Betreiber von Facebook-Fanpages sind (mit)verantwortlich
Vor dem EuGH wird ein folgenschweres Urteil zum Datenschutz und Fanpage-Betreibern erwartet
Logo: facebook, Grafik: Tomasz Trojanowski - fotolia.com, Montage: teltarif.de
2011 wurde vor dem Europäischen Gerichtshof (EuGH) ein Verfahren angestrengt, in dessen Mittelpunkt einmal mehr Facebooks Handhabung des Datenschutzes steht. Konkret geht es um die Frage, ob Betreiber einer Fanpage auf Facebook dafür verantwortlich gemacht werden können, wie Facebook den geltenden Datenschutz einhält.
Nun hat Generalanwalt Yves Bot des EuGH seine Schlussanträge vorgestellt (Rechtssache C-210/16, PDF-Datei), nachdem am 27. Juni eine mündliche Verhandlung in der Sache vor dem EuGH stattgefunden hatte. Seiner Einschätzung nach ist der Betreiber einer Fanpage auf Facebook sehr wohl mitverantwortlich, wenn Facebook personenbezogene Daten erhebt, speichert und verarbeitet. Im Wortlaut heißt es, Zitat: "Meines Erachtens ist nämlich davon auszugehen, dass die Wirtschaftsakademie für die in der Erhebung von personenbezogenen Daten durch Facebook bestehende Phase der Verarbeitung gemeinsam mit Facebook verantwortlich ist."
Ins Rollen gebracht hatte das Verfahren damals im Jahre 2011 eine Anweisung des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD), in welcher die erwähnte und privatwirtschaftlich geführte Wirtschaftsakademie Schleswig-Holstein (WAK) ihre Fanpage bei Facebook wegen datenschutzrechtlicher Verstöße schließen sollte.
Rechtliche Frage zur Verantwortung
Vor dem EuGH wird ein folgenschweres Urteil zum Datenschutz und Fanpage-Betreibern erwartet
Logo: facebook, Grafik: Tomasz Trojanowski - fotolia.com, Montage: teltarif.de
Nach etlichen Verhandlungen an deutschen Gerichten hatte das Bundesverwaltungsgericht den Fall schließlich am 25. Februar 2016 an den EuGH weitergereicht, zusammen mit sechs Grundsatzfragen zu dem Sachverhalt, da der Fall nicht nur deutsche Unternehmen betrifft. Denn eines der zentralen Themen in diesem Verfahren ist die Frage nach der Verantwortung von Unternehmen, wenn diese für ihre eigenen Zwecke Dienstleister wie soziale Netzwerke verwenden und wie die Zuständigkeiten der Datenschutzbehörden ausfallen, wenn diese grenzüberschreitend agieren müssen.
Nun liegen wie erwähnt die Schlussanträge des Generalanwalts Bot vor. Seiner Ansicht nach gilt die Mitverantwortung auch dann, wenn der jeweilige Fanpage-Betreiber keinen Zugang zu den von Facebook und anderen sozialen Netzwerken erhobenen Daten hat, die mittels Cookie erhoben und ausgewertet werden. Facebook stellt schließlich unter anderem das Analyse-Werkzeug Facebook Insights zur Verfügung, womit Fanpage-Betreiber anonymisierte und aufbereitete Daten über die Besucher der Fanpage nach verschiedenen Kriterien einsehen können.
Mit Verwendung der Insight Tools und den Zugriff auf diese Statistiken nimmt ein Fanpage-Betreiber aktiv an der Verarbeitung der Daten teil, was wiederum die Datenverarbeitung an sich überhaupt erst in Gang bringt - was wiederum Facebook die Erlaubnis einbringt, diese Daten zu verwenden. Gewissermaßen ein kleiner Teufelskreis.
Komplexe Rechtsauffassung
Womöglich ist es dieser Punkt, welchen Generalanwalt Yves Bot als Knackpunkt für die Mitverantwortung sieht. Immerhin habe der Betreiber aus freien Stücken die Vertragsbedingungen von Facebook zur Datenerhebung und -verarbeitung angenommen, so Bot. Nur weil er keinen direkten Zugang zu diesen Daten habe, würde ihn das nicht von seinen datenschutzrechtlichen Pflichten befreien.
Laut Yves Bot hat der Betreiber einer Fanpage bestimmenden Einfluss auf Facebook und jederzeit die Macht, die Sammlung und Verarbeitung der Daten zu beenden, auch wenn dies eine Schließung der Fanpage beinhaltet. Der Generalanwalt sieht de facto keinen Unterschied zwischen Fanpage-Betreibern und Website-Betreibern. Letzterer integriert für gewöhnlich Webtracking-Dienstleister, deren Setzen von Cookies zum Tracken der Website-Besucher ebenfalls die Datenerhebung zugunsten des Dienstleisters unterstützt. Genau so verhält es sich nach Ansicht des Generalanwalts eben auch mit Fanpage-Betreibern.
Nicht unerwähnt bleiben sollte zudem, dass Yves Bot das ULD grundsätzlich darin bestätigte, nationales Recht in dieser Sachlage anzuwenden. Die Behörde sei nicht verpflichtet gewesen, die Datenschutzaufsichtsbehörde des EU-Mitgliedstaates mit einzubeziehen, in welcher Facebook seinen europäischen Sitz hat, was Irland gewesen wäre.
Noch nicht das Ende des Verfahrens
Auch wenn die Schlussanträge des Generalanwalts Yves Bot eine gewisse Klarheit verschaffen, ist das Urteil des EuGH in dem Fall noch nicht gefällt worden. Gebunden ist das Gericht ebenfalls nicht an die Schlussanträge des Generalanwalts, hat sich aber in der Vergangenheit bereits öfters in wesentlichen Zügen an seinen Empfehlungen orientiert und diese übernommen.
Zumal sich, sofern das Gericht den Schlussanträgen folgt, die Frage stellt, wie das Urteil in der Praxis umgesetzt werden soll. Immerhin müssten Fanpage-Betreiber ihrer Informationspflicht nachkommen und Besucher im Vorfeld darüber in Kenntnis setzen, dass Daten gesammelt und ausgewertet werden. Jedoch ist die inhaltlich korrekte Wiedergabe für den Großteil der Fanpage-Betreiber enorm schwer umzusetzen, ganz einfach weil das Wissen welche Daten überhaupt erhoben werden, nicht vorhanden ist. Ganz zu schweigen von den klar ersichtlichen sowie verständlichen Hinweisen auf der Website des Betreibers sowie auf der Fanpage, dass Daten erhoben und verarbeitet werden.
Insofern könnte das finale Urteil durchaus so aussehen, dass Betreiber von Fanpages sehr wohl in der Verantwortung stehen, was mit den gesammelten Daten der Nutzer passiert. Ob dies nur für Facebook gilt oder andere soziale Medien, wird sich bei dem finalen Urteil und dessen Urteilsbegründung zeigen.
Lesen Sie in einer weiteren Meldung, warum Facebook die Daten von deutschen WhatsApp-Nutzern nicht weitergeben darf.