Der Europäische Gerichtshof hat entschieden, dass Betreiber von Facebook-Seiten für Facebooks (potentielle) Datenschutzverstöße mithaften (EuGH, Urteil vom 05.06.2018, Az. C-210/16, Pressemitteilung).

Diese Entscheidung könnte zu einer der wichtigsten im Hinblick auf das Datenschutzrecht werden und das Internet in der heutigen Form radikal verändern. Denn auch wenn es in dem Fall um Facebook geht, kann die Entscheidung auf alle Online-Dienste, soziale Netzwerke, Social Plugins, Tracking- und Remarketing-Tools oder eingebettete Inhalte, wie z.B. YouTube-Videos angewandt werden.

Trotz der Schwere dieser Entscheidung, bitte ich Sie, nicht sofort alle Ihre Social-Media-Profile zu löschen. Lesen Sie zuvor den folgenden Beitrag, in dem ich die Entscheidung, ihre möglichen Konsequenzen und die Zukunftsaussichten erläutere. Da diese Rechtsmaterie alles andere als einfach ist, fasse ich sie zunächst zusammen. Anschließend können Sie zur Vertiefung die folgende FAQ nutzen.

Betreiber von Facebook-Seiten trifft die volle Wucht des Datenschutzrechts

Der EuGH musste darüber entscheiden, ob schon das Anlegen einer Facebook-Seite eine Mitverantwortung für Facebooks (potentielle) Datenschutzverstöße begründen.

Der EuGH bejahte diese Frage und machte deutlich: Bereits der Einsatz eines Online-Dienstes begründet eine Mitverantwortung für dessen Datenverarbeitung. Das gilt zumindest dann, wenn die Nutzung nicht nur rein persönlichen oder familiären Zwecken dient. Die Richter in Luxemburg haben damit ein wegweisendes Urteil getroffen, das sich ganz deutlich für einen stärkeren Datenschutz und gegen die wirtschaftlich getriebene Datennutzung im Stil des Silicon Valley ausspricht.

Kurz gefasst, müssen Datenschutzbehörden, Mitbewerber oder Einzelpersonen nicht mehr gegen mächtige US-Konzerne vorgehen. Stattdessen können sie sich mit Untersagungen, Bußgeldern oder Abmahnungen direkt an die Nutzer ihrer Dienste richten. Daneben treffen die Betreiber von Facebook-Seiten, auch Informations- und Auskunftspflichten. D.h. die Betreiber trifft die volle Wucht des Datenschutzrechts.

Die Entscheidung ist rechtlich aus der Sicht des Datenschutzes nachvollziehbar. Aus der Sicht von Privatpersonen oder Unternehmen, die Facebook vor allem wirtschaftlich nutzen, ist sie katastrophal. Denn der Kampf um den Schutz der personenbezogenen Daten zwischen Facebook und der EU wird damit auf ihrem Rücken ausgetragen.

Facebook ist im Zugzwang

Nunmehr sind Facebook und andere Onlinedienste im Zugzwang. Sie müssen abwägen, ob es sich lohnt europäische Kunden zu verlieren oder sich den Forderungen der Europäischen Datenschützer zu fügen.

Dabei müssen sie schnell handeln. Denn die Entscheidung des EuGH zur Verantwortlichkeit für Facebooks Datenverarbeitung muss noch durch deutsche Gerichte umgesetzt werden. Die deutschen Gerichte müssen zusätzlich prüfen, ob Facebook tatsächlich Datenschutzverstöße begangen hat. Sobald die Richter diese Frage bejahen, ist die Vorstellung von Untersagungsanordnungen und Abmahnungen im großen Umfang nicht gerade fernliegend.

Facebook muss in jedem Fall bei der Transparenz der Datenverarbeitung nachbessern. Ferner sollte Facebook vertraglich regeln, dass das Unternehmen die Informationspflichten, Auskunfts- und Löschungspflichten sowie weitere Betroffenenrechte erfüllen wird (Art. 26 DSGVO).

Facebookseite abschalten?

Die Facebookseite abzuschalten wäre natürlich die sicherste Lösung. Allerdings müssten Sie dann konsequenterweise auch überlegen, ob Sie andere Profile in sozialen Medien löschen oder zumindest vorübergehend offline stellen.

