Ein aktuelles Urteil des Europäischen Gerichtshofes sorgt insbesondere bei den Betreibern von Fanpages auf Social Media-Plattformen wie Facebook für Verwirrung. Welche Verantwortung müssen die Betreiber im Hinblick auf Datenschutz übernehmen? Wann sind Fanpages rechtswidrig? Müssen Fanpages auf Facebook jetzt gestoppt werden?
Hintergründe des EuGH-Urteils
Die Wirtschaftsakademie Schleswig-Holstein betreibt schon seit längerer Zeit eine Fanpage auf Facebook. Das hört sich im ersten Augenblick recht unverdächtig an. Solche Fanpages betreiben viele, Privatpersonen, Vereine und gewerbliche Organisationen. Allerdings hat die Wirtschaftsakademie über von Facebook zur Verfügung gestellte Funktionen Zugriff auf Benutzerprofile erlangt und Daten sammeln können. Hierin sah das Landeszentrum für Datenschutz einen Verstoß gegen den Datenschutz. Die Nutzer hatten keine Möglichkeit, gegen die Erstellung dieser Profile Widerspruch einzulegen. Die Wirtschaftsakademie wurde aufgefordert, die Fanpage zu deaktivieren.
Urteile von deutschen Gerichten
Gegen diese Entscheidung ging die Wirtschaftsakademie gerichtlich vor. In erster Instanz bekam die Klägerin Recht. Das Gericht argumentierte, dass der Betreiber der Seite keinen Einfluss auf die Sammlung der Daten hat. Diese Funktion wird von Facebook zur Verfügung gestellt. Daher sei die Wirtschaftsakademie dafür nicht verantwortlich. Die Auswertung von Daten in anonymisierter Form rechtfertigt noch keine Mitverantwortung. Das Gericht hielt auch die Anordnung der Datenschützer für überzogen.
Revision beim Bundesverwaltungsgericht
Das Oberverwaltungsgericht bestätigte das Urteil in erster Instanz. Wegen der grundsätzlichen Bedeutung des Falles wurde aber eine Revision an das Bundesverwaltungsgericht zugelassen. Das Bundesverwaltungsgericht selbst hat in diesem Fall keine Entscheidung getroffen. Vielmehr entschieden die Richter, den Fall dem Europäischen Gerichtshof vorzulegen.
Der EUGH sieht Mitverantwortung bei Fanpage-Betreibern
Die Richter in Luxemburg hatten nun darüber zu entscheiden, ob Facebook alleine die Verantwortung für die Funktionen von Facebook Insight und den damit verbundenen Cookies trägt. Oder ob die Verantwortung zwischen Facebook und den Betreibern von Seiten, die diese Features nutzen, aufgeteilt wird.
Der EuGH hat nun entschieden, dass die Nutzung einer Plattform den Betreiber einer Fanpage nicht von seinen Pflichten in Bezug auf den Datenschutz befreie. Im Klartext: Wer ein Tool nutzt, das personenbezogenen Daten nicht ausreichend schützt, hat die Mitverantwortung.
Wie lässt sich das Problem lösen?
Allerdings stellten die Richter auch klar, dass das Vorgehen der Behörde gegen einen Betreiber einer Fanpage nicht der richtige Weg ist. Sinnvoller ist ein Vorgehen gegen Facebook selbst, da hier die Hauptverantwortung für den nicht gesetzeskonformen Umgang mit den Daten liegt. Ein Stellvertreterkrieg gegen die Betreiber von Fanpages ist hier nicht zielführend.
Mit diesem Urteil ist kein vorschnelles Abschalten von geschäftlich genutzten Fanpages auf Facebook verbunden. Betreiber sollten in ihre Seite eine Datenschutzerklärung nach der DSGVO einbinden und die weitere rechtliche Entwicklung beobachten. Die einzig zielführende Lösung ist zurzeit, dass Facebook als Betreiber seine Tools an die rechtlichen Vorgaben anpasst. Um das zu erreichen, sollte der Druck auf die Social Media-Plattform erhöht werden. Facebook ist die Adresse, an die sich die Datenschützer wenden müssen.