Auf einen Blick:
Facebook ist nicht mehr allein für die Verarbeitung personenbezogener Daten verantwortlich, entschied der EuGH.
Folgen noch nicht absehbar: Momentan gibt es keine konkreten Handlungsempfehlungen für Seitenbetreiber.
Facebook selbst hat noch nicht auf das Urteil reagiert. Und vom Europäischen Gerichtshof geht das Verfahren nun zurück an das Bundesverwaltungsgericht. Dort steht ein Urteil über inhaltliche Verstöße von Fanseiten gegen den Datenschutz aus.
Die Verunsicherung bei Betrieben in Sachen Datenschutz-Grundverordnung (DSGVO) ist hoch. Genau in diese Zeit fällt auch das Urteil des Europäischen Gerichtshofs (EuGH), das die Datenschutz-Verantwortung für Fanpages betrifft.
Fest steht nun: Facebook und Seitenbetreiber sind gemeinsam verantwortlich für die Verarbeitung personenbezogener Daten ihrer Seitennutzer.
Der Fall: Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein ordnete 2011 gegenüber der Wirtschaftsakademie des gleichen Bundeslandes an, ihre Facebook-Fanpage zu deaktivieren. Die Begründung: Weder die Wirtschaftsakademie noch Facebook selbst hätten die Nutzer der Seite darauf hingewiesen, dass Facebook mittels Cookies personenbezogene Daten der User erhebe und diese danach verarbeite.
Gegen diese Verordnung wehrte sich die Wirtschaftsakademie und legte Klage beim Bundesverwaltungsgericht ein. Das Landeszentrum für Datenschutz hätte gegen Facebook und nicht gegen die Akademie vorgehen müssen, lautete der Einwand.
Das Bundesverwaltungsgericht ersuchte den Europäischen Gerichtshof, die Sache zu klären. Den Vorlagefragen entsprechend, hatte der EuGH aber lediglich auf die datenschutzrechtliche Verantwortlichkeit einzugehen. Offen bleibt die Frage, ob Facebook-Fanseiten inhaltlich den geltenden Datenschutzbestimmungen entsprechen.
Seitenbetreiber teilen sich Datenschutz-Verantwortung mit Facebook
Das Urteil: Die Richter des EuGH befanden, dass Facebook ebenso wie die Betreiber einer Fanseite für die Verarbeitung der personenbezogenen Daten der Facebook-Nutzer und der Personen, die die auf Facebook unterhaltenen Fanpages besucht haben, verantwortlich sind.
Die Begründung der Richter: Seitenbetreiber könnten über Ausmaß und Mittel der Verarbeitung der personenbezogenen Daten selbst entscheiden und seien aktiv daran beteiligt. So könnten Betreiber beispielsweise demografische und geografische Daten seiner Nutzer erlangen und diese gezielt zu Werbezwecken einsetzen.
Wie ist die Entscheidung einzuordnen?
„Das Urteil erging zwar auf der Grundlage der Vorgaben der alten europäischen Datenschutzrichtlinie“, sagt Timo Lange, Justiziar bei der Schlüterschen Verlagsgesellschaft in Hannover. „Die durch den EuGH entschiedene „gemeinsame Verantwortlichkeit“ finde sich aber auch in der neuen Datenschutz-Grundverordnung. Deshalb bleibe das Thema auch nach aktuellem Datenschutzrecht spannend.
Welche Folgen sich für Seitenbetreiber aus dem Urteil ergeben, sei bislang hauptsächlich aus zwei Gründen schwer absehbar, betont Lange:
Facebook könnte Schritte unternehmen, die es Seitenbetreibern ermöglichen, ihren rechtlichen Pflichten nachzukommen. Angekündigt hat Facebook das bereits in Reaktion auf dieses Urteil des EuGH. Ob und inwieweit diese Schritte allerdings tatsächlich Rechtssicherheit schaffen werden, lässt sich bisher nicht sagen.
Der Fall geht jetzt erst einmal zurück an das Bundesverwaltungsgericht. Dieses wird darüber entscheiden müssen: Sind Facebook-Fanseiten inhaltlich datenschutzkonform? Und wenn nicht: In welchem Maße können die Beteiligten im Rahmen der „gemeinsamen Verantwortlichkeit“ zur Rechenschaft gezogen werden? Bis das Urteil fällt, könnten aber noch Monate vergehen.
Wie sollen sich Seitenbetreiber nach dem Urteil verhalten?
Konkrete Tipps kann der IT-Rechtler aufgrund der unklaren Verhältnisse schwer geben.
Da es bislang keine Möglichkeit gibt, Seiten mit ausreichenden Datenschutzhinweisen zu versehen, sei ein gangbarer Weg für die Betreiber von Fanpages, neben einem Impressum auch Datenschutzinformationen bereitzuhalten. In diesen könnte allerdings weitgehend nur auf die Facebook-Policies verwiesen werden.
Lange hält es auch für vertretbar, nicht vorschnell zu handeln. Viele Seitenbetreiber warteten erst einmal ab, wie Facebook jetzt handelt und wie das Bundesverwaltungsgericht entscheidet. Auch andere IT-Rechtsexperten, wie beispielsweise Stephan Hansen-Oest, warnen vor Panikmache in dieser Sache.
Wer jedoch zu 100 Prozent auf Nummer sicher gehen will, könne seine Facebook-Fanpage vorerst abschalten und abwarten, was die Zukunft in Sachen Facebook und Datenschutz bringt.
Auch interessant: [embed]https://www.handwerk.com/dsgvo-die-groessten-abmahnfallen-fuer-handwerksbetriebe[/embed]