Am 05.06.2018 hat der EuGH entschieden, dass Nutzer, die bei Facebook eine Fanpage betreiben, für diese datenschutzrechtlich eine Mitverantwortung tragen. In großer Panik haben viele Unternehmen ihre Fanpages gelöscht – das halte ich für überstürzt, denn:

  1. Wer einen Account oder Fanpage zu ausschließlich privaten und familären Zwecken nutzt, ist von der Datenschutz-Grundverordnung (DSGVO) nicht betroffen.
  2. Die Vorabentscheidung des EuGH klärt nur, wie weit der Begriff der „verantwortlichen Stelle“ auszulegen ist. Unmittelbare Auswirkung auf die Haftung von Fanpage-Betreibern hat das nicht.
  3. Der dem Verfahren zugrunde liegende Sachverhalt ist veraltet – längst hat Facebook Erläuterungen zur Datenverarbeitung mit Cookies in seiner Datenschutzrichtlinie nachgebessert. Über das Seitenimpressum der Page kann zudem eine externe Datenrichtline eingepflegt werden.
  4. Die Datenschutz-Grundverordnung sieht das Konstrukt der „Gemeinsamen Verantwortung“ gem. Art. 26 DSGVO vor. Facebook könnte auf die Nutzer im Geltungsbereich der DSGVO zugehen und die gemeinsame Verantwortung regeln, sodass klar ist, wer welche Pflichten hat und wie sich die Haftung für mögliche Datenschutzverstöße durch Facebook auf Fanpage-Betreiber auswirkt.
  5. Abzuwarten bleibt auch die endgültige Entscheidung des Bundesverwaltungsgerichts – erst diese unmittelbare Rechtswirkung für deutsche Fanpage-Betreiber haben.

Mehr dazu in meiner Urteilsanmerkung in der Legal Tribune Online vom 6.6.2018: 

https://www.lto.de/recht/hintergruende/h/eugh-c21016-facebook-fanpages-datenschutz-verantwortlichkeit/ 

Das Gericht begründet seine lange erwartete Entscheidung damit, dass Facebook Cookies setzt, um die Insights zu generieren. Diese Insights enthalten demografische Angaben und Informationen über die Interessen der Nutzer. Fanpage-Betreiber verwenden diese Informationen, um ihre Fanpages zielgruppengerecht anzupassen und Werbeschaltungen (Promotions) zu optimieren; daher seien sie gemeinsam mit Facebook für die Zwecke und Mittel der Datenverarbeitung verantwortlich. 

„Nach Auffassung des Unabhängigen Landeszentrums für Datenschutz wiesen nämlich weder die Wirtschaftsakademie noch Facebook die Besucher der Fanpage darauf hin, dass Facebook mittels Cookies sie betreffende personenbezogene Daten erhebt und diese Daten danach verarbeitet (…).

Sodann befindet der Gerichtshof, dass ein Betreiber wie die Wirtschaftsakademie als in der Union gemeinsam mit Facebook Ireland für die fragliche Datenverarbeitung verantwortlich anzusehen ist.

Ein solcher Betreiber ist nämlich durch die von ihm vorgenommene Parametrierung (u. a. entsprechend seinem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten) an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt. Der Gerichtshof weist insoweit darauf hin, dass der Fanpage-Betreiber insbesondere demografische Daten über seine Zielgruppe – und damit die Verarbeitung dieser Daten – verlangen kann (u. a. Tendenzen in den Bereichen Alter, Geschlecht, Beziehungsstatus und berufliche Situation), Informationen über den Lebensstil und die Interessen seiner Zielgruppe (einschließlich Informationen über die Käufe und das Online-Kaufverhalten der Besucher seiner Seite sowie über die Kategorien von Waren oder Dienstleistungen, die sie am meisten interessieren) und geografische Daten, die ihn darüber informieren, wo spezielle Werbeaktionen durchzuführen oder Veranstaltungen zu organisieren sind und ihm ganz allgemein ermöglichen, sein Informationsangebot so zielgerichtet wie möglich zu gestalten.“ (PM EuGH)

Was bedeutet das für die Praxis?

Das Risiko, dass eine Datenschutzaufsichtsbehörde oder ein Abmahn-Anwalt gegen fehlende oder unzureichende Datenschutz-Informationen auf FB-Fanpages vorgehen werden, ist deutlich gestiegen. Gleichwohl informiert Facebook mittlerweile relativ umfangreich darüber, wie Cookies gesetzt bzw. personenbezogene Daten verarbeitet werden. Welche Anpassungen bei der Fanpage vorgenommen werden müssen, um diese legal zu betreiben, sollte daher genau geprüft und die Risiken abgewogen werden. Fanpage-Betreiber unterliegen nunmehr den Anforderungen der DSGVO.  Fanpage-Betreiber können im Seitenimpressum unter „Datenrichtlinie“ Datenschutz-Informationen gem. Art. 13 DSGVO darüber aufnehmen, wie personenbezogene Daten gemeinsam mit Facebook verarbeitet werden. Insbesondere Gewinnspiele und die hier erwähnten Insights sollten angesprochen werden.