Ich persönlich empfehle abzuwarten und zu prüfen, ob sich der Betrieb von Facebook-Seiten oder die Nutzung anderer Onlinedienste trotz des Risikos nicht dennoch lohnt (s. dazu Details in der FAQ). Letztendlich könnte es sogar passieren, dass das Urteil dazu führt, dass die Nutzung von Facebook und anderen Diensten am Ende sicherer wird als vorher. Das zumindest, wenn die Anbieter sich dem EU-Datenschutzrecht fügen.

In jedem Fall empfehle ich in der Datenschutzerklärung einen Verweis auf die Nutzung der Onlinedienste, Grundlagen derer Datenverarbeitung, Risiken und die Datenschutzerklärungen der Anbieter zu verlinken (s. entsprechende Passagen finden sich im Datenschutzgenerator des Autors, der für Privatpersonen und Kleinunternehmer kostenlos).

Für vertiefende Fragen verweise ich Sie auf die folgende FAQ.

FAQ zum Urteil

In der folgenden FAQ gehe ich vertiefter auf die Entscheidung ein. Dabei wird es ein bisschen juristischer.

Wie kam es zu dem Gerichts-Verfahren?

Warum musste der EuGH entscheiden?

Hat der EuGH entschieden, dass Facebook-Seiten und Social Plugins illegal sind?

Was hat der EuGH konkret entschieden?

Warum bin ich für Facebooks Datenverarbeitung mitverantwortlich?

Wieso hafte ich mit, obwohl nur Facebook Zugriff auf die Daten der Nutzer hat?

Gilt das Urteil auch unter der DSGVO?

Kann ich ein Opt-In der Nutzer in den Einsatz der Facebook-Dienste einholen?

Ist die Datenschutzerklärung von Facebook nicht ausreichend?

Erstreckt sich die Mithaftung auf alle möglichen Datenschutzverstöße von Facebook?

Kann Facebook sich nicht für alleine verantwortlich erklären?

Reicht ein Eintrag in meiner Datenschutzerklärung nicht aus?

Müssen sich Datenschutzbehörden nicht zuerst gegen Facebook richten?

Welche Nachteile drohen mir?

Gilt das Urteil auch für Privatpersonen?

Ist mit Massenabmahnungen oder Untersagungsverfügungen von Behörden zu rechnen?

Wie soll ich mich verhalten? Soll ich meine Facebook-Seite schließen und Social Plugins entfernen?

Was mache ich, wenn Nutzer Auskünfte direkt an mich stellen?

Bin ich sicher, wenn ich mit den Unternehmen Auftragsverarbeitungsverträge schließe?

Kann Facebook sich nicht für alleine verantwortlich erklären?

Muss Facebook etwaige Abmahngebühren oder Bußgelder erstatten?

Muss Facebook jetzt seine Datenverarbeitung anpassen?

Welche Auswirkungen hat die Entscheidung für die Nutzung von Social Plugins, des Facebook-Pixels, Custom Audiences, Conversion-Messung, etc.?

Ist die Nutzung von Social Plugins mit einer 2-Klick-Lösung sicher?

Welche Auswirkungen hat die Entscheidung auf die Nutzung anderer Angebote, wie Twitter, YouTube, etc.?

Wer ist schuld?

Wie kam es zu dem Gerichts-Verfahren?

Das Verfahren begann im Jahr 2011 mit Untersagungsverfügungen der schleswig-holsteinischen Datenschutzbehörde (das „Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein“, kurz „ULD“). Unter Androhung von Zwangsgeld untersagte das ULD mehreren Unternehmen und öffentlich-rechtlichen Stellen den Betrieb von Facebook-Seiten (u.a. gegen die Wirtschaftsakademie Schleswig-Holstein GmbH). Das ULD begründete die Untersagungen damit, dass Facebook Datenschutzverstöße begeht und die Betreiber von Facebook Seiten dafür mitverantwortlich sind.

In beiden Fällen wehrte sich das betroffene Unternehmen gegen diese Anordnung. Die Wirtschaftsakademie klagte gegen die Untersagung und gewann zuerst, da die Gerichte das ULD als unzuständig ansahen. Das ULD wollte die Entscheidungen nicht akzeptieren, so dass der Fall letztendlich zum Bundesverwaltungsgericht (s. Beitrag bei Allfacebook.de) und dann zum EuGH gelangte.

