Aktuelles aus Recht und Jusitz

EuGH-Urteil zum Datenschutz auf Facebook-Fanpages: Was Sie jetzt wirklich tun müssen

Für Datenschutzverstoße auf Facebook soll künftig nicht nur das soziale Netzwerk selbst haften, sondern auch die Betreiber von Fanpages.

Für Datenschutzverstöße auf Facebook soll künftig nicht nur das soziale Netzwerk selbst haften, sondern auch die Betreiber von Fanpages. Das entschied der Europäische Gerichtshof (Az. C-210/16). Nun ist die Verunsicherung groß, Unternehmen und Privatperson deaktivieren oder löschen Ihre Fanpages, um sich abzusichern. Doch was ist Vorsicht und was Panikmache? Wir erklären Ihnen, wie hoch das Risiko wirklich ist und wie Sie als Fanpage-Betreiber jetzt richtig reagieren.

Das Urteil

Facebook erhebt bei jedem Besuch personenbezogene Daten von den Nutzern. Über Cookies auf dem Rechner des Nutzers kann Facebook Rückschlüsse über das Nutzerverhalten ziehen und stellt die Ergebnisse anonymisiert auch den Betreibern von Fanpages zur Verfügung. Und genau dieser Punkt begründet eine Mithaftung der Fanpage-Betreiber, argumentiert der Europäische Gerichtshof (EuGH). Weil sie die Daten bekommen und nutzen können, um zum Beispiel ihr Marketing besser abzustimmen, tragen sie eine Mitverantwortung für die Datenerhebung und -verarbeitung. Wie genau diese Mitverantwortung ausfällt und ob beziehungsweise wie Sie als Seitenbetreiber wirklich in Haftung genommen werden können, hat der EuGH aber offen gelassen. Das muss jetzt das Bundesverwaltungsgericht in Leipzig klären, denn das hatte den EuGH um seine Einschätzung zu dieser Frage gebeten.

Der Hintergrund

Vor dem Bundesverwaltungsgericht ging es 2011 um einen Konflikt zwischen einer Wirtschaftsakademie und der Landesdatenschutzbehörde Schleswig-Holstein. Die Behörde hatte das Unternehmen aufgefordert, seine Facebook-Fanpage zu löschen. Das Argument der Datenschützer: Als Seitenbetreiber erhebe und nutze das Unternehmen personenbezogene Daten seiner Nutzer, ohne deren explizite Einwilligung eingeholt zu haben oder sie auch nur separat darauf hinzuweisen. Das sei ein Verstoß gegen geltenden Datenschutz. Zur Erinnerung: Das war 2011, also lange vor Einführung der Europäischen Datenschutzgrundverordnung (DSGVO).

Die Akademie argumentierte im Gegenzug, dass sie für eine solche Klage der falsche Adressat sei. Die Daten würden von Facebook erhoben und zwar ohne, dass sie als Seitenbetreiber Einfluss darauf nehmen oder die Datenverarbeitung untersagen könnten. Deshalb müssten die Datenschützer sich an Facebook wenden. Das war 2011 aber für deutsche Behörden nicht möglich, weil sich die Europazentrale Facebooks in Irland befindet und entsprechend irische Datenschutzbehörden für Verstöße zuständig gewesen wären.

Der Streit ging durch die Instanzen, bis das Bundesverwaltungsgericht schließlich den EuGH anrief. Der Grund: Auch vor Einführung der DSGVO lag dem deutschen Datenschutzrecht schon eine europäische Datenschutzverordnung zugrunde und die deutschen Richter wollten wissen, wie die in dem Punkt auszulegen ist, um den es in der Klage ging.

 

Die Folgen

Das Wichtigste zuerst: Es gibt aktuell keinen Grund, überhastet alle Facebook-Fanpages zu deaktivieren, denn:

1. Der EuGH hat lediglich entschieden, dass der Seitenbetreiber eine Mitverantwortung für die Einhaltung des Datenschutzes hat. Er hat aber nicht ausgeführt, wie die genau aussieht und wie sich die Haftung zwischen Facebook und den einzelnen Seitenbetreibern aufteilt.

2. Diese Detailfragen muss jetzt das Bundesverwaltungsgericht in Deutschland klären. Da der zugrunde liegende Fall bereits so alt ist und sich gerade in Sachen Datenschutz in der Zwischenzeit viel geändert hat, ist aber im Moment völlig offen wie das Urteil am Ende ausfällt.
Nicht nur die DSGVO kann und wird die Urteilsfindung beeinflussen – und vielleicht zu einem anderen Ergebnis führen, als das 2011 der Fall gewesen wäre. Auch ein anderes Urteil des EuGH dürfte für die Entscheidung der Leipziger Richter relevant sein.

