home / Aktuelles

29.10.2018, Verantwortlich für Datenschutzverstöße durch Facebook?

Eine deutsche Wirtschaftsakademie betrieb eine Facebook-Fanpage und wurde vom unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein durch Bescheid verpflichtet, die Fanpage zu deaktivieren. Begründet wurde dies damit, dass weder die Wirtschaftsakademie noch Facebook die Besucher der Fanpage darauf hinweisen, dass Facebook mittels Cookies personenbezogene Daten erhebt und diese Daten verarbeitet. Der EuGH bejahte in seiner Entscheidung die Frage, ob der Betreiber einer Fanpage in einem sozialen Netzwerk datenschutzrechtlich auch für Verstöße verantwortlich ist, die durch das soziale Netzwerk begangen werden.


Der EuGH begründet dies damit, dass jede Person, die eine Facebook-Fanpage einrichtet, mit Facebook einen Vertrag über die Eröffnung einer solchen Seite schließt und dabei den Nutzungsbedingungen (einschließlich der Cookie-Richtlinie) zustimmt.


Der EuGH erkannte, dass im Rahmen der Datenverarbeitung (Betrieb der Fanpage) auf dem Endgerät der Person, die die Fanpage besucht, Facebook Cookies platziert, die die Speicherung von Informationen im Webbrowser bezwecken und für die Dauer von zwei Jahren aktiv sind, sofern sie nicht vom Nutzer gelöscht werden. Facebook empfängt und verarbeitet diese Informationen. Dies ist insbesondere dann der Fall, „wenn eine Person die „Facebook-Dienste, Dienste, die von anderen Mitgliedern der Facebook-Unternehmensgruppe bereitgestellt werden, und Dienste, die von anderen Unternehmen bereitgestellt werden, die die Facebook-Dienste nutzen“, besucht. Außerdem können Facebook-Partner oder Dritte Cookies verwenden, um Facebook bzw. den dort werbenden Unternehmen Dienstleistungen bereitstellen“ (siehe Rz 33 des Urteils).


Da der Fanpage-Betreiber demografische Daten über die Zielgruppe verlangen kann und so Tendenzen in den Bereichen Alter, Geschlecht, Beziehungsstatus und berufliche Situation, Informationen über den Lebensstil und die Interessen seiner Zielgruppe sowie Informationen über Käufe und das Online-Kaufverhalten der Fanpage-Besucher verlangen kann, ist es dem Betreiber möglich, sein Informationsangebot so zielgerichtet wie möglich zu gestalten (Rz 37 des Urteils).


Der EuGH zog daraus den Schluss, dass Facebook und die Wirtschaftsakademie als Fanpage-Betreiber gemeinsam personenbezogene Daten verarbeiten, da der Fanpage-Betreiber Nutznießer der Datenverarbeitung ist.


Der EuGH gesteht zwar zu, dass die Verarbeitung der Besucherstatistiken in anonymisierter Form erfolgt, jedoch ist die Erstellung der Statistiken nur mittels personenbezogener Daten möglich. Im Ergebnis führt dies aber zu einer gemeinsamen Verantwortlichkeit von Facebook und dem Fanpage-Betreiber.


Für den EuGH ergibt sich aber nicht zwangsläufig eine gleichartige Verantwortlichkeit der verschiedenen Akteure. Diese können in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß in der Weise einbezogenen sein, dass der Grad der Verantwortlichkeit unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist (Rz 43 des Urteils).


Somit liegt die „Hauptlast“ der datenschutzrechtlichen Verantwortung noch immer bei Facebook, da Facebook personenbezogene Daten verarbeitet und lediglich das „anonyme“ Ergebnis dieser Daten(auswertung) an Fanpage-Betreiber im Rahmen von „Facebook-Insight“ (der Analysedienst von Facebook) weitergibt.


Dies bedeutet, dass der Betrieb einer Facebook-Fanpage weiterhin zulässig ist, sofern die Verarbeitung von personenbezogenen Daten im Rahmen der Website „Facebook“ der aktuellen Rechtslage entspricht. Fraglich ist allerdings, ob der Betrieb von Facebook in der derzeitigen technischen Ausgestaltung überhaupt rechtlich zulässig ist. Unklar ist auch, wie die nationalen Datenschutzbehörden den Grad der Verantwortlichkeit des jeweiligen Fanpage-Betreibers qualifizieren.


Solange hier keine rechtliche Sicherheit herrscht, empfiehlt es sich für Fanpage-Betreiber, Facebook-Analysedienste wie etwa „Facebook-Pixel“ bzw. „Facebook-Insight“ zu deaktivieren. Nachdem kein Nutzen aus der (möglicherweise unzulässigen) Verarbeitung personenbezogener Daten durch Facebook gezogen wird, würde das Risiko eines Datenschutzverstoßes minimiert.


Mittlerweile gab Facebook bekannt, die Nutzungsbedingungen und Richtlinien zu aktualisieren, um die genauen Verantwortlichkeiten von Facebook selbst und Fanpage-Betreibern zu verdeutlichen. Diesen soll so die Einhaltung der rechtlichen Bedingungen erleichtert werden.