Brisante EuGH-Entscheidung zu Facebook-Fanseite
Wir erklären, was Sie tun müssen
Fanpages sind Benutzerkonten, die bei Facebook von Privatpersonen oder Unternehmen eingerichtet werden können. Der Fanpage-Anbieter kann nach einer Registrierung bei Facebook die von diesem unterhaltene Plattform dazu benutzen, sich den Nutzern dieses sozialen Netzwerks sowie Personen, die die Fanpage besuchen, zu präsentieren und Äußerungen aller Art in den Medien- und Meinungsmarkt einzubringen.
Die EuGH-Entscheidung gilt ausschließlich für solche Fanpages. Sie ist nicht ohne Weiteres für andere Angebote auf Facebook anzuwenden. Die meisten Facebook Profile widmen sich hingegen ausschließlich dem Austausch privater Fotos und Geschichten oder leben von allgemeinen Diskussionen, Posts mit Spaßbildern und dergleichen.
Diese sind von der EuGH-Entscheidung nicht betroffen.
2. Worauf müssen Fanseiten-Betreiber achten?
In zahlreichen Internetforen findet sich die Empfehlung, Fanseiten sicherheitshalber zu schließen. Das wäre jedoch weit überzogen. In dem EuGH-Urteil steht nichts dergleichen. Tatsächlich ist noch nicht einmal die Facebookseite der beteiligten Betreiberin geschlossen.
Der EuGH hat letztlich nur die Fragen beantwortet, die ihm das Bundesverwaltungsgericht im Rahmen eines sog. Vorlageverfahrens gestellt hat. Nach der Rechtmäßigkeit von Fanpages hatte das Bundesverwaltungsgericht jedoch nicht gefragt.
Fanseiten sollten allerdings auf jeden Fall mit eigenen Datenschutzhinweisen nach Art. 12, 13 DSGVO ausgestattet werden. Nach überwiegender Auffassung reicht dabei ein Link auf eine externe Datenschutzseite beispielsweise der Internetpräsenz Ihres Unternehmens. Dieser Link kann bei Facebook unter dem Begriff "Datenrichtlinie" untergebracht werden. Das geht ganz einfach, indem man das Info-Menü auf seiner Seite aufruft und von dort den Link "Datenrichtlinie" anklickt: Dort kann man dann seine Datenschutzhinweise verlinken, die auf der eigenen Webseite vorhanden ist. Diese muss natürlich um die für Facebook relevanten Teile ergänzt werden.
Nicht ausreichend ist, sich auf die Facebooks Datenschutzhinweise zu verlassen.
3. Was gehört in die Datenschutzhinweise?
Die Betreiber von Fanpages können mit Hilfe der Funktion Facebook Insight, die ihnen Facebook (zwingend) zur Verfügung stellt, anonymisierte statistische Daten über die Nutzer dieser Seiten abrufen. Diese Daten werden mit Hilfe sogenannter Cookies gesammelt, die jeweils einen eindeutigen Benutzercode enthalten, der für zwei Jahre aktiv ist und den Facebook auf der Festplatte des Computers oder einem anderen Datenträger der Besucher der Fanpage speichert.
Der Benutzercode, der mit den Anmeldungsdaten solcher Nutzer, die bei Facebook registriert sind, verknüpft werden kann, wird beim Aufrufen der Fanpages erhoben und verarbeitet. Insoweit geht aus der Entscheidung hervor, dass weder die Beklagte noch die Facebook Ireland Ltd auf die Tatsache der Speicherung und die Funktionsweise dieses Cookies oder die nachfolgende Datenverarbeitung hingewiesen hatten.
Dieses Risiko sollten Sie vermeiden, indem Sie entsprechende Ausführungen in Ihre Datenschutzhinweise aufnehmen. In diesen Informationen wird man zumindest vorerst noch weitgehend auf die Facebook-Policies verweisen können. Andere Informationen liegen uns als Facebook-Nutzer bisher auch gar nicht vor.
Ob es zu einem späteren Zeitpunkt weitere Hinweispflichten gibt, wird man erst sagen können, wenn die deutschen Verwaltungsgerichte den Fall abschließend entschieden haben oder Facebook (womit kaum zu rechnen ist) den genauen Umfang der Datenverarbeitung offen legt.
4. Haften Sie für Datenschutzverstöße von Facebook?
Klare Antwort: Ja, aber.....
Die entscheidende Frage ist, ob es eine Mithaftung für etwaige Datenschutzverstöße von Facebook für den Seitenbetreiber gibt. Diese Frage erfordert leider etwas Differenzierung und lässt sich in den meisten Foren leider nicht hinreichend plakativ darstellen. Deshalb wird verallgemeinernd viel Panikmache betrieben.
Klar ist, dass im Gesetzgebungsverfahren für die DSGVO bei der Beratung von Art. 26 DSGVO zunächst vorgesehene Regelung über die Begründung einer gesamtschuldnerischen Haftung letztlich nicht verabschiedet wurde. Dies ist ein Indiz, welches zunächst einmal gegen eine gesamtschuldnerische Haftung spricht.
Es gibt dafür aber auch eine Haftungsnorm in Art. 82 DSGVO. Aus dieser kann man ableiten, dass gemeinsam Verantwortliche grundsätzlich gesamtschuldnerisch haften. Wenn der Fanpagebetreiber tatsächlich wegen einer rechtswidrigen Datenverarbeitung von Facebook in Anspruch genommen würde, könnte er deshalb von Facebook über Art. 82 Abs. 5 DSGVO Ausgleich verlangen. Der EuGH stellt in dem fraglichen Urteil überdies klar, dass eine gemeinsame Verantwortung nicht zwangsläufig eine gleichwertige Verantwortlichkeit der verschiedenen Betreiber zur Folge hat. Vielmehr können, so der EuGH wörtlich, die Akteuere in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß in der Weise einbezogen sein, dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist.
Es ist also gerade nicht so, dass der Betreiber einer Fanseite umfassend für die Datenverarbeitung von Facebook verantwortlich ist. Er ist eben nur im Rahmen seiner eigenen Beteiligung an der Datenverarbeitung (mit)verantwortlich.
Es gilt also derzeit: Ruhe bewahren, Datenschutzrichtlinie hinterlegen, Datenschutzhinweise ergänzen und abwarten, welche Entwicklung sich einstellt.
Weitere Fragen beantwortet Dr. Jochen Springer, Fachanwalt für IT-Recht sowie für Urheber- und Medienrecht.
