Der Europäische Gerichtshof in Luxemburg (EuGH) hat am 5. Juni 2018 ein für den Datenschutz in der Europäischen Union einschneidendes Urteil gefällt, das die Nutzung sozialer Netzwerke signifikant verändern könnte. Auch wenn dieses die Datenschutzrichtlinie aus dem Jahr 1995 zum Gegenstand hatte, ist es inhaltlich ohne weiteres auf die Regelungen der DSGVO übertragbar. Auf Vorlage des Bundesverwaltungsgerichts haben die Richter entschieden, dass bereits das Anlegen einer Facebook-Fanpage eine datenschutzrechtliche Verantwortlichkeit des Fanpage-Betreibers begründet. Diesen können daher grundsätzlich sämtliche in der DSGVO normierte Pflichten treffen. Die betroffenen Personen und Datenschutzbehörden müssen sich mit der Geltendmachung datenschutzrechtlicher Ansprüche nun nicht mehr zwangsläufig an Facebook selbst wenden, sondern können direkt gegen den jeweiligen Fanpage-Betreiber vorgehen. Ihm könnten somit mittelfristig u. a. Untersagungen, Abmahnungen und Bußgelder drohen. Die Reichweite dieser Entscheidung ist enorm. Sie beschränkt sich nicht nur auf die Nutzung von Facebook, sondern hat Auswirkungen auf sämtliche sozialen Netzwerke und Online-Dienste. Im Folgenden informieren wir Sie über die Einzelheiten des Urteils und beantworten die wichtigsten Fragen.
Das Verfahren vor dem EuGH hat seinen Ursprung in Deutschland. Im Jahr 2011 untersagte das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) unter Androhung von Zwangsgeldern u. a. der Wirtschaftsakademie Schleswig-Holstein GmbH den Betrieb ihrer Facebook-Fanpage. Der Grund hierfür war, dass das ULD datenschutzrechtliche Verstöße bei Facebook ausgemacht hatte und den Fanpage-Betreiber hierfür als Verantwortlichen ansah. Die von der Wirtschaftsakademie dagegen erhobene Klage war erst- und zweitinstanzlich erfolgreich: Verwaltungsgericht und Oberverwaltungsgericht verneinten die Verantwortlichkeit des Fanpage-Betreibers. Da sich die Frage der Verantwortlichkeit aber letztlich nur durch die Auslegung europäischen Datenschutzrechts beantworten ließ, legte das Bundesverwaltungsgericht sie schließlich dem EuGH vor.
Verantwortlichkeit im datenschutzrechtlichen Sinne setzt voraus, dass über Mittel und Zwecke der Verarbeitung (mit)entschieden wird. Der EuGH legt den Begriff des „Verantwortlichen“ nun weit aus, um einen wirksamen und umfassenden Schutz des Betroffenen zu gewährleisten. Der EuGH sieht zwar in erster Linie Facebook als Verantwortlichen an. Er argumentiert aber noch weiter: Die Fanpage-Betreiber schließen mit dem Einrichten der Fanpage einen speziellen Vertrag mit Facebook ab. Dabei akzeptieren sie die Nutzungsbedingungen einschließlich der Cookie-Richtlinie. Über die Funktion „Facebook Insight“, die nicht abdingbarer Teil des Benutzungsverhältnisses ist, können sie anonymisierte statistische Daten über die Besucher ihrer Fanpage erhalten. Mithilfe bestimmter Filter können Kriterien festgelegt werden, nach denen die Statistiken erstellt werden sollen, sowie die Kategorien von Personen festgelegt werden, deren personenbezogene Daten ausgewertet werden sollen. Auf dieser Basis nimmt der EuGH an, dass Fanpage-Betreiber und Facebook gemeinsame Interessen verfolgen, etwa um mithilfe der gesammelten Informationen zielgerichtete Werbeaktionen durchführen zu können, wobei die Informationssammlung überhaupt erst durch das Einrichten der Fanpage ermöglicht wird. Dies zusammengenommen führt laut EuGH dazu, dass auch der Betreiber einer Fanpage an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt und damit Verantwortlicher ist, obwohl dem Fanpage-Betreiber nur anonymisierte Daten übermittelt werden. Bei der vom EuGH angenommenen gemeinsamen Verantwortlichkeit genügt es aber, wenn einer der Verantwortlichen Zugriff auf die personenbezogenen Daten hat. Dies ist mit Facebook der Fall. Der EuGH sagt aber auch, dass die gemeinsame Verantwortlichkeit nicht automatisch auch zu gleichen Teilen übernommen werden muss. Vielmehr muss der Grad der Verantwortlichkeit nach den maßgeblichen Umständen des Einzelfalls beurteilt werden.
