Ausgangspunkt für Datenschutz bei Facebook Fanseiten
Ein geschäftlicher Facebook-Auftritt ist in der heutigen Zeit vielmehr die Regel als die Ausnahme. Gleiches gilt auch für weitere Social-Media-Kanäle wie z.B. Instagram. Eine sog. Fanpage ist bei Facebook kostenfrei und in wenigen Handgriffen angelegt. Zudem besitzt die Fanpage eine enorme Reichweite. Der Fanpage-Betreiber erhält durch die Funktion „Facebook Insight“ anonymisierte statistische Daten zu den Nutzern der Fanpage. Vor allem handelt es sich dabei um demografische Daten, die es dem Fanpage-Betreiber u.a. ermöglichen, durch die Kenntnis der Besucherprofile seine Vermarktungstätigkeit zu steuern. Die Funktion „Facebook Insight“ stellt Facebook kostenfrei zur Verfügung, ohne dass jedoch die Möglichkeit besteht, auf diese Funktion zu verzichten. Die dem Betreiber der Fanpage übermittelten Daten erfasst Facebook mit Hilfe von Cookies, die einen Benutzercode erhalten. Dieser ist für zwei Jahre aktiv und wird auf dem Datenträger eines Besuchers der Fanpage gespeichert. Der Benutzercode wird beim Aufrufen der Fanpage erhoben und verarbeitet.
Der EuGH hatte nun am 5. Juni 2018 zu entscheiden, ob der Fanpage-Betreiber für die Datenverarbeitung, die Facebook durchführt, mitverantwortlich ist.
Verfahrensgang
Im Jahr 2011 untersagte das Unabhängige Landeszentrum Schleswig-Holstein u.a. der Wirtschaftsakademie Schleswig-Holstein GmbH das Betreiben einer Facebook-Fanpage. Die Wirtschaftsakademie erhob daraufhin gegen die Untersagungsverfügung Klage und hatte in der ersten und der zweiten Instanz Erfolg. Das Bundesverwaltungsgericht legte dem EuGH im Rahmen eines Vorabentscheidungsverfahren einige Fragen vor.
Entscheidung des EuGH
Der EuGH hat die für die Praxis sehr bedeutende Entscheidung getroffen, dass der Begriff des „für die Verarbeitung Verantwortlichen“ aus der Datenschutzrichtlinie (Richtlinie 95/46/EG) dahingehend auszulegen ist, dass der Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage als (Mit-)Verantwortlicher anzusehen ist. Inhaltlich begründet der EuGH diese Entscheidung vor allem damit, dass der Fanpage-Betreiber zur Verarbeitung personenbezogener Daten beiträgt, da die Einrichtung der Fanpage erst die Möglichkeit schafft, dass das soziale Netzwerk Cookies auf dem Computer oder Datenträger des Besuchers der Fanpage platziert. Dieser Vorgang wird auch ausgelöst, ohne dass der Besucher der Fanpage über ein Benutzerkonto im sozialen Netzwerk verfügt.
Bedeutung und Ausblick für die Praxis
Das Urteil des EuGH ist noch zur Rechtslage nach der Datenschutzrichtlinie ergangen. Die Datenschutzrichtlinie ist nach Art. 94 der EU-Datenschutz-Grundverordnung (im Folgenden: DSGVO) mit Wirkung zum 25. Mai 2018 aufgehoben worden. Dieser Umstand führt gleichwohl nicht dazu, dass das Urteil des EuGH ohne Bedeutung für die Rechtslage gemäß der DSGVO ist. Die Definition des „für die Verarbeitung Verantwortlichen“ nach der Datenschutzrichtlinie (Art. 2 lit. d) stimmt – mit Ausnahme von Nuancen in den Formulierungen – mit der Definition des „Verantwortlichen“ nach Art. 4 Nr. 7 DSGVO überein. Vor diesem Hintergrund sprechen sehr gute Argumente dafür, dass die Entscheidung des EuGH auch auf die Rechtslage nach Inkrafttreten der DSGVO übertragbar ist und damit der Fanpage-Betreiber auch nach der DSGVO als (Mit-)Verantwortlicher für die Datenverarbeitung anzusehen ist.
Um das Risiko einer Abmahnung für eine fehlende oder falsche Datenschutzerklärung zu verringern, ist die wesentliche praktische Folge aus dem EuGH-Urteil, dass der Betrieb einer Fanpage nur mit einer eigenen Datenschutzerklärung möglich ist, in der der Fanpage-Betreiber darüber aufklärt, wie bei der Nutzung der Fanpage die Datenverarbeitung seitens des sozialen Netzwerks wie z.B. Facebook erfolgt. Dazu wird der Fanpage-Betreiber ohne Unterstützung des sozialen Netzwerks jedoch kaum in der Lage sein.
In diesem Sinn ist z.B. auch die Pressemitteilung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, die noch am 5. Juni 2018 veröffentlicht wurde, zu lesen, in der es auszugsweise heißt:
„Betreiber von Facebook-Fanpage müssen erkennen, dass sie rechtlich mit Facebook in einem Boot sitzen und sich damit ihrer datenschutzrechtlichen Verantwortung nicht weiter entziehen können.“
Ohne eine entsprechende Datenschutzerklärung, die auch darüber informiert, wie bei der Nutzung der Fanpage die Datenverarbeitung seitens des sozialen Netzwerks erfolgt, kann die Fanpage zur Vermeidung von rechtlichen Unsicherheiten eigentlich nur ruhend gestellt werden, was für den Marktauftritt und die Reichweite des Unternehmens abträglich ist. Vor allem auch aus diesem Grund besteht ein erheblicher Handlungsbedarf zur DSGVO-konformen Gestaltung der Fanpage.
Sollten Sie zur DSGVO-konformen Gestaltung Ihrer Fanpage oder zu einem anderen Thema aus dem Bereich des Datenschutzrechts Fragen haben, wenden Sie sich gerne vertrauensvoll an die Ansprechpartner aus unserer Kanzlei.