Warum musste der EuGH entscheiden?

Hier geht es um die Auslegung des europäischen Datenschutzrechts. In einem solchen Fall sind nationale Gerichte verpflichtet, die Auslegungsfragen dem EuGH zur Entscheidung vorzulegen. So soll gesichert werden, dass das Datenschutzrecht in Europa einheitlich angewandt wird.

Dabei entscheidet der EuGH nur über die jeweiligen Fragen und nicht über den Fall an sich. D.h. das Bundesverwaltungsgericht muss nun auf Grundlage der Entscheidung des EuGH, noch ein Urteil sprechen. Also ist der Fall an sich noch nicht erledigt.

Hat der EuGH entschieden, dass Facebook-Seiten illegal sind?

Der EuGH hat nicht gesagt, dass Facebook-Seiten illegal sind. Das Gericht hat nur darüber entschieden, ob Betreiber von Facebook-Seiten für potenzielle Datenschutzverstöße Facebooks mithaften.

Ob Facebook tatsächlich Datenschutzverstöße begangen hat, darüber musste der EuGH nicht entscheiden. Diese Fragen werden nun vom Bundesverwaltungsgericht im zweiten Schritt geprüft. Kommt das Gericht jedoch zu der Überzeugung, dass Facebook gegen die Datenschutzvorgaben verstößt und es ermessensgericht ist sich gegen die Facebook-Seitenbetreiber zu richten (dazu unten mehr), dann werden die Verbote der Facebook-Seiten bestätigt. Bis zu diesem Urteil können noch mehrere Monate vergehen.

Was hat der EuGH konkret entschieden?

Der EuGH hat die folgenden Entscheidungen getroffen:

Wer Facebook-Seiten betreibt, der ist für die Verarbeitung personenbezogener Daten durch Facebook und Erfüllung der Informationspflichten sowie der Ansprüche der betroffenen Nutzer (z.B. Auskunftspflichten) mitverantwortlich.

Deutsche Datenschutzbehörden sind zuständig und dürfen z.B. die Nutzung von Facebook-Seiten untersagen.

Warum bin ich für Facebooks Datenverarbeitung mitverantwortlich?

Die datenschutzrechtliche Verantwortung für eine Datenverarbeitung setzt voraus, dass der Verantwortliche über die „Mittel und Zwecke“ der Verarbeitung (mit)entscheidet.

Die Wirtschaftsakademie verteidigte sich damit, dass sie auf Facebook Verarbeitungsprozesse keinen Einfluss hat. Damit könne sie auch kaum über deren „Mittel und Zwecke“ entscheiden.

Der EuGH entgegnete jedoch, dass an die Entscheidungsmöglichkeiten über Mittel und Zwecke aufgrund der hohen Bedeutung des Datenschutzes sehr niedrige Anforderungen gestellt werden müssen.

Bereits der Betrieb einer Facebook-Seite ist daher als ein „aktiver und willentlicher Beitrag“ ausreichend. Das begründet der EuGH wie folgt:

Ohne die Eröffnung einer Facebook-Seite könnte Facebook die Daten der Facebook- oder Website-Besucher erst gar nicht erheben.

Ferner verfolgen die Betreiber der Facebook-Seiten insoweit gemeinsame Interessen mit Facebook, als sie dank den erhobenen Daten der Nutzer z.B. Werbeanzeigen genauer schalten können.

Wieso hafte ich mit, obwohl nur Facebook Zugriff auf die Daten der Nutzer hat?

Nur Facebook hat Zugriff auf die jeweiligen personenbezogenen Daten der Nutzer. Betreiber von Facebook-Seiten erhalten lediglich zusammengefasste (aggregierte) Werte, die für sich anonym sind.

