Ihre Kontakte
Nachdem die Inkraftsetzung der Datenschutz-Grundverordnung (DSGVO) Ende Mai die Geschäftswelt bereits mächtig ins Schwitzen brachte, bleibt der Datenschutz auch im Juni ein heisses Thema: Der EuGH hat mit Urteil vom 5. Juni 2018 entschieden, dass der Betreiber einer Facebook-Fanpage gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich ist. Die Entscheidung erging zwar noch unter Anwendung des alten Rechts. Da die DSGVO aber auf die gleichen Kriterien abgestellt, ist das Grundsatzurteil weiterhin zu beachten. Somit können auch die Betreiber sanktioniert werden, wenn Facebook unzulässige Datenverarbeitungen im Zusammenhang mit einer Fanpage vornimmt.
Deutsche Datenschützer ordneten im Jahr 2011 Löschung einer Facebook-Fanpage an
Für die Wirtschaftsakademie Schleswig-Holstein stellt die Präsenz auf Facebook – wie für unzählige andere Unternehmen, Vereine, Organisationen und Künstler – ein unerlässliches Kommunikations- und Werbeinstrument für ihre Angebote dar. Denkbar einschneidend war die Löschungsanordnung gegen die von der Wirtschaftsakademie betriebenen Facebook Fanpage durch die zuständige Datenschutzbehörde im Jahr 2011 – unter Androhung von Zwangsgeld im Falle einer nicht fristgerechten Umsetzung.
Die Begründung der Datenschutzbehörde: Weder die Wirtschaftsakademie noch Facebook wiesen darauf hin, dass Facebook mittels Cookies personenbezogene Daten der Besucher der Fanpage erhebt und diese Daten danach verarbeitet. Dadurch verstosse die Seitenbetreiberin gegen die Bestimmungen des deutschen Rechts zur Umsetzung der Datenschutzrichtlinie 95/46 – dem Vorgängererlass der am 25. Mai 2018 in Kraft getretenen DSGVO.
Die Wirtschaftsakademie wehrte sich gegen die Löschungsanordnung mit dem Einwand, dass sie nach dem anwendbaren Datenschutzrecht nicht für die Datenverarbeitung durch Facebook verantwortlich sei. Das letztinstanzlich mit dem Rechtsstreit befasste deutsche Bundesverwaltungsgericht ersuchte den Europäischen Gerichtshof um Auslegung der besagten Datenschutzrichtlinie.
Facebook Seiten und die Funktion «Audience Insight»
Nachdem bereits andere Marketingtools von Facebook von europäischen Datenschützern kritisiert wurden (vgl. MLL-News vom 2.11.17), hatte sich das oberste EU-Gericht nun mit der Funktion „Facebook Audience Insight“ zu beschäftigen. Dabei werden Personendaten erhoben, um Besucherstatistiken für den Betreiber von Facebook-Seiten zu erstellen. Dies geschieht über ein Trackingtool zur Beobachtung und Analyse des Verhaltens der Internetnutzer zu Marketingzwecken. Diese Daten werden mit Hilfe von Cookies gesammelt, die jeweils einen eindeutigen Benutzercode enthalten, der für zwei Jahre aktiv ist und den Facebook auf der Festplatte des Computers oder einem anderen Datenträger der Besucher der Fanpage speichert.
Durch dieses verhaltensbezogene Webtracking erhält der Betreiber einer Facebook-Seite anonymisierte statistische Daten seiner Seitenbesucher, um seine Werbeangebote auf Facebook zielgerichtet zu gestalten. Dabei kann der Betreiber der Seite mit Hilfe von durch Facebook zur Verfügung gestellten Filtern die Kriterien festlegen, nach denen die Statistiken erstellt werden sollen, und sogar die Kategorien von Personen bezeichnen, deren personenbezogene Daten von Facebook ausgewertet werden.
Facebook und Seitenbetreiber sind gemeinsam verantwortlich
Die Richter in Luxemburg hielten in ihrem Urteil vom 5. Juni 2018 (C-210/16) fest, dass die Betreiber der Seite durch die von ihm vorgenommene Parametrierung zur Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beitrage. Hieraus ergebe sich – so der EuGH – eine datenschutzrechtliche Verantwortlichkeit des Seitenbetreibers neben jener von Facebook selbst.
