Das EuGH-Fanpage-Urteil und die Folgen

Eine Aufsehen erregende Entscheidung des Europäischen Gerichtshofs (EuGH) hat Betreiber von Facebook Fanpages in höchstem Maße verunsichert: Sie sollen für Facebooks Datenverarbeitung mitverantwortlich sein. Aber es geht nicht nur um Fanpages: Schaut man genauer hin, kann man das Urteil auf jede Art Social-Media-Profil beziehen, das in irgendeiner Form professionell genutzt wird. Und selbst private Facebook- oder Twitter-Profile könnten darunter fallen. Wir erklären, was es mit dem Urteil auf sich hat und was vor allem Unternehmen jetzt beachten müssen.

Am Europäischen Gerichtshof (Foto: katarina_dzurekova, flickr.com. Lizenz: CC BY 2.0)

Worum es eigentlich geht

„Der Betreiber einer Facebook-Fanpage ist gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich. Die Datenschutzbehörde des Mitgliedstaats, in dem dieser Betreiber seinen Sitz hat, kann nach der Richtlinie 95/461 sowohl gegen ihn als auch gegen die in diesem Mitgliedstaat niedergelassene Tochtergesellschaft von Facebook vorgehen.“

So lautet die hochoffizielle Zusammenfassung des Urteils in der Rechtssache C-210/16. Veröffentlicht wurde sie vom Gerichtshof der Europäischen Union am 5. Juni 2018. Hier findet sich die komplette Urteilsbegründung.

Ohne Übertreibung kann man feststellen, dass diese Entscheidung die Social-Media-Welt von Agenturen, Organisationen und Unternehmen erheblich erschüttert hat. Knapp anderthalb Wochen vorher war die Datenschutz-Grundverordnung (DSGVO) in Kraft getreten, die bereits so manchem Firmeninhaber Kopfzerbrechen bereitet hatte (und teilweise immer noch bereitet). Und nun das.

download-iconÜbrigens: Sie können sich UPLOAD-Ausgaben als E-Book herunterladen. Und für Abonnenten sind diese Downloads sogar kostenlos. Jetzt mehr über das Abo erfahren...

Vorgeschichte des Urteils

Mit der viel diskutierten DSGVO hat dieses Urteil bei alldem aber tatsächlich nichts zu tun. Seine Vorgeschichte beginnt im Jahr 2011. Es bezieht sich damit also auf den nun aufgehobenen DSGVO-Vorläufer, der Richtlinie 95/46 der EU. Diese Richtlinie gab den Rahmen für nationale Datenschutzgesetze vor, wie beispielsweise dem Bundesdatenschutzgesetz in Deutschland.

Ausgangspunkt des Rechtsstreits war die Forderung des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) gegenüber der Wirtschaftsakademie Schleswig-Holstein ihre Facebook Fanpage einzustellen. Stein des Anstoßes für die ULD war die Tatsache, dass die Besucher der Fanpage nicht über das Setzen eines Cookies und die damit verbundene Datenerhebung aufgeklärt würden. Eingeloggte Facebook-Nutzer müssten dazu explizit eine Einwilligung erteilen, sagen die Datenschützer. Nicht angemeldete Internetnutzer müssten eine Widerspruchsmöglichkeit haben. Alles das aber ist nicht gegeben.

Wie man hier nebenbei bemerkt sieht: Auch vor der DSGVO gab es bereits strenge Vorschriften dazu, wie personenbezogene Daten erhoben werden dürfen und wie Nutzer darüber zu informieren sind.

Die Wirtschaftsakademie erhob Klage vor dem Verwaltungsgericht und erklärte, dass sie nichts mit der Datenverarbeitung zu tun habe, diese nicht kontrollieren oder beeinflussen könne und man Facebook auch keinen Auftrag dazu erteilt habe. Deshalb hätten sich die Datenschützer an Facebook wenden müssen und nicht an die Wirtschaftsakademie. Das Bundesverwaltungsericht wandte sich schließlich zur Klärung dieser Frage an den EuGH.

Der nun wiederum entschied auf Basis der Richtlinie 95/46, dass zwar auf jeden Fall Facebooks Muttergesellschaft in den USA sowie das Tochterunternehmen in Irland als Verantwortliche anzusehen sind. Da Fanpage-Betreiber aber von der Datenerhebung z.B. durch statistische Auswertungen („Facebook Insights“) profitieren, säßen sie im selben Boot.

