Facebook-Fanpage – sind nun doch die Seitenbetreiber für die Datenverarbeitung von Facebook verantwortlich?

Soziale Netzwerke sind für zahlreiche Unternehmen eine wichtige Plattform, um Kunden und Interessenten anzusprechen. Auf Facebook können Unternehmen dazu eine Facebook-Fanseite (Fanpage) erstellen. Der Europäische Gerichtshof (EuGH) soll nun über die Frage entscheiden, ob Seitenbetreiber von Fanpages für datenschutzrechtliche Verstöße durch Facebook verantwortlich sind (den bisherigen Verlauf des Rechtstreits können Sie hier einsehen).

Hintergrund

Anlass des Verfahrens vor dem EuGH ist eine Anordnung des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) gegenüber der Wirtschaftsakademie Schleswig-Holstein (WAK) aus dem Jahr 2011. Demnach sollte die WAK ihre Fanpage wegen datenschutzrechtlicher Verstöße durch Facebook deaktivieren. Die WAK sah sich als nicht verantwortliche Stelle. Der Fall gelangte bis zum Bundesverwaltungsgericht, das dem EuGH sechs Fragen zur Klärung vorlegte. Neben der Frage, wer für die Datenverarbeitung im Rahmen von Fanpages verantwortlich ist, sollte der EuGH auch darüber entscheiden, ob deutsche Aufsichtsbehörden überhaupt für die Überprüfung und Kontrolle von Facebook zuständig sind und deutsches Datenschutzrecht anwendbar ist. Die Europazentrale von Facebook befindet sich schließlich in Irland. Die deutsche Niederlassung von Facebook ist nur für Marketingmaßnahmen in Deutschland zuständig.

Der Schlussantrag des Generalanwalts

Der Generalanwalt Yves Bot empfiehlt in seinem Schlussantrag, Facebook Ireland und Facebook Inc. (USA) als gemeinsam Verantwortliche für die Datenverarbeitung anzusehen. Für die Datenverarbeitung im Rahmen der Fanpage, insbesondere das Tracking von Besuchern, soll nach Ansicht des Generalanwalts zudem der Seitenbetreiber gemeinsam mit Facebook Irland und USA verantwortlich sein. Der Fanpagebetreiber ermögliche schließlich durch die Einrichtung dieser Seite, dass die Aktivitäten seiner Seitenbesucher getrackt werden. Auch wenn der Seitenadministrator nur auf anonyme Besucherstatistiken zugreifen könne, mache er sich dennoch die Infrastruktur von Facebook zunutze und akzeptiere die Vertragsbedingungen. Der Seitenbetreiber habe bestimmenden Einfluss auf die Verarbeitung und könne diese auch beenden, indem er die Fanpage schließe. Daher müsse er auch die Verantwortung für den Schutz personenbezogener Daten übernehmen.

Außerdem bejahte der Generalanwalt die Zuständigkeit der deutschen Aufsichtsbehörde für die Überprüfung der Datenverarbeitung durch Facebook und die Anwendbarkeit deutschen Datenschutzrechts. Dies begründet er damit, dass die deutsche Niederlassung von Facebook die durch Facebook Ireland erhobenen Daten deutscher Nutzer auch gezielt für ihre Marketingaktivitäten in Deutschland nutzt.

Auswirkungen auf Fanpagebetreiber

Wenn der EuGH dem Schlussantrag des Generalanwalts folgt, wirft dies für die Praxis viele Fragen auf, weil die Datenschutz-Grundverordnung (DSGVO) im Gegensatz zum Bundesdatenschutzgesetz (BDSG) für mehrere Verantwortliche besondere Pflichten regelt. Nach Art. 26 DSGVO müssen die für Datenverarbeitung gemeinsam Verantwortlichen eine schriftliche Vereinbarung treffen. In dieser ist unter anderem festzulegen, wer welche Pflichten aus der DSGVO übernimmt. Für Datenschutzverstöße haften mehrere Verantwortliche zudem im Außenverhältnis als Gesamtschuldner. Die wesentlichen Punkte einer solchen Vereinbarung müssten auch den betroffenen Personen zur Verfügung gestellt werden.

Ob Facebook bereit wäre, die sich aus der gemeinsamen Verantwortlichkeit ergebenden Pflichten zu erfüllen und wie Fanpagebetreiber eigene Pflichten gegenüber betroffenen Personen erfüllen können, ist schwer abzusehen. Der Ausgang des Verfahrens und die Auswirkungen auf die Praxis bleiben daher spannend.