung personenbezogener Daten der Besucher ihrer Seite verantwortlich, da sie über Zweck und Mittel der Datenverarbeitung mitentscheiden. Sie haben nämlich durchaus Einfluss auf die Auswertung der Daten, obwohl Facebook die Erhebung durchführt.
So können Unternehmen Kriterien (z.B. Alter, Geschlecht, berufliche Situation) auswählen, um die Besucherstatistiken zu personalisieren. Auch können sie geografische Daten verlangen, die sie darüber informieren, wo spezielle Werbeaktionen durchzuführen sind. Damit wird ihnen ermöglicht, ihr Informationsangebot so zielgerichtet wie möglich zu gestalten.
Nach der Rechtsprechung des EU-Gerichtshofs ist der Begriff des "Verantwortlichen" weit auszulegen, um einen wirksamen Datenschutz zu gewährleisten. Das ändert allerdings nichts daran, dass die Richter "in erster Linie" Facebook in der Verantwortung sehen. Das stellten sie ausdrücklich klar.
Ist die Frage mit der neuen EU-Datenschutzverordnung noch aktuell?
Das Urteil basiert noch auf der alten EU-Datenschutzrichtlinie von 1995. Auch die neue Verordnung, die Ende Mai in Kraft trat, definiert, wer "Verantwortlicher" für die Verarbeitung von Daten ist - und zwar wortgleich wie die alte EU-Richtlinie.
Facebook-Logo in Menlo Park, Kalifornien. Wer ist für die Verarbeitung der Nutzer-Daten verantwortlich? Die Fanpage-Betreiber? Oder Facebook selber?
Welche Folgen könnte das Urteil haben?
Durch das Urteil der Luxemburger Richter könnte die Wirtschaftsakademie und alle anderen Seitenbetreiber nun die volle Wucht des Datenschutzrechts treffen. Die neue Datenschutzgrundverordnung regelt allerdings, wie mit einer solchen gemeinsamen Verantwortung umzugehen ist.
Danach könnte Facebook mit Unternehmen in einer Vereinbarung festlegen, wer welche Verpflichtung erfüllen muss, allerdings stellt Artikel 26 DSGVO Absatz 3 klar: "Ungeachtet der Einzelheiten der Vereinbarung gemäß Absatz 1 kann die betroffene Person ihre Rechte im Rahmen dieser Verordnung bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen."
Was heißt das Urteil ganz konkret für Betreiber von Fan-Seiten?
Die ehrliche Antwort lautet: Das kann man heute noch nicht abschließend beantworten. Der EuGH hat entschieden, dass Facebook und der Betreiber der Seite gemeinsam für den Datenschutz verantwortlich sind. Allein diese Aussage rechtfertigt schon die Kategorie "Grundsatzurteil".
Der EuGH hat aber nicht entschieden, dass Fan-Seiten inhaltlich gegen Datenschutzrecht verstoßen. Daher kann man heute zum Beispiel noch nicht genau sagen, welche Hinweise für die Nutzer ein Seitenbetreiber künftig möglicherweise aufnehmen muss. Der EuGH weist in den Urteilsgründen auch darauf hin, dass "gemeinsam" nicht unbedingt eine Verantwortung "50:50" bedeutet. Spannend wird auch sein, wie Facebook auf das Urteil reagiert.
Das bedeutet: Viele Folgefragen sind noch offen. Bevor man eine Seite abschaltet, sollte man jedenfalls wissen, dass das Gerichtsverfahren noch weitergeht und auch die Datenschutzbehörden sicher genau schauen werden, wie der Fall abschließend entschieden wird.
Wie geht das Verfahren weiter?
Nachdem der EuGH nun die gestellten Fragen zur Verantwortung der Seitenbetreiber beantwortet hat, geht der Fall nun ans Bundesverwaltungsgericht in Leipzig zurück. Das muss dann auch inhaltlich entscheiden, ob gegen Datenschutz verstoßen wurde. Bis zu einem abschließenden Urteil können noch viele Monate vergehen.
Az. C-210/16