In der zusammenfassenden Pressemitteilung heißt es dazu unter anderem:

„Nach Ansicht des Gerichtshofs kann der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, diesen nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien.“

Im Grunde kann man es so darstellen: Wer eine Plattform und ihre Angebote nutzt, auch wenn diese gegen geltendes Recht verstoßen, kann sich nicht damit herausreden, keinen Einfluss zu haben. Schließlich kann man in dem Fall darauf verzichten, eine solche Plattform überhaupt zu nutzen.

Wie realistisch und sinnvoll diese Sichtweise mit Blick auf Facebook ist, ist allerdings fraglich. Schließlich haben wir es hier mit einem Quasi-Monopol im Social Web zu tun. Und tatsächlich bekommt man als Betreiber einer Fanpage gar keine Option, um die fragliche Datenerhebung abzuschalten. Siehe dazu zum Beispiel die Einschätzung der Rechtsanwältin Nina Diercks in ihrem Beitrag von 2013.

Sie weist in einem aktuellen Artikel aber auch darauf hin, dass der EuGH explizit erklärt, dass nicht alle Beteiligten im gleichen Maß als verantwortlich anzusehen sind. Im Urteil heißt es dazu:

„Klarzustellen ist, dass das Bestehen einer gemeinsamen Verantwortlichkeit (…) aber nicht zwangsläufig eine gleichwertige Verantwortlichkeit der verschiedenen Akteure zur Folge hat, die von einer Verarbeitung personenbezogener Daten betroffen sind. Vielmehr können diese Akteure in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß in der Weise einbezogen sein, dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist.“

Wichtig zu verstehen ist außerdem, dass der EuGH nichts darüber gesagt hat, ob die Datenerhebung seitens Facebook zu beanstanden ist oder nicht. Es ging allein um die Frage, ob neben dem Social Network selbst auch der Inhaber einer Fanpage verantwortlich ist.

Erste Folgen und Einschätzungen

Die Konferenz der unabhängigen Datenschutzbehörden (DSK) hat das Urteil gleich am nächsten Tag lautstark begrüßt. Die „Zeit der Verantwortungslosigkeit“ sei vorbei, tönt es aus dieser Entschließung. Darin heißt es:

„Das Urteil des EuGH zur gemeinsamen Verantwortung von Facebook und den Betreibern einer Fanpage hat unmittelbare Auswirkungen auf die Seitenbetreiber. Diese können nicht mehr allein auf die datenschutzrechtliche Verantwortung von Facebook verweisen, sondern sind selbst mitverantwortlich für die Einhaltung des Datenschutzes gegenüber den Nutzenden ihrer Fanpage.“

Nach Sicht der DSK stellt sich das nun wie folgt dar:

  • „Wer eine Fanpage besucht, muss transparent und in verständlicher Form darüber informiert werden, welche Daten zu welchen Zwecken durch Facebook und die Fanpage-Betreiber verarbeitet werden“ heißt es dort. Und weiter: „Dies gilt sowohl für Personen, die bei Facebook registriert sind, als auch für nicht registrierte Besucherinnen und Besucher des Netzwerks.“ Das ist zum heutigen Stand der Dinge allerdings kaum möglich. Facebook bietet bislang nur einen Platz für einen Link auf die Datenschutzerklärung und das war es.
  • „Betreiber von Fanpages sollten sich selbst versichern, dass Facebook ihnen die Informationen zur Verfügung stellt, die zur Erfüllung der genannten Informationspflichten benötigt werden.“ Gleicht man diese Forderung mit der Realität ab, wird man allerdings schnell feststellen, dass das nicht möglich ist. Das gilt jedenfalls solange, wie Facebook sich schlichtweg weigert, detailliert Auskunft zu geben.
  • „Soweit Facebook Besucherinnen und Besucher einer Fanpage durch Erhebung personenbezogener Daten trackt, sei es durch den Einsatz von Cookies oder vergleichbarer Techniken oder durch die Speicherung der IP-Adresse, ist grundsätzlich eine Einwilligung der Nutzenden erforderlich, die die Anforderung der DSGVO erfüllt.“ Sofern diese Forderung tatsächlich Bestand haben sollte, wäre auch hier Facebook die einzige Stelle, die das umsetzen könnte.
  • „Für die Bereiche der gemeinsamen Verantwortung von Facebook und Fanpage- Betreibern ist in einer Vereinbarung festzulegen, wer von ihnen welche Verpflichtung der DSGVO erfüllt. Diese Vereinbarung muss in wesentlichen Punkten den Betroffenen zur Verfügung gestellt werden, damit diese ihre Betroffenenrechte wahrnehmen können.“ Dieser Punkt bezieht sich dabei auf den Artikel 26 der DSGVO.