Der EuGH räumt zwar ein, dass die von Facebook erstellten Besucherstatistiken ausschliesslich in anonymisierter Form an den Betreiber der Fanpage übermittelt werden. Die Richtlinie 95/46 verlange aber nicht, dass bei einer gemeinsamen Verantwortlichkeit jeder Verantwortliche Zugang zu den betreffenden personenbezogenen Daten hat. Auch der Umstand, dass ein Betreiber einer Fanpage lediglich die von Facebook eingerichtete Plattform nutze, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, befreie diesen gerade nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten.
Abschliessend hebt der EuGH hervor, dass die Fanpages auch von Personen besucht werden können, die über kein Facebook-Benutzerkonto verfügen. In diesem Fall erscheine die Verantwortlichkeit des Betreibers der Fanpage hinsichtlich der Verarbeitung der personenbezogenen Daten dieser Personen noch höher, da das blosse Aufrufen der Fanpage durch Besucher automatisch die Verarbeitung ihrer personenbezogenen Daten auslöse.
Folgen des Urteils für Fanpage-Betreiber
Ob nun über jedem Betreiber einer Facebook-Seite ein datenschutzrechtliches Damoklesschwert schwebt, ist zu diesem Zeitpunkt noch kaum abschätzbar. Fest steht, dass Betreiber von Facebook-Seiten bei einer datenschutzwidrigen Erhebung oder Bearbeitung durch Facebook nach diesem Urteil grundsätzlich haftbar gemacht werden könnten. Dass sich das Urteil noch auf die Rechtslage vor Inkrafttreten der neuen DSGVO bezieht, dürfte im Übrigen keinen Einfluss auf dessen Tragweite haben, zumal als „Verantwortlicher“ gemäss Art. 4 Ziff. 7 der neuen DSGVO jede natürliche oder juristische Person gelten kann, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden. Des Weiteren ist die gemeinsame Verantwortlichkeit nunmehr explizit in Art. 26 DSGVO festgeschrieben.
Jedoch ist nicht anzunehmen, dass die europäischen Datenschutzbehörden nun im grossen Stil einzelne Betreiber von Facebook-Seiten für Datenschutzverstösse des blauen Internetgiganten in die Pflicht nehmen werden. Dass die deutsche Behörde im vorliegenden Fall gegen den Seitenbetreiber vorging, war wohl auch teilweise auf die offenen Fragen hinsichtlich der Zuständigkeit deutscher Behörden für Anordnungen gegen Facebook selbst zurückzuführen. Zur bisherigen Rechtslage hat der EuGH diese Fragen nun ebenfalls geklärt und festgehalten, dass die deutschen Behörden auch gegen die deutsche Niederlassung von Facebook hätten vorgehen können, selbst wenn diese nur für den Verkauf von Werbeflächen und sonstigen Marketingtätigkeiten in Deutschland tätig ist und der Facebook Ireland Ltd nach der konzerninternen Aufgabenteilung die Gesamtverantwortung für das gesamte EU-Gebiet obliegt.
Mit Blick auf die geltende Rechtslage ist zu beachten, dass die DSGVO den sog. One-Stop-Shop eingeführt hat. Bei grenzüberschreitenden Datenverarbeitungen ist demnach im Regelfall die Aufsichtsbehörde am Ort der Hauptniederlassung ausschliesslich zuständig. Auch wenn im vorliegenden Fall wohl künftig die irischen Behörden und nicht (mehr auch) die deutschen Datenschützer zuständig sind, bestünde für Letztere mit dem Inkrafttreten der DSGVO weniger Bedarf für ein Vorgehen gegen die Fanpage-Betreiber. Denn seither gilt EU-weit der gleich hohe Datenschutz-Standard. Darüber hinaus sieht die DSGVO Mechanismen vor, die eine einheitliche Praxis der nationalen Behörden sicherstellen sollen. Die Konstellation, wie sie dem vorliegenden Sachverhalt zugrunde lag, wird es daher künftig nicht mehr im gleichen Ausmass geben können: Das Vorgehen der deutschen Datenschützer gegen die Fanpage-Betreiber ist – neben den offenen Fragen zur Zuständigkeit – auch damit zu erklären, dass der irische Data Protection Officer die Datenverarbeitungen von Facebook im Rahmen der Funktion «Audience Insight» aus Sicht der deutschen Behörden zu Unrecht nicht beanstandet hatte.