Allerdings sagt der EuGH, dass es ausreichend ist, wenn einer der gemeinsam Verantwortlichen (hier Facebook) auf personenbezogene Daten zugreifen kann. Für den anderen gemeinsam Verantwortlichen (Betreiber Facebook-Seite) ist es ausreichend, wenn er zwar anonyme Daten erhält, aber auf deren Grundlage wirtschaftliche oder sonstige Vorteile erzielt:

Der Gerichtshof weist insoweit darauf hin, dass der Fanpage-Betreiber insbesondere demografische Daten über seine Zielgruppe – und damit die Verarbeitung dieser Daten – verlangen kann (u. a. Tendenzen in den Bereichen Alter, Geschlecht, Beziehungsstatus und berufliche Situation), Informationen über den Lebensstil und die Interessen seiner Zielgruppe (einschließlich Informationen über die Käufe und das Online-Kaufverhalten der Besucher seiner Seite sowie über die Kategorien von Waren oder Dienstleistungen, die sie am meisten interessieren) und geografische Daten, die ihn darüber informieren, wo spezielle Werbeaktionen durchzuführen oder Veranstaltungen zu organisieren sind und ihm ganz allgemein ermöglichen, sein Informationsangebot so zielgerichtet wie möglich zu gestalten.

Gilt das Urteil auch unter der DSGVO?

Der EuGH entschied über die Auslegung der Datenschutzrichtlinie (Richtlinie 95/46/EG, dort Art. 2 lit d., 4 und 28). Allerdings regelt auch die DSGVO, dass es mehrere Verantwortliche für die Verarbeitung von Daten geben kann, wenn sie jeweils über die Mittel und Zwecke der Datenverarbeitung bestimmen können (Art. 4 Nr. 7 Satz 1 DSGVO):

„Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet;

Daher kann die Entscheidung auch auf die DSGVO übertragen werden.

Kann ich ein Opt-In der Nutzer in den Einsatz der Facebook-Dienste einholen?

Ein Opt-In (d.h. eine Einwilligung im Sinne des Art. 6 Abs. 1 lit. f., Art. 7 DSGVO) der Nutzer, ist theoretisch möglich, praktisch jedoch schwer umzusetzen.

Zum einen können nur Nutzer die älter als 16 Jahre (in Österreich 14) alt sind, selbst eine wirksame Einwilligung abgegeben. Ferner setzt die Einwilligung eine unmissverständliche Einwilligungserklärung voraus. Die Einwilligenden müssen zudem freiwillig und auf Grundlage eine vorhergehenden Aufklärung über die Art, den Umfang und Zwecke der Verarbeitung handeln.

Im Hinblick auf eine unmissverständliche Handlung kommen Checkboxen oder Klicks auf Schaltflächen in Frage (s. dazu unten die Fragen zur 2-Klick-Lösung oder dem Cookie-Banner). Diese Einwilligungen kommen jedoch nur auf der eigenen Website in Frage (z.B., beim Einsatz eines Like-Buttons), aber nicht bei einer Facebook-Seite.

Problematisch ist zudem die Aufklärung der Nutzer. Hier zweifeln die Datenschutzbehörden, Gerichte und sogar das Bundeskartellamt an, ob eine solche Einwilligung überhaupt in Frage kommt. Der Grund ist, dass die Datenverarbeitung durch Facebook sehr umfangreich, verschachtelt und verzweigt ist. Das bedeutet, sie ist nach diesen Ansichten von Nicht-Experten kaum bis gar nicht zu überblicken.

Zumindest müssten die Hinweise auf die Nutzung zu Werbezwecken deutlicher hervorgehoben und nicht in den Nutzungsbedingungen und der Datenschutzrichtlinie“ versteckt werden (so zuletzt das LG Berlin). Möglich wären z.B. deutlichere Hinweise im Anmeldeformular (im Sinne von „Wenn Sie jetzt klicken, werden Ihre Daten durch uns und andere Personen oder Unternehmen zu Werbe- und Marktforschungszwecken ausgewertet und eingesetzt werden„).

D.h., ein Opt-In erscheint zumindest im Hinblick auf die Social-Plugins auf der eigenen Website als theoretisch möglich, bei Facebook-Seiten weniger.

Ist die Datenschutzerklärung von Facebook nicht ausreichend?

Als einfachste Lösung erscheint eine Einwilligung, die Facebook von den Nutzern einholen würden. Aber auch hier gilt das oben gesagte zu der Intransparenz der Datenschutzerklärung von Facebook (zumindest wenn man die Ansichten der Datenschutzbehörden vertritt). Die Plattform müsste, zumindest laut Datenschützern und Gerichten, schon im Registrierungsprozess die Nutzer deutlicher auf die Nutzung ihrer Daten zu Werbezwecken hinweisen.

