Nachdem Ende Mai das Thema Datenschutz in Gestalt der DS-GVO in aller Munde war bzw. noch immer ist und die täglichen Prozesse in vielen Unternehmen stark tangiert, kam am 5. Juni die nächste – für viele Unternehmen folgenschwere Nachricht in Punkto Datenschutz.
Der Europäische Gerichtshof – EuGH - hat entschieden, dass Betreiber von Facebook-Fanpages und das US-Unternehmen gleichermaßen für den Datenschutz der/des Fanpage-Besuchers verantwortlich sind.
Positionspapier der Datenschutzkonferenz – DSK
Die Datenschutzkonferenz – DSK – der Zusammenschluss der Landesbeauftragten für den Datenschutz sowie der Bundesdatenschutzbeauftragten hat in einem Positionspapier – nur knapp einen Tag nach dem höchstgerichtlichen Urteil – wir folgt Stellung bezogen:
Die Zeit der Verantwortungslosigkeit ist vorbei: EuGH bestätigt gemeinsame Verantwortung von Facebook und Fanpage-Betreibern
Die unabhängigen Datenschutzbehörden des Bundes und der Länder begrüßen das Urteil des Europäischen Gerichtshofs (EuGH) vom 5. Juni 2018, das ihre langjährige Rechtsauffassung bestätigt. Das Urteil des EuGH zur gemeinsamen Verantwortung von Facebook und den Betreibern einer Fanpage hat unmittelbare Auswirkungen auf die Seitenbetreiber. Diese können nicht mehr allein auf die datenschutzrechtliche Verantwortung von Facebook verweisen, sondern sind selbst mitverantwortlich für die Einhaltung des Datenschutzes gegenüber den Nutzenden ihrer Fanpage.
Dabei müssen sie die Verpflichtungen aus den aktuell geltenden Regelungen der Datenschutz-Grundverordnung (DS-GVO) beachten. Zwar nimmt das Urteil Bezug auf die frühere Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zum freien Datenverkehr, doch die vom EuGH festgestellte Mitverantwortung der Seitenbetreiber erstreckt sich auf das jeweils geltende Recht, insbesondere auf die in der DS-GVO festgeschriebenen Rechte der Betroffenen und Pflichten der Verarbeiter.
Im Einzelnen ist Folgendes zu beachten:
- Wer eine Fanpage besucht, muss transparent und in verständlicher Form darüber informiert werden, welche Daten zu welchen Zwecken durch Facebook und die Fanpage-Betreiber verarbeitet werden. Dies gilt sowohl für Personen, die bei Facebook registriert sind, als auch für nicht registrierte Besucherinnen und Besucher des Netzwerks.
- Betreiber von Fanpages sollten sich selbst versichern, dass Facebook ihnen die Informationen zur Verfügung stellt, die zur Erfüllung der genannten Informationspflichten benötigt werden.
- Soweit Facebook Besucherinnen und Besucher einer Fanpage durch Erhebung personenbezogener Daten trackt, sei es durch den Einsatz von Cookies oder vergleichbarer Techniken oder durch die Speicherung der IP-Adresse, ist grundsätzlich eine Einwilligung der Nutzenden erforderlich, die die Anforderung der DS-GVO erfüllt.
- Für die Bereiche der gemeinsamen Verantwortung von Facebook und FanpageBetreibern ist in einer Vereinbarung festzulegen, wer von ihnen welche Verpflichtung der DS-GVO erfüllt. Diese Vereinbarung muss in wesentlichen Punkten den Betroffenen zur Verfügung gestellt werden, damit diese ihre Betroffenenrechte wahrnehmen können.
Für die Durchsetzung der Datenschutzvorgaben bei einer Fanpage ist die Aufsichtsbehörde zuständig, die für das jeweilige Unternehmen oder die Behörde zuständig ist, die die Fanpage betreibt. Die Durchsetzung der Datenschutzvorgaben im Verantwortungsbereich von Facebook selbst obliegt primär der irischen Datenschutzaufsicht im Rahmen der europäischen Zusammenarbeit.
Die deutschen Aufsichtsbehörden weisen darauf hin, dass nach dem Urteil des EuGH dringender Handlungsbedarf für die Betreiber von Fanpages besteht. Dabei ist nicht zu verkennen, dass die Fanpage-Betreiber ihre datenschutzrechtlichen Verantwortung nur erfüllen können, wenn Facebook selbst an der Lösung mitwirkt und ein datenschutzkonformes Produkt anbietet, das die Rechte der Betroffenen wahrt und einen ordnungsgemäßen Betrieb in Europa ermöglicht.
Was bedeutet das Facebook-Urteil des EuGH für den Fanpagebetreiber?
Die Stellungnahme der DSK zum Urteil des EuGH ist unmissverständlich und der letzte Abschnitt des Positionspapiers trägt eine klare Botschaft an den/die Fanpagebetreiber. Eine Realisierung der gesetzeskonformen Nutzung ohne aktive Mitwirkung von Facebook ist nahezu unmöglich und ob sich das US-Unternehmen komplett dem europäischen Datenschutz unterwerfen – und im Speziellen auf Tracking und Profiling verzichten wird – ist eher zu bezweifeln.
Im Klartext, Facebook ist jetzt am Zuge, MUSS seine Hausaufgaben machen und in Punkto Datenschutz europäische Standards – gemäß DS-GVO - umsetzen, insofern das US-Unternehmen seine Services in Europa weiter anbieten möchte.
Soll ich meine Facebook Fanpage abschalten oder löschen?
Eines sollte wohl jedem Betreiber einer Facebook Fanpage klar sein, Nichtstun ist in der Situation grundverkehrt und kann zu unangenehmen Folgen führen. Im „günstigsten Fall“ ist die Schar der Abmahnanwälte schneller als die Aufsichtsbehörde und hat den Fanpagebetreiber zum Handeln bewogen, bevor er aktenkundig geworden ist. Aber auch einer solchen Abmahnung und anwaltlichen Abzocke sollte man zuvor kommen und handeln.
Ob man sich der aktuellen Situation in aller Konsequenz stellt und seine Fanpage unwiederbringlich löscht oder sie der Öffentlichkeit unzugänglich macht – sie deaktiviert – und auf Nachbesserung Seitens Facebook hofft, muss jeder für sich entscheiden.
Sind private Facebook Fanpages hiervon auch betroffen?
Sind private Facebook Fanpages von dem Urteil des EuGH auch betroffen oder gilt dies nur für Accounts von Unternehmen, Vereinen und Organisationen, so wird sich mach privater Facebook-User fragen. Datenschutzrechtliche Vorgaben gelten im Grunde doch nur für öffentliche und nicht-öffentliche Stellen, so wird es der aufmerksame Leser des Gesetzestextes interpretieren. Grundsätzlich ist das so, jedoch muss auch eine Privatperson gesetzeskonform handeln, wenn sie sich im öffentlichen Rechtsraum befindet, was im Fall einer privaten Internetpräsenz gegeben ist.
Ergo muss sich auch der private Nutzer mit diesem EuGH-Urteil auseinandersetzen, obgleich er/sie als Privatperson sich wohl eher nicht einer anwaltlichen Abmahnung oder behördlichen Ahndung ausgesetzt sehen sollte.
