Der Europäische Gerichtshof (EuGH) hat entschieden, dass die Betreiber von Facebook-Fanseiten gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher verantwortlich sind. Der Betreiber einer Facebook-Fanseite gestalte sein Informations- und Kommunikationsangebot selbst und trage damit zur Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage bei.

Mehr Infos Lesen Sie dazu auch auf heise online: Analyse zum EuGH-Urteil: Kein Grund Facebook-Seiten zu schließen

Die Entscheidung (C-210/16) erging auf Grundlage der alten Datenschutzrichtlinie. Die Regeln zur Verantwortlichkeit sind jedoch mit denen in der DSGVO identisch.

Der ehemalige schleswig-holsteinische Landesdatenschützer Thilo Weichert war 2011 nicht gegen Facebook, sondern gegen Betreiber von Facebook-Fanseiten in Schleswig-Holstein mit Untersagungsverfügungen vorgegangen. Daraufhin hatte unter anderem die Wirtschaftskammer Schleswig-Holstein das Unabhängige Landeszentrum Schleswig-Holstein vor dem Verwaltungsgericht in Schleswig verklagt. In den Vorinstanzen lehnten die Gerichte immer jede Art von vertraglicher Beziehung zwischen den Seitenbetreibern und Facebook ab. Der EuGH aber entschied nun anders und urteilte, dass ein Benutzungsverhältnis besteht. Die Aufsichtsbehörde war daher im Recht, gegen den Anbieter der Facebook-Fanpage vorzugehen.

"Nutzung von sozialen Medien muss kritisch überprüft werden"

Der Bayerische Landesbeauftragte für den Datenschutz Thomas Petri empfiehlt den bayerischen öffentlichen Stellen nun ihre Öffentlichkeitsarbeit bei Anbietern Sozialer Medien kritisch zu überprüfen. "Entweder müssen Soziale Medien sich an die in Europa geltenden Datenschutzvorschriften halten oder sie können nicht mitverantwortlich genutzt werden. Mögliche Vorteile bei der Öffentlichkeitsarbeit rechtfertigen jedenfalls keine Datenschutzverstöße."

Das Gericht erklärt, dass ein Fanpage-Betreiber Facebook die Möglichkeit gebe, Cookies zu setzen. Insbesondere mit Hilfe von durch Facebook zur Verfügung gestellten Filtern könne er die Kriterien festlegen, nach denen Statistiken erstellt werden. Dafür sei nicht ausschlaggebend, ob ein Zugang zu den betreffenden personenbezogenen Daten besteht.

Facebook-Chef Mark Zuckerberg hatte in der Anhörung vor dem Europäischen Parlament behauptet, dass Facebook DSGVO-konform sei. ULD-Leiterin Marit Hansen hält dieser Aussage entgegen, dass "dann die Fanpage-Betreiber alle notwendigen Informationen jetzt vorliegen hätten. Ich habe aber noch nichts gesehen, was die Anforderungen erfüllen würde". Sie weist darauf hin, dass nach dem Urteil nun alle Fanpage-Betreiber mit Facebook klären müssen, welche Datenschutzpflichten sie selbst zu erfüllen haben und für welche Facebook zuständig ist. Das funktioniere laut Hansen nicht ohne Transparenz, wie die Daten über alle Nutzenden verarbeitet werden. Jeder Betroffene könne sein Recht auf Auskunft oder Berichtigung sowohl gegenüber dem Fanseiten-Betreiber als auch gegenüber Facebook direkt geltend machen.

Auswirkungen von ePrivacy-Verordnung

Der Jurist Malte Engeler, der auf Seiten des ULD maßgeblich an den Berufungsverfahren beteiligt war, meint, es sei spannend, "wie das Bundesverwaltungsgericht weiter verfahren wird, das die Fragen ja an den EuGH gerichtet hat". Er weist gegenüber heise online darauf hin, dass das Urteil zwar im Ergebnis überzeuge, es "aber mehr Folgefragen stellt als Antworten gibt". So sei es "unglücklich", dass der EuGH an die Bereitstellung der Insights-Funktion anknüpfe: "Das stellt unweigerlich die Frage, ob es denn ausreichen würde, wenn diese Funktion nun durch Seitenbetreiber deaktiviert werden kann."

Die Fragen, ob und welche Cookies wie lange gesetzt werden können, soll die ePrivacy-Verordnung regeln, über die derzeit noch in europäischen Gremien beraten wird. Hansen ist davon überzeugt, dass das EuGH-Urteil sich auf die Verordnung auswirken wird. Sie verweist darauf, dass das in der DSGVO niedergelegte Prinzip von "Privacy by default" mit Tracking nicht vereinbar sei. Entsprechend müsse nun diskutiert werden, welche Session-Cookies und welche Cookies, die etwa für Statistikzwecke über mehrere Monate Besucher über Webseiten und möglicherweise auch über verschiedene Websites hinweg tracken ohne ausdrückliche Einwilligung der Betroffenen berechtigt seien.

"Der EuGH hat sich in seinem Urteil dazu nicht explizit geäußert, doch von der Logik des Urteils her ist man als Website-Betreiber, der verschiedene Social-Plugins integriert hat, in der Mitverantwortung drin und muss daher besser informieren", erläutert Hansen. Engeler weist darauf hin, auch heute schon normale Webseitenbetreiber für die Datenverarbeitung verantwortlich seien, die ihre Hoster für sie durchführen und zwar unabhängig davon, ob dieser in ihrem Interesse eine Reichweitenmessung durchführt.

Zuständigkeitsfrage geklärt

Das Gericht stellte überdies fest, dass die schleswig-holsteinische Datenschutzaufsicht sich auch direkt hätte an Facebook wenden können. Das hatte das ULD aber 2011 nicht gemacht, weil damals die Hamburgische Datenschutzaufsichtsbehörde nach deutschem Recht als zuständige deutsche Kontrollbehörde fungierte. Marcus Schween von der Wirtschaftsakademie Schleswig-Holstein interpretiert das Urteil nun so, es sei "unverhältnismäßig und rechtswidrig", "gegen einzelne Fanpage-Betreiber vorzugehen. Es sei wesentlich effektiver, datenschutzrechtliche Auseinandersetzungen direkt mit Facebook selbst zu führen. Das Gericht führt jedoch ausdrücklich aus, dass die Aufsichtsbehörde "nicht nur gegenüber der Wirtschaftsakademie, sondern auch gegenüber Facebook Germany" ihre Befugnissen hätte anwenden können. Die Datenschutz-Grundverordnung hat die Zuständigkeiten inzwischen im One-Stop-Shop-Verfahren neu und etwas anders geregelt.

Marit Hansen drängt mit Blick auf die siebenjährige Prozessdauer darauf, dass Fragen zur Datenschutz-Grundverordnung dem EuGH in Zukunft früher vorgelegt werden: "Gerichtliche Verfahren zu derartigen Grundsatzfragen gehören auf die Überholspur." Sie ist davon überzeugt, dass Fälle wie Cambridge Analytica hätten verhindert werden können, wenn bereits 2011 alle deutschen oder gar europäischen Fanseiten-Betreiber die Datenschutzkonformität für ihre Angebote eingefordert hätten. (anw)