Des Weiteren müsste die Einwilligung unmissverständlich sein. Da mit der Anmeldung neben den Datenschutzeinwilligungen eine Menge anderer Pflichten mit akzeptiert werden müssen (z.B. Nutzungsbedingungen, Werberichtlinien, etc.), müsste die Datenschutzeinwilligung gesondert erfolgen (z.B. durch das Anhaken einer Checkbox). Das ist derzeit jedoch nicht der Fall.

Nicht zuletzt wird auch die Freiwilligkeit einer solchen Einwilligung bezweifelt. Diese ist nicht gegeben, wenn die Nutzer aufgrund äußerer Zwänge sich gezwungen fühlen, die Einwilligung in Facebooks Datenverarbeitung zu geben. So sagt das Gesetz, dass eine Einwilligung nicht freiwillig ist, wenn sie abgegeben werden muss, obwohl ein Vertrag ohne die Einwilligung erfüllt werden könnte (sog. Kopplungsverbot im Art. 7 Abs. 4 DSGVO).

D.h. Facebook müsste entweder die Einwilligung in die Werbung optional machen oder eine Alternative ohne die Einwilligung anbieten. Das wäre z.B. ein Bezahlmodell, bei dem keine Daten verarbeitet werden (das scheint Facebook zumindest in Erwägung zu ziehen).

Zusammenfassend sprechen also viele Punkte dafür, dass Facebook keine wirksame Einwilligung einholt.

Erstreckt sich die Mithaftung auf alle möglichen Datenschutzverstöße von Facebook?

Laut dem EuGH reicht die Haftung nur insoweit, wie eine Mitwirkung an Facebooks Datenverarbeitung angenommen werden kann. D.h. es geht nur um die Verarbeitung von Daten, die über die Facebook-Seite oder ein Social-Plugin erhoben wurden.

Allerdings ist der Umfang der Daten nicht unerheblich, so dass diese Einschränkung in der Praxis allenfalls bei der Bemessung der Streitwerte, Zwangs- oder Bußgelder eine Rolle spielen dürfte.

Reicht ein Eintrag in meiner Datenschutzerklärung nicht aus?

Der Eintrag in der eigenen Datenschutzerklärung ist erforderlich und dessen Fehlen würde wegen Verletzung der Informationspflicht selbst einen Datenschutzverstoß darstellen. Allerdings ist die Informationspflicht nur eine der Datenschutzpflichten, die Zulässigkeit der Datenverarbeitung eine andere.

D.h. die Datenschutzerklärung ist zwar erforderlich und sollte Hinweise zum Einsatz der Facebook-Dienste enthalten. Sie macht jedoch der Einsatz nicht rechtmäßig.

Müssen sich Datenschutzbehörden nicht zuerst gegen Facebook richten?

Seitens der Wirtschaftsakademie gibt es eine Stellungnahme, wonach die Datenschutzbehörden sich im Rahmen ihres sog. „Auswahlermessens“ zuerst gegen Facebook richten müssen.

Es bleibt zwar zu hoffen, dass das Bundesverwaltungsgericht es auch so sehen wird. Wenn Facebook allerdings (wie bisher) eher nicht auf die Forderungen der Datenschutzbehörden eingeht, wäre es ermessensgerecht gegen die Seiten-Betreiber vorzugehen.

Welche Nachteile drohen mir?

Falls eine Verarbeitung durch Facebook als rechtswidrig eingestuft werden sollte, drohen die folgenden Nachteile:

Untersagungsverfügungen von Datenschutzbehörden oder Zwangsgeld bei Nichtbefolgung (und Bußgelder, wobei ich davon ausgehe, dass zuerst nur Untersagungen erlassen werden).

Abmahnungen von Mitbewerbern (wobei es weiterhin ungeklärt ist, ob Datenschutzverstöße von Mitbewerbern abmahnbar sind).

Abmahnungen von klagebefugten Organisationen (z.B. der Verbraucherzentrale, wie im Fall des Like-Buttons geschehen, s.u.).

Abmahnungen von betroffenen Nutzern (d.h. der Besucher der Facebook-Seiten und Webseiten mit Social-Plugins).

Damit müssen neben der Unterlassung, auch die Kosten der Abmahnungen/Verfahren getragen werden. Im Regelfall sollten Sie von ca. 5.000,00 Euro (inkl. eigener Kosten und Zeitaufwands ausgehen).

Gilt das Urteil auch für Privatpersonen?

