Internetrecht

Betreiber von Facebook-Fanpages sind (mit)verantwortlich

Facebook steht ohnehin oft genug am digitalen Pranger, wenn es um das Thema Datenschutz und Datensicherheit geht. Nun könnte sich in einem seit Jahren schwelenden Verfahren um Facebook-Fanpages ein wegweisendes Urteil anbahnen.
AAA
Teilen (23)

DatenschutzVor dem EuGH wird ein folgenschweres Urteil zum Datenschutz und Fanpage-Betreibern erwartet 2011 wurde vor dem Europäischen Gerichtshof (EuGH) ein Verfahren angestrengt, in dessen Mittel­punkt einmal mehr Facebooks Hand­habung des Daten­schutzes steht. Konkret geht es um die Frage, ob Betreiber einer Fanpage auf Facebook dafür verantwortlich gemacht werden können, wie Facebook den geltenden Daten­schutz einhält.

Nun hat Generalanwalt Yves Bot des EuGH seine Schluss­anträge vorgestellt (Rechtssache C-210/16, PDF-Datei), nachdem am 27. Juni eine mündliche Verhandlung in der Sache vor dem EuGH stattgefunden hatte. Seiner Einschätzung nach ist der Betreiber einer Fanpage auf Facebook sehr wohl mit­verantwortlich, wenn Facebook personen­bezogene Daten erhebt, speichert und verarbeitet. Im Wortlaut heißt es, Zitat: "Meines Erachtens ist nämlich davon auszugehen, dass die Wirtschafts­akademie für die in der Erhebung von personen­bezogenen Daten durch Facebook bestehende Phase der Verarbeitung gemeinsam mit Facebook verantwortlich ist."

Ins Rollen gebracht hatte das Verfahren damals im Jahre 2011 eine Anweisung des Unabhängigen Landes­zentrums für Daten­schutz Schleswig-Holstein (ULD), in welcher die erwähnte und privat­wirtschaftlich geführte Wirtschafts­akademie Schleswig-Holstein (WAK) ihre Fanpage bei Facebook wegen datenschutz­rechtlicher Verstöße schließen sollte.

Rechtliche Frage zur Verantwortung

Nach etlichen Verhandlungen an deutschen Gerichten hatte das Bundes­verwaltungs­gericht den Fall schließlich am 25. Februar 2016 an den EuGH weiter­gereicht, zusammen mit sechs Grundsatz­fragen zu dem Sachverhalt, da der Fall nicht nur deutsche Unternehmen betrifft. Denn eines der zentralen Themen in diesem Verfahren ist die Frage nach der Verantwortung von Unternehmen, wenn diese für ihre eigenen Zwecke Dienst­leister wie soziale Netzwerke verwenden und wie die Zuständigkeiten der Datenschutz­behörden ausfallen, wenn diese grenz­überschreitend agieren müssen.

Nun liegen wie erwähnt die Schluss­anträge des General­anwalts Bot vor. Seiner Ansicht nach gilt die Mitverantwortung auch dann, wenn der jeweilige Fanpage-Betreiber keinen Zugang zu den von Facebook und anderen sozialen Netzwerken erhobenen Daten hat, die mittels Cookie erhoben und ausgewertet werden. Facebook stellt schließlich unter anderem das Analyse-Werkzeug Facebook Insights zur Verfügung, womit Fanpage-Betreiber anonymisierte und aufbereitete Daten über die Besucher der Fanpage nach verschiedenen Kriterien einsehen können.

Mit Verwendung der Insight Tools und den Zugriff auf diese Statistiken nimmt ein Fanpage-Betreiber aktiv an der Verarbeitung der Daten teil, was wiederum die Daten­verarbeitung an sich überhaupt erst in Gang bringt - was wiederum Facebook die Erlaubnis einbringt, diese Daten zu verwenden. Gewissermaßen ein kleiner Teufelskreis.

Komplexe Rechtsauffassung

Womöglich ist es dieser Punkt, welchen General­anwalt Yves Bot als Knackpunkt für die Mitverantwortung sieht. Immerhin habe der Betreiber aus freien Stücken die Vertrags­bedingungen von Facebook zur Daten­erhebung und -verarbeitung angenommen, so Bot. Nur weil er keinen direkten Zugang zu diesen Daten habe, würde ihn das nicht von seinen datenschutz­rechtlichen Pflichten befreien.

Laut Yves Bot hat der Betreiber einer Fanpage bestimmenden Einfluss auf Facebook und jederzeit die Macht, die Sammlung und Verarbeitung der Daten zu beenden, auch wenn dies eine Schließung der Fanpage beinhaltet. Der General­anwalt sieht de facto keinen Unterschied zwischen Fanpage-Betreibern und Website-Betreibern. Letzterer integriert für gewöhnlich Webtracking-Dienstleister, deren Setzen von Cookies zum Tracken der Website-Besucher ebenfalls die Daten­erhebung zugunsten des Dienst­leisters unterstützt. Genau so verhält es sich nach Ansicht des General­anwalts eben auch mit Fanpage-Betreibern.

Nicht unerwähnt bleiben sollte zudem, dass Yves Bot das ULD grundsätzlich darin bestätigte, nationales Recht in dieser Sachlage anzuwenden. Die Behörde sei nicht verpflichtet gewesen, die Datenschutz­aufsichts­behörde des EU-Mitglied­staates mit einzubeziehen, in welcher Facebook seinen europäischen Sitz hat, was Irland gewesen wäre.

Noch nicht das Ende des Verfahrens

Auch wenn die Schlussanträge des General­anwalts Yves Bot eine gewisse Klarheit verschaffen, ist das Urteil des EuGH in dem Fall noch nicht gefällt worden. Gebunden ist das Gericht ebenfalls nicht an die Schluss­anträge des General­anwalts, hat sich aber in der Vergangenheit bereits öfters in wesentlichen Zügen an seinen Empfehlungen orientiert und diese übernommen.

Zumal sich, sofern das Gericht den Schlussanträgen folgt, die Frage stellt, wie das Urteil in der Praxis umgesetzt werden soll. Immerhin müssten Fanpage-Betreiber ihrer Informationspflicht nachkommen und Besucher im Vorfeld darüber in Kenntnis setzen, dass Daten gesammelt und ausgewertet werden. Jedoch ist die inhaltlich korrekte Wiedergabe für den Großteil der Fanpage-Betreiber enorm schwer umzusetzen, ganz einfach weil das Wissen welche Daten überhaupt erhoben werden, nicht vorhanden ist. Ganz zu schweigen von den klar ersichtlichen sowie verständlichen Hinweisen auf der Website des Betreibers sowie auf der Fanpage, dass Daten erhoben und verarbeitet werden.

Insofern könnte das finale Urteil durchaus so aussehen, dass Betreiber von Fanpages sehr wohl in der Verantwortung stehen, was mit den gesammelten Daten der Nutzer passiert. Ob dies nur für Facebook gilt oder andere soziale Medien, wird sich bei dem finalen Urteil und dessen Urteils­begründung zeigen.

Lesen Sie in einer weiteren Meldung, warum Facebook die Daten von deutschen WhatsApp-Nutzern nicht weitergeben darf.

Teilen (23)

Mehr zum Thema Facebook