Der EuGH hat im sog. Vorabentscheidungsverfahren entschieden. Dieses ermöglicht den nationalen Gerichten, Fragen zur Auslegung europäischen Rechts an den EuGH zu richten. Der EuGH beantwortet dabei nur die vorgelegten Fragen und beurteilt nicht den zugrundeliegenden Fall selbst. Bezüglich der Facebook-Fanpages muss daher noch das Bundesverwaltungsgericht ein Urteil fällen, das sich aber an die Vorgaben des EuGH zu halten hat. Bis zu dieser definitiven Entscheidung können noch einige Monate vergehen. Es ist nicht ausgeschlossen, dass es bereits zuvor zu Aktivitäten des Datenschutzes oder der Wettbewerber kommt, aber letztlich nicht wahrscheinlich, da es eben an einer Entscheidung eines deutschen Gerichts (noch) fehlt. Wer jedwedes Risiko scheut, wird sich den Betrieb überlegen müssen; wer ein geringes Risiko hinzunehmen bereit ist, wird die weitere Entwicklung abwarten können.
Zum gegenwärtigen Zeitpunkt muss keine Facebook-Fanpage abgeschaltet werden, da die Vorgaben des EuGH zunächst noch in einem nationalen Urteil umgesetzt werden müssen. Dieses Urteil wird auch die Frage klären, ob Facebook überhaupt gegen europäisches Datenschutzrecht verstößt und ob es in diesem Fall interessengerecht wäre, datenschutzrechtlich primär gegen den Fanpage-Betreiber vorzugehen. Soweit das Bundesverwaltungsgericht datenschutzrechtliche Verstöße bei Facebook feststellt, können allerdings Konsequenzen für den Betrieb der Fanpage drohen. Da der Betreiber der Page und Facebook „Gemeinsam Verantwortliche“ sind, kann grundsätzlich auch gegen beide vorgegangen werden. Die Mithaftung reicht hier soweit wie die Verarbeitung von personenbezogenen Daten über Facebook und Facebook-Plugins erfolgt. Es drohen in der Folge vor allem Abmahnungen von Nutzern oder Verbraucherschutzorganisationen und Untersagungsverfügungen oder Zwangsgelder der Aufsichtsbehörden. Des Weiteren ist davon auszugehen, dass Nutzer ihre Rechte nach der DSGVO ausüben (siehe hierzu auch Punkt 6 und 7).
Grundsätzlich kann jede Verarbeitung personenbezogener Daten durch eine Einwilligung der betroffenen Person ermöglicht werden. Im Falle der Facebook-Fanpage lässt sich diese aber nur schwer in die Praxis umsetzen. Die Einwilligungserklärung muss nämlich stets in informierter Weise erfolgen. Hierzu muss vorab über jeden Verarbeitungsschritt und -zweck aufgeklärt werden, was am fehlenden Wissen des Betreibers über die internen Verabeitungstätigkeiten bei Facebook scheitert. Auch sind mitgliedsstaatabhängige Altersgrenzen zu beachten. In Deutschland sind nur Personen, die älter als 16 Jahre sind einwilligungsfähig, in manchen anderen Mitgliedstaaten (darunter Tschechien, Dänemark, Lettland, Österreich) ist das einwilligungsfähige Alter geringer, teilweise bereits bei 13 Jahren. Denkbar wäre zwar, dass die Nutzer ihre Einwilligung in die Datenverarbeitung bereits im Rahmen der Registrierung gegenüber Facebook erklären. Hierzu müsste aber Facebook tätig werden und eine rechtswirksame Einwilligungserklärung formulieren. Zudem müsste eine Lösung für bereits registrierte Mitglieder gefunden werden. Auch wenn Facebook ein großes Interesse daran hat, keine Mitglieder zu verlieren und das Modell der Fanpages zu erhalten, kann zum jetzigen Zeitpunkt nicht abgesehen werden, wie sich das Unternehmen hier positionieren wird. Unabhängig von der Schwierigkeit, eine Einwilligung technisch umzusetzen, ist auch zu bedenken, dass eine Einwilligung jederzeit widerrufen werden kann, womit der Datenverarbeitung die Grundlage entzogen würde.