Ja, das Datenschutzrecht unterscheidet grundsätzlich nicht zwischen Privatpersonen oder Unternehmen.

Nur bei „ausschließlich persönlichen und familiären Tätigkeiten“, kommt das Datenschutzrecht nicht zur Anwendung. Das kann jedoch nur für persönliche Facebook-Profile angenommen werden, die sich nur an Freunde und Familie richten (wobei manche Juristen das verneinen und damit auch bei diesen Profilen eine Mithaftung gegeben wäre).

Allerdings sind bei Privatpersonen die Risiken weitaus geringer als bei Unternehmen. Privatpersonen können nicht von Mitbewerbern abgemahnt werden und stehen auch nicht im Fokus behördlicher Maßnahmen. Abmahnung durch andere Personen (z.B. Websitebesucher) bleiben jedoch weiterhin möglich.

Ist mit Massenabmahnungen oder Untersagungsverfügungen von Behörden zu rechnen?

Ich denke, dass das Abmahnrisiko mit der Entscheidung des EuGH gestiegen ist. Das vor allem vor dem Hintergrund andere Urteile, in denen Gerichten Datenschutzverstöße durch Facebook bejahten.

Allerdings ist damit zu rechnen, dass viele „abmahngeneigte“ Personen und Unternehmen die Entscheidungen des Bundesverwaltungsgerichts und des OLG Düsseldorf abwarten werden. Denn die Entscheidung des EuGH ist nur ein Zwischenschritt (s.o. Ausführungen zum Verfahrensverlauf).

Auch bei Datenschutzbehörden gehe ich davon aus, dass sie die Endurteile abwarten werden.

Wie soll ich mich verhalten? Soll ich meine Facebook-Seite schließen?

Wenn Sie jedwedes Risiko vermeiden möchten, dann ist der Verzicht auf die Nutzung der Facebook-Dienste eine Option, die Sie in Betracht ziehen könnten.

Allerdings sollten Sie dann auch überlegen, ob Sie Ihre Accounts nicht bei allen Plattformen löschen und keine Online-Tools einsetzen.

Wenn Sie unternehmerisch entscheiden, dann müssen Sie eine Risikoabschätzung vornehmen und abwägen, ob ein Risikoposten von ca. 5.000 Euro für Sie infrage kommt (s.o. zur Berechnung). D.h. Sie müssen sich ausrechnen, ob die sofortige Schließung der Facebook-Seite Sie mehr als 5.000 Euro kostet. Bei vielen Unternehmen wird eine solche Entscheidung pro Weiternutzung ausfallen, zumindest was das Facebook-Pixel oder die Facebook-Seite angeht.

Was mache ich, wenn Nutzer Auskünfte direkt an mich stellen?

Sie können keine Auskünfte geben, da Sie keinen Zugriff auf die Daten einzelner Nutzer haben. D.h. Sie werden die Nutzer auf Facebooks Datenschutzerklärung, Kontaktmöglichkeit und vor allem die Downloadfunktion für Nutzerdaten verweisen.

Bin ich sicher, wenn ich mit den Unternehmen Auftragsverarbeitungsverträge schließe?

Viele Onlinedienste (z.B. Google) bieten sog. Auftragsverarbeitungsverträge, in denen sie sich verpflichten die Daten ihrer Nutzer sorgfältig, sicher und nur entsprechend den Weisungen der Auftraggeber zu verarbeiten.

Vorliegend ist Facebook jedoch zum einen nicht im Auftrag der Betreiber von Facebook-Seiten oder Nutzer der Social-Plugins tätig. Es fehlt an einem Weisungsverhältnis, da Facebook sich alleine vorbehält, wie das Unternehmen mit den Daten der Nutzer verfährt.

Zudem würde ein solcher Auftragsverarbeitungsvertrag alleine nicht helfen. Im Datenschutz unterscheidet man zwischen Verarbeitungs-Vorgängen, wie die Erhebung der Daten, deren Analyse, Offenbarung gegenüber anderen Unternehmen oder deren Einsatz für Werbezwecke. Jeder Schritt ist für sich gesondert datenschutzrechtlich zu prüfen.

Ein Auftragsverarbeitungsvertrag kann allenfalls den Schritt der Offenbarung der Daten an Facebook (d.h. Einräumung der Möglichkeit des Zugriffs) gerechtfertigt werden, aber z.B. nicht die Analyse der Daten oder deren Nutzung durch Facebook für Werbezwecke.

