Datenschutz und Facebook Fanpages
Um was geht es?
Hintergrund dieses seit 2011 beim Bundesverwaltungsgericht anhängigen Verfahrens ist ein Streit zwischen der Wirtschaftsakademie Schleswig-Holstein und dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD). Die Datenschützer wollten von der Wirtschaftsakademie, dass diese ihre Facebook-Fanpage deaktiviert. Dort würden Nutzerdaten erfasst, ohne die Besucher ausreichend darüber zu informieren. Dafür sei nicht nur Facebook, sondern auch der Betreiber der Fanpage verantwortlich. Die Wirtschaftsakademie wollte dagegen weiter auf ihrer Fanpage werben und Informationen bereit stellen. Die Datenverarbeitung läge schließlich allein bei Facebook und wäre daher der richtige Ansprechpartner.
Im Prinzip geht es um die „Insights“. Um jene hübschen Statistiken, anhand derer der Seitenbetreiber sieht, was wann wie gut bei wem auf Facebook ankommt. Und über die er aber auch bestimmen kann, wem was im Rahmen seiner Postings gezeigt wird. Seitenbetreiber erhalten also detaillierte Besucherstatistiken und erfahren so unter anderem demografische Merkmale ihrer Nutzer. Die Erfassung dieser Daten lässt sich durch den Nutzer nicht deaktivieren.
Wie damit umzugehen sei und wer hier nach EU-Datenschutzrecht verantwortlich ist, wollte das BVwG vom für solche Fragen zuständigen EuGH wissen. Und dessen Antwort ist nun Anlass der Panik.
Was sagt der EuGH?
Gemeinsame aber nicht gleichwertige Verantwortung
Grundsätzlich, so das Gericht, ist der Betreiber einer Facebook Fanpage neben Facebook selbst mitverantwortlich für die Datenverarbeitung. Er bestimmt z.B. durch seine Einstellungen, wem seine Seite angezeigt wird.
„Nach alledem ist auf die erste und die zweite Frage zu antworten, dass Art. 2 Buchst. d der Richtlinie 95/46 dahin auszulegen ist, dass der Begriff des „für die Verarbeitung Verantwortlichen“ im Sinne dieser Bestimmung den Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage umfasst.“ (RN. 44 der Entscheidung).
Der EuGH führt aber gleichzeitig aus, dass diese gemeinsame Verantwortung
„nicht zwangsläufig eine gleichwertige Verantwortlichkeit der verschiedenen Akteure zur Folge hat, die von einer Verarbeitung personenbezogener Daten betroffen sind.“ (RN 33 der Entscheidung)
Wie diese gemeinsame ungleichwertige Verantwortlichkeit im konkreten Fall auszulegen ist, war vom EuGH nicht zu entscheiden, sondern liegt jetzt wieder beim BVerwG. Ein juristisches Ping Pong-Spiel.
Was heißt „nicht gleichwertig“?
Ob das jetzt bedeutet, dass künftig alle Seitenbetreiber mit Unterlassungsverlangen, Abmahnungen oder Bußgeldern wie Facebook belangt werden können, oder nicht, hängt davon ab, wie die gemeinsame aber nicht gleichwertige Verantwortung ausgelegt wird. Da gibt es verschiedene, derzeit noch völlig offene Möglichkeiten:
- „nicht gleichwertig“ betrifft die Haftung im Verhältnis zwischen dem Betroffenen und den Verantwortlichen, weshalb zuerst der Hauptverantwortliche zu belangen ist;
- „nicht gleichwertig“ betrifft nur das Verhältnis der Verantwortlichen untereinander, weshalb dann der Seitenbetreiber gegen Facebook im Falle einer Haftung seinerseits in Anspruch nehmen kann;
- oder „nicht gleichwertig“ führt auch zu unterschiedlichen Verhaltenspflichten in Bezug darauf, wie dieser festgestellten Verantwortung zu entsprechen ist, denn die DSGVO löst eine Haftung nur bei Verschulden aus.
Auch weisen wir nochmal darauf hin, dass es in Fachkreisen sehr umstritten ist, ob DSGVO-Verstöße wettbewerbsrechtlich abmahnfähig sind. Also auch die schon wieder prophezeite Abmahnwelle ist noch nicht in Sicht. Die dürfte auf jeden Fall erst einmal die Entscheidung im Hauptverfahren abwarten.
Relevanz unter der DSGVO?
Wer aufmerksam mitgelesen hat, wird sich fragen, ob dieses zur alten Rechtslage (vor der DSGVO) ergangene Urteil überhaupt noch praxisrelevant ist. Ja, ist es. Der hier konkretisierte Begriff der Datenverantwortung wurde unverändert in die DSGVO übernommen.
Was heißt das jetzt konkret?
Das Ende aller Tage?
Nein, denn immerhin haben wir seit 2011 ja auch irgendwie überlebt. Da war die Frage auch schwelend im Raum gestanden und keinen hat es gestört. Spannender ist, dass der EuGH zeitgleich entschieden hat:. Facebook kann an seinem deutschen Niederlassungssitz verklagt werden, und zwar obwohl die Datenschutzverstöße bei der in Irland ansässigen Konzernmutter festgestellt wurden. Der EuGH stellt hier fest: Das ULD konnte entgegen seiner Auffassung sehr wohl auch gegen Facebook in Deutschland vorgehen.