Nach den Regelungen der DSGVO können die Aufsichtsbehörden auch unmittelbar gegen Facebook Inc. vorgehen – dies war nach der Datenschutzrichtlinie noch umstritten. Hierzu liegt inzwischen eine Stellungnahme der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) vor, die Sie unter https://datenschutz.saarland.de/fileadmin/datenschutz/dsk_entschliessungen/2018-06-05/Entschliessung_DSK_Fanpages_EuGH_Urteil_05_06_2018.pdf abrufen können. Die DSK verlangt darin von den Fanpage-Betreibern, dass diese: a) transparent über die Datenverarbeitung informieren, also eine Datenschutzerklärung für die Facebook-Fanpage vorhalten; b) sich selbst darüber versichern, dass Facebook ihnen die Informationen zur Verfügung stellt, die sie zur Erfüllung der Informationspflichten nach der DSGVO benötigen; c) die Einwilligung der betroffenen Personen (Facebook-Nutzer und Nicht-Nutzer) einholen, wenn über die Fanpage ein Tracking stattfindet (etwa durch den Einsatz von Cookies oder vergleichbarer Techniken oder der Speicherung der IP-Adresse); d) mit Facebook einen Vertrag über die gemeinsame Verantwortlichkeit schließen, in dem festgelegt wird, wie die Verpflichtungen unter ihnen aufgeteilt sind, bspw. wer Ansprechpartner für die Betroffenenrechte ist. Die wesentlichen Inhalte des Vertrages müssen den Betroffenen zur Verfügung gestellt werden. Dies erscheint zunächst rigoros, ergibt sich aber zu weiten Teilen bereits aus der DSGVO. Abschließend erkennt die DSK an, dass die Fanpage-Betreiber ihre datenschutzrechtliche Verantwortung nur dann werden erfüllen können, wenn Facebook selbst an der Lösung mitwirkt und ein datenschutzkonformes Produkt anbietet, das die Rechte der Betroffenen wahrt und einen ordnungsgemäßen Betrieb in Europa ermöglicht.
Sofern Sie auf Ihrer Unternehmens-Website Social-Media-Plugins von Facebook einsetzen, muss ggf. die dort enthaltene Datenschutzerklärung angepasst werden, indem umfassend über den Einsatz informiert wird. Technisch empfiehlt es sich, die Plugins mindestens nach der 2-Klick-Lösung einzubinden. Der Einsatz anderer Social-Media-Plugins und die Nutzung sonstiger sozialer Netzwerke sollte ebenso kritisch geprüft werden, wie der von Facebook. Sofern Sie eine Facebook-Fanpage betreiben, muss auch dort eine Datenschutzerklärung vorgehalten werden, die über Art und Umfang der dortigen Datenverarbeitung informiert. Hierzu wird Facebook aber Informationen bereitstellen müssen, da dem einzelnen Betreiber eine vollständige Information gar nicht vorliegt. Solange dies nicht geschehen ist, wird es ausreichend sein, auf die Datenverarbeitung hinzuweisen, den eigenen Kenntnisstand offenzulegen und auf die Facebook-Policies zu verweisen. Die Einholung einer Einwilligung in die Datenverarbeitung ist aus den in Punkt 5) genannten Gründen schwierig. Auch hier muss in erster Linie Facebook aktiv werden. Auf den Abschluss eines Vertrages über die gemeinsame Verantwortlichkeit hinzuwirken liegt ebenfalls im Verantwortungsbereich von Facebook. Inhaltlich wird vor allem Facebook gefordert sein, die Pflichten nach der DSGVO zu übernehmen, da nur Facebook in der Lage ist, diese tatsächlich zu erfüllen.
Der Betrieb einer Fanpage ist ein Risiko (geworden). Als Betreiber sollen Sie dem Nutzer den Inhalt einer Black-Box erklären, den Sie indes auch nicht kennen. Es ist rechtlich nicht ausgeschlossen, dass Datenschutzbehörden in naher Zukunft auch gegen Betreiber vorgehen - oder aber sich gegen das tatsächlich richtige Ziel wenden: Facebook. Es gibt keinen Freifahrtschein für den Betreiber, aber auch nicht die sichere Vorhersehbarkeit drakonischer Strafen. Wer seine Facebook-Seite online halten möchte (wie etwa das Bundesministerium für Justiz und Verbraucherschutz oder das Bundesamt für Sicherheit in der Informationstechnik) sollte jedenfalls alsbald seine Datenschutzerklärung anpassen und die weitere Entwicklung im Auge behalten. Wenn Sie Fragen zu diesem Thema haben, wenden Sie sich gerne an Prof. Dr. Hans-Josef Vogel und Christian Frederik Döpke.