D.h. durch die Vereinbarung eines solchen Vertrages ist allenfalls der Schritt der Offenbarung der Daten gegenüber Facebook zulässig, aber nicht die Verarbeitung der Daten durch Facebook selbst.

Allerdings würde Facebook das Risiko durch Abschluss einer Vereinbarung, in der sich das Unternehmen zur Erfüllung der Informations-, Auskunfts-, Löschungs- und weiterer Pflichten gegenüber den Nutzern verpflichtet (Vereinbarung im Rahmen gemeinsamer Verantwortlichkeit gem. Art. 26 DSGVO)

Kann Facebook sich nicht für alleine verantwortlich erklären?

Facebook könnte z.B. in den Datenschutzbestimmungen regeln, dass das Unternehmen für die Verarbeitung der Daten, Informationspflichten und Erfüllung der Nutzerrechte alleine verantwortlich ist.

Eine solche Vereinbarung würde zumindest im Verhältnis zwischen den Seiten-Betreibern für Klarheit sorgen.

Allerdings wird damit im Verhältnis zu den Nutzern keine wesentliche Änderung eintreten:

Im Datenschutzrecht kommt vor allem auf die tatsächliche Ausgestaltung der Verarbeitung und erst nachrangig auf die vertragliche Vereinbarung an. D.h. eine vertragliche Übertragung der datenschutzrechtlichen Verantwortung ist nicht möglich.

Die Nutzer können sich trotz der Vereinbarung mit Auskünften zuerst an Betreiber von Facebook-Seiten richten, die wiederum ihre Rechte aus der Vereinbarung gegenüber Facebook geltend machen und Facebook zur Auskunft gegenüber den Nutzern verpflichten würden.

Dazu kommt noch, dass Facebook gar nicht gewillt sein dürfte eine solche Vereinbarung abzuschließen. Denn sie könnte dazu führen, dass Facebook für etwaige Nachteile einstehen müsste, die den Seiten-Betreibern z.B. aufgrund nicht-rechtzeitiger Auskunft entstehen.

Muss Facebook etwaige Abmahngebühren oder Bußgelder erstatten?

Diese Frage bedürfte einer umfangreichen Prüfung. Ich sehe jedoch angesichts dessen, dass die vom EuGH entschiedene Mithaftungs-Problematik seit 7 Jahren bekannt ist und Facebook peinlichst genau vermeidet jedweder Zusagen einer Rechtssicherheit zu geben sowie die Haftung in den AGB ausschließt, die Chancen einer Erstattung derzeit als gering an.

Muss Facebook jetzt seine Datenverarbeitung anpassen?

Mit dem Urteil und den ihm folgenden Unwägbarkeiten muss Facebook tätig werden und seine Datenverarbeitungen, zumindest für EU-Nutzer anpassen. Dabei müsste Facebook auch seine Datenschutztaktik ändern.

Bisher bestand die Strategie von Facebook darin, Gerichtsverfahren in die Länge zu strecken, beanstandete Punkte anzupassen und sonst etwaige Risiken einzukalkulieren.

Das ist zwar eine übliches und unternehmerisch sinnvolles Vorgehen. Allerdings, nur wenn es um das eigene Risiko geht und die finanziellen Mittel für Gerichtsverfahren vorhanden sind (was man bei Facebook annehmen darf).

Diese Taktik, wird jedoch m.E. nicht aufgehen, wenn die eigenen Nutzer selbst unmittelbar gefährdet sind. Wenn Facebook einen riesigen Exodus der Mitglieder und vor allem zahlender Unternehmen abwenden möchte, muss das Unternehmen sein Verhalten ändern. Dazu gehört jedoch eine umfangreiche Einschränkung der Verarbeitung von Daten der Mitglieder und Nichtmitglieder sowie eine erheblich höhere Transparenz.

Allerdings werden auch diese Maßnahmen mit erheblichen Umsatzeinbußen einhergehen. Ich vermute daher, dass Facebook einen Mittelweg suchen wird. Dies kann z.B. ein Zahlungsmodell für eine trackingfreie Nutzung beinhalten, Einwilligungs-Lösungen für Social Plugins, und erhöhte Transparenz bei der Anmeldung.

