Datenschutzrechtliche Verantwortlichkeit für eine Facebook-Fanpage

Der Betreiber einer Facebook-Fanpage ist gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich. Dies hat der Europäische Gerichtshof (EuGH) am 05.06.2018 entschieden.

In seiner Pressemitteilung erläutert der Gerichtshof dies folgendermaßen:

„Die Betreiber von Fanpages […] können mit Hilfe der Funktion Facebook Insight, die ihnen Facebook als nicht abdingbaren Teil des Benutzungsverhältnisses kostenfrei zur
Verfügung stellt, anonymisierte statistische Daten betreffend die Nutzer dieser Seiten erhalten. Diese Daten werden mit Hilfe sogenannter Cookies gesammelt, die jeweils einen eindeutigen
Benutzercode enthalten, der für zwei Jahre aktiv ist und den Facebook auf der Festplatte des Computers oder einem anderen Datenträger der Besucher der Fanpage speichert. Der
Benutzercode, der mit den Anmeldungsdaten solcher Nutzer, die bei Facebook registriert sind, verknüpft werden kann, wird beim Aufrufen der Fanpages erhoben und verarbeitet.

Mit Bescheid vom 3. November 2011 ordnete das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein – als nach der Richtlinie 95/46 für die Überwachung der Anwendung der von Deutschland zur Umsetzung dieser Richtlinie erlassenen Vorschriften im Gebiet des Bundeslandes Schleswig-Holstein zuständige Kontrollstelle – gegenüber der Wirtschaftsakademie Schleswig-Holstein an, ihre Fanpage zu deaktivieren. Nach Auffassung des Unabhängigen Landeszentrums für Datenschutz wiesen nämlich weder die Wirtschaftsakademie noch Facebook die Besucher der Fanpage darauf hin, dass Facebook mittels Cookies sie betreffende personenbezogene Daten erhebt und diese Daten danach verarbeitet.“

Die Wirtschaftsakedemie Schleswig-Holstein GmbH klagte gegen den Bescheid, der ihr aufgab ihre Seite zu deaktivieren, vor dem Verwaltungsgericht. Das Bundesverwaltungsgericht legte die Rechtsfrage, ob der Betreiber einer Facebook-Fanpage gemeinsam mit Facebook für die Beachtung datenschutzrechtlicher Vorschriften verantwortlich sei, dem EuGH vor.

Die Entscheidung des EuGH

Der EuGH hat dies bejaht und führt dazu aus:

„Sodann befindet der Gerichtshof, dass ein Betreiber wie die Wirtschaftsakademie als in der Union gemeinsam mit Facebook Ireland für die fragliche Datenverarbeitung verantwortlich
anzusehen ist. Ein solcher Betreiber ist nämlich durch die von ihm vorgenommene Parametrierung (u. a. entsprechend seinem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten) an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt.

Der Gerichtshof weist insoweit darauf hin, dass der Fanpage-Betreiber insbesondere demografische Daten über seine Zielgruppe – und damit die Verarbeitung dieser Daten – verlangen kann (u. a. Tendenzen in den Bereichen Alter, Geschlecht, Beziehungsstatus und berufliche Situation), Informationen über den Lebensstil und die Interessen seiner Zielgruppe (einschließlich Informationen über die Käufe und das Online-Kaufverhalten der Besucher seiner Seite sowie über die Kategorien von Waren oder Dienstleistungen, die sie am meisten interessieren) und geografische Daten, die ihn darüber informieren, wo spezielle Werbeaktionen durchzuführen oder Veranstaltungen zu organisieren sind und ihm ganz allgemein ermöglichen, sein Informationsangebot so zielgerichtet wie möglich zu gestalten.

Nach Ansicht des Gerichtshofs kann der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu
nehmen, diesen nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien.“

Vor diesem Hintergrund muss derzeit wohl allen Betreibern einer (geschäftlichen) Facebook-Fanpage geraten werden, die Veröffentlichung der Seite zu deaktivieren, bis Facebook eine datenschutzkonforme Lösung anbietet. Andernfalls droht einem Seitenbetreiber, dass er gemeinsam mit Facebook für Datenschutzverstöße in Anspruch genommen wird und schlimmstenfalls einen sehr hohen Schadensersatz zahlen muss.

Hinweis:

Selbstverständlich kann man auch entscheiden, darauf zu vertrauen, dass Facebook schon alles richtig macht und die DS-GVO beachtet. Man kann schließlich auch auf die Homöopathie, Gott oder eine baldige Meisterschaft des FC Schalke 04 vertrauen. Die Datenschutz-Aufsichtsbehörden wird das aber im Zweifel nicht interessieren und einen Bußgeldbescheid auch gegen einen vertrauensseligen Betreiber erlassen, wenn sie anderer Auffassung als Facebook ist. Dem steht dann natürlich der Rechtsweg offen.

Als Anwalt rate ich meinen Mandanten allerdings immer dazu, den sichersten Weg zu wählen.