Im Jahr 2014 ging es vor dem EuGH nämlich schon einmal um die Erhebung und Verarbeitung personenbezogener Daten durch einen Internetkonzern. Damals stand zwar nicht Facebook, sondern Google, im Fokus, doch Experten gehen davon aus, dass sowohl das aktuelle wie das Urteil aus 2014 übertragbar sind. Die juristische Frage, die 2014 verhandelt wurde, lautete: Ist die spanische Google-Niederlassung verantwortlich im datenschutzrechtlichen Sinne, auch wenn sie selbst die Daten nicht erhebt, sondern nur die Ergebnisse aus dieser Erhebung nutzt? In Spanien war die Niederlassung nur für das nationale Anzeigengeschäft zuständig, nutzte dafür aber personenbezogene Daten, die der Mutterkonzern sammelte. Damals entschied der EuGH gegen Google und erklärte, auch die spanische Niederlassung des Konzerns könne in Haftung genommen werden, wenn die Erhebung und Verarbeitung personenbezogener Daten nicht rechtmäßig erfolge (Az. C 131/12).

Dieses Urteil auf Facebook übertragen, könnte bedeuten, dass deutsche Datenschützer nun direkt gegen Facebook vorgehen könnten und den „Umweg“ über die Fanpage-Betreiber nicht mehr bräuchten, um den Internetriesen zur Einhaltung von Datenschutzstandards zu zwingen. Doch das ist nur eine mögliche Interpretation der Rechtslage. Ebenso gut könnten die Leipziger Richter im Ergebnis entscheiden, dass Seitenbetreiber mit haften, weil sie – wenn sie eine Fanpage einrichten – die AGB und damit auch die Cookie-Richtlinien Facebooks akzeptieren. Unter Umständen könnte das als aktive Zustimmung zu den Datenschutzverstößen gewertet werden. Als Seitenbetreiber müssen Sie aktuell also nicht handeln, sollten den Fortgang des Falls aber aufmerksam beobachten, um schnell reagieren zu können, wenn das finale Urteil gefällt wird.

 

Praxistipps

Keine Panik! Das EuGH-Urteil kann für Fanpage-Betreiber zukünftig zwar problematisch werden, ist es aber aktuell noch nicht.

Informieren Sie sich über den Fortgang des Verfahrens. Das Bundesverwaltungsgericht muss über den ursprünglichen Fall erst noch entscheiden. Unter Umständen sind dafür ausführliche Prüfungen notwendig, was bedeutet, dass sich das Verfahren noch eine ganze Weile hinziehen kann. Sorgen Sie dafür, dass Sie informiert bleiben und schnell reagieren können, wenn sich die Rechtslage ändert. 

Beobachten Sie Ihr Facebook-Seiteneinstellungen. Auch Facebook dürfte wenig Interesse daran haben, mit einem Schlag jede Menge deutsche Fanpage-Betreiber zu verlieren. Das würde aber passieren, wenn die Richter in Deutschland das EuGH-Urteil streng auslegen. Deshalb kann es gut sein, dass Facebook vorsorgt und noch vor dem finalen Urteil neue Funktionen zur Verfügung stellt. Das könnte die Möglichkeit sein, eine Datenschutzerklärung auf der Fanpage zu veröffentlichen (ähnlich dem aktuellen Impressum-Tab) oder sogar einzelne Funktionen der Datenerhebung zu deaktivieren. Auch eine kostenpflichtige Fanpage-Variante, die dann auf das Erheben personenbezogener Daten ganz verzichtet, wäre denkbar. Behalten Sie die Seiteneinstellungen in den nächsten Wochen und Monaten also gut im Blick und nutzen Sie neue Möglichkeiten für mehr Rechtssicherheit zu sorgen, wenn sie Sie erhalten.

Deaktivieren Sie die Fanpage, statt sie gleich zu löschen. Wenn Ihnen das alles zu unsicher ist, können Sie die Fanpage auch vorübergehend deaktivieren. Diese Funktion finden Sie in den Facebook-Seiteneinstellungen. Die Inhalte und vor allem Ihre Fans bleiben auf diese Weise erhalten, die Seite wird nur für den Zeitraum der Deaktivierung unsichtbar geschaltet. Herrscht wieder Rechtssicherheit, können Sie sie einfach mit dem aktuellen Status quo wieder online stellen. Löschen Sie Ihre Fanpage jetzt aus Angst vor den Konsequenzen des Urteils, geht das nicht. Gelöscht ist gelöscht – auch wenn das bei Facebook eine ganze Weile dauert. Wiederherstellen lassen sich dann weder die Seite noch die Inhalte, noch können Sie Ihre Fans auf eine neue Seite übertragen.

Sie möchten Ihren Auftritt in den sozialen Netzwerken individuell prüfen lassen, um auf Nummer sicher zu gehen, dass Sie keine Rechtsverstöße begehen? Dann beauftragen Sie damit gern einen der selbstständigen Kooperationsanwälte der Deutschen Anwaltshotline. In der kostengünstigen Telefon- oder E-Mail-Beratung lassen sich die drängendsten Fragen schnell und zeitlich unabhängig klären.

 

Homeoffice für Anwälte

Werden Sie Kooperationsanwalt der Deutschen Anwaltshotline AG:

  • Krisensicherer Umsatz
  • Rechtsberatung per Telefon
  • Homeoffice

Datenschutzrecht: Persönliche Rechtsberatung vom Anwalt

  • Einfach und verständlich
  • Ohne Termin
  • Rechtssicher
*1,99€/Min inkl. USt. aus dem Festnetz. Höhere Kosten aus dem Mobilfunk.