Wie die Maßnahmen konkret aussehen werden, können wir derzeit nur mutmaßen.

Welche Auswirkungen hat die Entscheidung für die Nutzung von Social Plugins, des Facebook-Pixels, Custom Audiences, Conversion-Messung, etc.?

Die Entscheidungen können Sie im Prinzip auf alle Fälle übertragen, in denen Facebook-Tools eingesetzt werden. Seien es Social Plugins (z.B. Like-Button oder Einbettung von Facebook-Videos), Facebook-Ads oder das Facebook-Pixel (z.B. für Conversion-Messung oder Bildung von Custom Audiences).

In die gleiche Kerbe wie das ULD schlug bereits das Landgericht Düsseldorf im Jahr 2016 mit einem gegen das Unternehmen Peek & Cloppenburg ausgesprochenen Urteil. Das Gericht entschied, dass auch Website-Betreiber die einen Like-Button in die Website einbinden, für die Datenschutzverstöße Facebooks mithaften (s. Beitrag bei Allfacebook.de). Auch Peek & Cloppenburg ging gegen das Urteil vor und legte Berufung vor dem Oberlandesgericht Düsseldorf ein, das den Fall dem EuGH vorlegte (OLG Düsseldorf, 19.01.2017 – I-20 U 40/16). Die Entscheidung dürfte hier nicht anders als im Fall von Facebook-Seiten ausfallen.

Ist die Nutzung von Social Plugins mit einer 2-Klick-Lösung sicher?

Die Zwei-Klick-Lösung beruht auf einer Einwilligung der Nutzer. Dabei werden Social Plugins erst dann ausgeführt, wenn Nutzer dem zugestimmt haben (derzeit nur als proprietäre Workarounds, z.B. für Like-Buttons oder den Facebook-Messenger verfügbar).

Allerdings halten viele Datenschützer auch diese Lösung nicht für ausreichend, da die Nutzer nicht hinreichend über die Nutzung ihrer Daten zu Werbezwecken aufgeklärt werden (s.o. zur Einwilligung bei Facebook).

Im Ergebnis ist der Einsatz der 2-Klick-Lösung weitaus sicherer, aber nicht vollständig sicher. Ich empfehle daher z.B. statt der Social-Plugins, Social-Media-Schaltflächen zu nutzen, die keine Daten der Nutzer an Facebook senden (z.B. das Shariff-Plugin).

Welche Auswirkungen hat die Entscheidung auf die Nutzung anderer Angebote, wie Twitter, YouTube, etc.?

Die Entscheidung bezieht sich zwar nur auf Facebook, ist aber m.E. auf alle Dienste oder Tools übertragbar. Seien es Twitter- oder Instagram-Profile, Google-Maps-Einträge oder Embedding von Videos. D.h. bei all diesen Diensten haften Sie für etwaige Datenschutzverstöße mit.

Wer ist schuld?

Die Frage wer für diese Entwicklung die Schuld trägt, kann kaum beantwortet werden. So gesehen machen die Datenschutzbehörden und Facebook ihren Job. Die einen zur Stärkung des Datenschutzes der Nutzer, die anderen zur wirtschaftlichen Stärkung ihrer Anteilseigner. Sehr wahrscheinlich machen auch Sie nur Ihren Job, wenn Sie Facebook-Dienste einsetzen.

Aus diesem Grund halte ich die Schuldfrage für überflüssig. Es kommt jetzt vor allem darauf an, wie Facebook und andere Onlineanbieter reagieren werden. Ich denke, sie werden so reagieren wie es für sie am günstigsten ist. D.h. es werden bereits Handlungsoptionen bereit liegen. Die Frage wird sein, wie die viele Facebook-Seiten geschlossen werden, was wiederum davon abhängt, wie viele Abmahnungen oder Untersagungsverfügungen ausgesprochen werden.

Ich hoffe darauf, dass es nicht viele sein werden und stattdessen Facebook schnell reagiert und die Verarbeitung der eigenen Daten anpasst.

Im Ergebnis ist bis auf die Mithaftung und ein höheres Risiko noch nicht viel sicher. Allerdings dürfte sich das Internet wie wir es kennen erheblich ändern. Ob dies zu einer Flut von Opt-Ins, rein europäischen Social-Networks oder Bezahloptionen für trackingfreies Surfen führen wird, ist derzeit noch nicht absehbar.