Die DSK weist nachdrücklich darauf hin, dass nun „dringender Handlungsbedarf für die Betreiber von Fanpages“ bestehe. Sie sieht aber immerhin auch ein, dass die Betreiber einer solchen Page davon abhängig sind, dass „Facebook selbst an der Lösung mitwirkt und ein datenschutzkonformes Produkt anbietet, das die Rechte der Betroffenen wahrt und einen ordnungsgemäßen Betrieb in Europa ermöglicht“.

Einerseits spricht man also die Fanpage-Betreiber direkt an, erklärt aber im gleichen Atemzug auch, dass nur Facebook etwas unternehmen kann. Hier scheint mir, dass man über die betroffenen Unternehmen zusätzlichen Druck auf das Social Network ausüben will.

Nachdem sich Facebook zunächst überhaupt nicht zu dem Urteil geäußert hatte, nahm sich die Bundestagsfraktion der Grünen des Themas an: Quasi stellvertretend für andere Fanpage-Betreiber fordern sie Facebook auf, im Rahmen einer Vereinbarung die volle Verantwortung für die Datenverarbeitung zu übernehmen. Sollte Facebook nicht ausreichend darauf reagieren, wollen sie klagen.

Wenige Tage danach und mit letztlich über einer Woche Verspätung gab es dann endlich eine offizielle Stellungnahme von Facebook selbst. Darin wird versprochen:

„Wir werden die notwendigen Schritte unternehmen, um es den Seitenbetreibern zu ermöglichen, ihren rechtlichen Verpflichtungen nachzukommen. (…) Wir werden unsere Nutzungsbedingungen bzw. Richtlinien für Seiten aktualisieren, um die Verantwortlichkeiten sowohl von Facebook als auch von Seitenbetreibern klarzustellen, und damit auch die Einhaltung der rechtlichen Vorgaben für die Seitenbetreiber zu erleichtern.“

Die von den Datenschützern aus Schleswig-Holstein geforderte aktive Einwilligung sowie die Widerspruchsmöglichkeit tauchen hier allerdings nicht auf. Überhaupt scheint Facebook mir die anderthalb Wochen zwischen Urteilsverkündigung und dieser Stellungnahme vor allem genutzt zu haben, um so vage wie nur irgend möglich zu reagieren.

Wie geht es nun weiter?

Letztlich liegt der Ball nun wieder beim Bundesverwaltungsgericht. Das muss anhand des EuGH-Urteils den ursprünglichen Fall entscheiden. Ob denn Facebooks bisheriges Vorgehen bei der Datenverarbeitung tatsächlich gegen geltendes Recht verstößt und was getan werden muss, ist ebenfalls unklar. Dieses Urteil wird noch einige Monate auf sich warten lassen.

Außerdem bleibt abzuwarten, wie Facebook seine oben zitierten, vagen Versprechungen umsetzt, wann das passiert und ob die dann den Ansprüchen der deutschen und europäischen Datenschützer genügen. Da hätte ich persönlich meine Zweifel: Das Social Network bewegt sich bei diesem Themen so wenig wie nur irgend möglich. Schließlich basiert sein Geschäftsmodell auf dem Erheben und Verarbeiten von Daten.

Aber es geht nicht nur um Facebook. Auch andere Dienste und Anbieter werden das Geschehen aufmerksam verfolgen: Denn das Urteil bezieht sich zwar auf Facebook Fanpages, weil es darum im vorgelegten Fall geht. Aber was hier entschieden wird, kann genauso andernorts gelten. Im Prinzip könne man es nicht nur auf Profilseiten, sondern auch auf Social Plugins, Tracking- und Remarketing-Tools oder eingebettete Inhalte, wie z.B. YouTube-Videos beziehen, erklärt zum Beispiel Rechtsanwalt Dr. Thomas Schwenke. Rein privat genutzte Social-Media-Profile müssen sich weniger Gedanken machen, sind aber auch nicht frei von Risiko. Und wer wie ich auch privat einmal auf seine Arbeit und Angebote hinweist, ist sehr wahrscheinlich ähnlich betroffen wie ein Fanpage-Betreiber.

Bei alldem wird zwar in der Regel nicht empfohlen, alle Social-Media-Profile zu löschen oder offline zu schalten. Es wird aber auch nicht gesagt, dass man einfach zur Tagesordnung übergehen könnte. Laut Dr. Thomas Schwenke sollte man mindestens dafür sorgen, dass der entsprechende Passus in der eigenen Datenschutzerklärung erweitert wird. Und dann sollte außerdem sichergestellt sein, dass die von den eigenen Profilseiten aus verlinkt ist. Auf diese Weise kommt man zumindest so gut es geht den Informationspflichten nach. An der Datenverarbeitung selbst ändert sich dadurch natürlich nichts und man kann darüber auch nicht von der eigenen Verantwortung freisprechen.