Das ist wichtig, denn dann könnte nämlich die gestufte Verantwortung so auszulegen sein, dass vorrangig gegen den Hauptverursacher vorzugehen ist, und das ist Facebook. Das BVwG hat nämlich bereits die Ansicht angedeutet, dass es ein Ermessensfehler sei, dann – frei übersetzt – gegen den kleinen Fisch (Wirtschaftsakademie) vorzugehen, wenn es auch gegen großen Fisch (Facebook Germany) schießen könnte.
Die eigentliche Entscheidung abwarten
Der EuGH hat heute nur ein paar für die Entscheidung des zuständigen BVwG maßgebliche Vorfragen beantwortet. Wann und wie das nun entscheiden wird, ist unklar. Es spricht jedoch – auch wenn viele Beiträge diesen Aspekt unberücksichtigt lassen – durchaus einiges dafür, dass in solchen Fällen Facebook vorrangig anzusprechen sein wird. Aber da muss man die Entscheidung der Verwaltungsrichter abwarten.
Was ist privat und was ist öffentlich?
Allerdings ist wahrscheinlich, dass all jene, die sich vor der DSGVO auf Portalen wie Facebook, Youtube oder Instagram „verbarrikadieren“ wollten, nun doch Datenschutz zur Hausaufgabe bekommen haben. Ob und inwieweit das für ausschließlich privat genutzte Accounts gilt, ist noch zu klären. Art. 2 Abs. 2 c DSGVO könnte hier – so jedenfalls die Erwägungsgründe (v.a. Nr. 18) – Rettung für alle privaten Facebook Fanpages und vergleichbare Accounts bieten. Die hier in Frage stehenden Insights sind ja auch erst ab einer gewissen, wohl nicht mehr als „ausschließlich privat“ (im Sinne von nicht öffentlich) zu bezeichnenden Followerzahl verfügbar.
Was kann man jetzt im Moment tun?
Eine entsprechende Datenschutzerklärung, die auf die Aussagen von Facebook verweist, ist auf jeden Fall nicht schädlich. Das Deaktivieren von Nachrichtenfunktionen ist vollkommen unerheblich. Die Facebook Insights greifen viel früher und viel umfassender, wie jeder erkennen kann, der sich seine Statistik mal ansieht.
Wer will kann in Umsetzung der EuGH-Begründung folgende Ergänzung der DSE auf der eigenen Fanpage anbringen:
Wir weisen darauf hin, dass wir als Fanpage-Betreiber von Facebook insbesondere demografische Daten über die Zielgruppe der Fanpage „NAME“ (u. a. Tendenzen in den Bereichen Alter, Geschlecht, Beziehungsstatus und berufliche Situation), Informationen über den Lebensstil und Interessen (einschließlich Informationen über die Käufe und das Online-Kaufverhalten der Besucher seiner Seite sowie über die Kategorien von Waren oder Dienstleistungen, die sie am meisten interessieren) und geografische Daten, die ihn darüber informieren, wo spezielle Werbeaktionen durchzuführen oder Veranstaltungen zu organisieren sind erhalten. Hierauf haben wir keinen Einfluss. Facebook erhebt und verarbeitet diese Daten gemäß folgender Datenschutzerklärung (LINK). Dieses Vorgehen betrifft nicht nur diese Fanpage, sondern allgemein jegliche Betätigung der Nutzer von Facebook, um uns und anderen potentiellen Werbekunden ganz allgemein und ohne Vorliegen einer konkreten Anfrage zu ermöglichen, Informationsangebote an die Facebook-Nutzer so zielgerichtet wie möglich zu gestalten.
Sollte man tatsächlich von einem Nutzer zur Datenverarbeitung befragt werden, sollte man eigene Maßnahmen erklären, im übrigen aber auf die Datenschutzerklärung von Facebook, die entsprechende Kontaktmöglichkeit und vor allem die Downloadfunktion für Nutzerdaten verweisen.
Keine Panik
Die gelegentlich vertretene Auffassung, die Datenschutzerklärung von Facebook sei nicht rechtskonform, ist jedenfalls gegenwärtig weder bestätigt noch herrschende Meinung. Diesen Aspekt würden wir zunächst außen vor lassen. Dass hier eine Mithaftung angenommen (und vorrangig durchgesetzt) wird, ist nicht ausgeschlossen, aber wenig wahrscheinlich. Auch Facebook ist Mitglied im US-Privacy Shield, der EU-Standards garantiert. Von daher sollte ein Verweis auf deren DSE genügen.
Gelegentlich liest man auch, dass die Mithaftung vom Ausmaß der Mitwirkung abhänge, sei so zu verstehen, dass man die Verantwortung für den Umgang aller über die eigene Fanpage erhobenen Daten habe. Das geht unserer Ansicht nach zu weit und deckt sich nicht mit der Begründung des EuGH an anderer Stelle. Auch hier ist das Hauptsacheverfahren abzuwarten.
Also erst einmal durchatmen und ruhig bleiben. Kein Grund zur Massenpanik, Massenlöschung oder Massenselbstmorden.
Edit: Die IHK Schleswig-Holstein sieht das übrigens ähnlich. 🙂