Ferner zieht der EuGH auch nicht in Zweifel, dass in erster Linie Facebook über die Zwecke und Mittel der Verarbeitung der Daten entscheidet und mithin als verantwortlich im Sinne des Datenschutzrechts anzusehen ist. Mit der Anerkennung einer gemeinsamen Verantwortlichkeit im Zusammenhang mit der Verarbeitung personenbezogener Daten könne jedoch dazu beigetragen werden, einen umfassenderen Schutz für die Rechte der Seitenbesucher sicherzustellen.
Abzuwarten ist ausserdem das Urteil des deutschen Bundesverwaltungsgerichts. Dieses ist zwar an den Entscheid des EuGH über die Grundsatzfrage der gemeinsamen Verantwortlichkeit gebunden, verfügt jedoch – namentlich für die Frage des konkreten Umfangs der (Mit)-Verantwortung des Betreibers – über einen beachtlichen Ermessensspielraum. Diesbezüglich sagt auch der EuGH in Einklang mit den Anträgen des Generalanwalts explizit, dass die grundsätzliche Bejahung einer gemeinsamen Verantwortlichkeit nicht zwangsläufig eine gleichwertige Verantwortlichkeit der verschiedenen Akteure zur Folge habe. Die gemeinsam verantwortlichen Akteure seien in verschiedenen Phasen und in unterschiedlichem Ausmass bei der Verarbeitung personenbezogener Daten involviert. Dies führe zu einem unterschiedlichen Grad der Verantwortlichkeit unter Berücksichtigung aller massgeblichen Umstände des Einzelfalls.
Folglich müsste gerade bei den Betreibern von Facebook-Seiten berücksichtigt werden, dass sie die umstrittenen Tracking-Tools von Facebook und den Umgang mit den Nutzerdaten nur begrenzt beeinflussen können. Sofern also die Informationen über die Datenverarbeitungen (nach wie vor) ungenügend sind und damit eine Datenschutzverletzung vorliegt, wären die Seiten-Betreiber bei der Umsetzung des Verbesserungsbedarfs auf die Mitwirkung von Facebook angewiesen. Dies gilt umso mehr für die Anforderung der DSGVO, dass «gemeinsam Verantwortliche» in einer Vereinbarung festlegen müssen, wer von ihnen welche Verpflichtung der DSGVO erfüllt. Bislang bietet Facebook noch keine Möglichkeit zum Abschluss dieser zwingend notwendigen Vereinbarung. Gerade auch aufgrund der jüngsten Skandale ist jedoch zu erwarten, dass Facebook in den verschiedensten Bereichen Verbesserungen anstrebt. Dadurch verringert sich auch ein allfälliges Haftungsrisiko der Seitenbetreiber.
Was den konkreten Handlungsbedarf anbelangt, hat die Konferenz der deutschen Datenschützer (DSK) bereits eine Entschliessung verabschiedet. Dieses ist zwar sehr allgemein gehalten und es fehlen klare Positionierungen. Immerhin wird darin aber nicht die Forderung gestellt, Facebook-Fanpages umgehend abzuschalten, selbst wenn zwingende Anforderungen derzeit nicht eingehalten werden.
Weitere Informationen:
- Urteil des EuGH vom 5. Juni 2018 (C-210/16)
- Entschliessung der deutschen Datenschutzkonferenz (DSK) zur Verantwortlichkeit von Fanpage-Betreibern
- MLL-News vom 2.11.17: «Facebook Custom Audiences und Lookalike Audiences – eine datenschutzrechtliche Gratwanderung»
- MLL-News vom 21.9.17: „Totalrevision DSG: Bundesrat veröffentlicht Gesetzesentwurf und Botschaft“
- MLL-News vom 30.7.17: „Jetzt handeln: EU-DSGVO-Umsetzungsfrist läuft am 25. Mai 2018 ab“