Wie fast immer im Netz setzt man sich letztlich dem Risiko einer Abmahnung aus. Konkurrierende Unternehmen, Organisationen wie eine Verbraucherzentrale oder auch betroffene Nutzer könnten hier auftreten. Die Kosten dafür schätzt Rechtsanwalt Schwenke auf etwa 5.000 Euro. Er geht allerdings davon aus, dass alle Beteiligten die entsprechenden Urteile in den konkreten Fällen abwarten.

Bleiben Sie auf dem Laufenden!

Wenn Sie Artikel wie diesen nicht verpassen wollen, bestellen Sie unseren wöchentlichen Newsletter. Wir haben jede Woche einen neuen, ausführlichen und nützlichen Beitrag für Sie, geschrieben von Fachjournalisten und Experten. Themen: E-Business, Online-Marketing, Social Media und mehr. Mit uns bleiben Sie auf dem Laufenden und lernen jedes Mal etwas Neues hinzu. Über 1.900 Empfänger nutzen bereits diesen kostenlosen Service!

Weitere Informationen zu den Inhalten und zum Datenschutz finden Sie auf dieser Seite.

Fazit

Dr. Thomas Schwenke fasst meine Gedanken zu alldem gut zusammen:

„Die Entscheidung ist rechtlich aus der Sicht des Datenschutzes nachvollziehbar. Aus der Sicht von Privatpersonen oder Unternehmen, die Facebook vor allem wirtschaftlich nutzen, ist sie katastrophal. Denn der Kampf um den Schutz der personenbezogenen Daten zwischen Facebook und der EU wird damit auf ihrem Rücken ausgetragen.“

2011 war es für die Datenschützer aus Schleswig-Holstein der einzig gangbar scheinende Weg, gegen Facebook vorzugehen, indem sie stellvertretend die Fanpage-Betreiber angreifen. Inzwischen hat sich diese Lage aber verändert. So hat bspw. der EuGH 2014 entschieden, dass eine spanische Google-Außenstelle auch dann für die generelle Datenverarbeitung des Unternehmens mitverantwortlich ist, wenn vor Ort gar keine Daten verarbeitet werden. Diese erweiterten Möglichkeiten der Datenschützer hat der EuGH auch in der aktuellen Entscheidung noch einmal betont.

Und mit der DSGVO wurde generell das „Marktortprinzip“ eingeführt: Demnach zählt, wo die Betroffenen sind und es spielt keine Rolle, wo das Unternehmen seinen Firmensitz hat. Wer personenbezogene Daten von EU-Bürgern erhebt, muss das nach EU-Datenschutzrecht tun.

Insofern haben die deutschen und europäischen Datenschützer jetzt eigentlich alle Mittel zur Hand, um direkt gegen Facebook vorzugehen. Ganz so leicht wollen sie die Fanpage-Betreiber aber nicht aus der Verantwortung lassen, wie die oben zitierte Mitteilung der Datenschutzkonferenz gezeigt hat.


Dieser Artikel gehört zu: UPLOAD Magazin 60

Das Thema Customer Experience ist so wichtig wie vielseitig und unübersichtlich. In dieser Ausgabe erklären wir Ihnen nicht nur, was hinter dem Begriff steckt, sondern auch, was Sie konkret ableiten können. Wir zeigen, was Kunden laut einer aktuellen Studie begeistert und was sie abschreckt. Wir schauen uns an, wie Customer Experience im B2B-Umfeld aussieht. Und wir erklären, warum gutes Customer Experience Design bei den eigenen Mitarbeitern beginnt. Außerdem in dieser Ausgabe: Wir erklären die Folgen aus dem Urteil des Europäischen Gerichtshofs zu Facebook Fanpages und werfen einen Blick auf Influencer-Relations für B2B.

Jan Tißler ist auch bekannt als jati. Er arbeitet seit über 20 Jahren als Journalist, die meiste Zeit davon digital. 2006 hat er das UPLOAD Magazin aus der Taufe gehoben. Er ist fasziniert von den Freiheiten des digitalen Publizierens und erklärt gern, wie Unternehmen, Organisationen oder auch Selbstständige mit ihren Botschaften im Netz gehört werden. Immer mit einem Bein fest in der Zukunft. Der gebürtige Hamburger lebt inzwischen in Santa Fe, New Mexico.

Mini-Umfrage: Ihr Feedback zählt!

 

Schreiben Sie einen Kommentar