EuGH-Urteil mit Folgen: Betreiber von Facebook Fanseiten sind für nachvollziehbaren Datenschutz verantwortlich

Unsicherheit, falsches Halbwissen und jede Menge Unmut: Die DSGVO hat bei mittleren und kleinen Unternehmen hohe Wogen geschlagen. Nun hat ein Urteil des Europäischen Gerichtshofs (EuGH) in dieser hochemotionalen Phase noch einmal die DSGVO-Misere befeuert.

Fanpage-Betreiber auf Facebook sind nach Auffassung der Richter mitverantwortlich für den Schutz ihrer Besucherdaten. Zahlreiche Unternehmen reagierten spontan und schalteten ihre Fanseiten einfach ab, da sie sich nicht dazu imstande sahen, datenschutzrechtlich korrekt zu handeln und dieser Verpflichtung nachzukommen. Ein Urteil mit brachialer Wirkung.

Der Vorfall hat eine Historie

Es war im Jahr 2011 in Schleswig-Holstein: Damals verlangte der frühere Landesdatenschutzbeauftragte, dass die IHK-Wirtschaftsakademie Schleswig-Holstein mit sofortiger Wirkung ihre Fanpage auf Facebook zu deaktivieren habe. Begründung: Die Akademie setze Cookies ein, um Nutzerdaten zu erheben und daraus eine Besucherstatistik zu erstellen. Allerdings können Unternehmen, die Facebook nutzen, diesen Service nicht einfach „abbestellen“, er ist quasi systemimmanent.

Jedoch habe die Akademie darauf nicht gesondert hingewiesen und somit gegen die Datenschutzbestimmungen verstoßen. Im anschließenden Rechtsstreit entwickelte sich das Verfahren rasch zum Musterprozess. Zunächst tendierten die Richter in Richtung der IHK-Akademie. Schließlich wandte sich das Bundesverwaltungsgericht mit einem Fragenkatalog an den Europäischen Gerichtshof.

EuGH stellt bisherige Urteile auf den Kopf

Der EuGH beurteilt den Fall völlig anders als die Gerichte in niedrigeren Instanzen und fällt ein spektakuläres Urteil. Auch wenn die EU-Richter sich in ihrer Begründung noch auf die EU-Datenschutzrichtlinie aus dem Jahr 1995 stützen, ist diese im fraglichen Aspekt mit der aktuellen DSGVO konform.

So heißt es im Urteil, dass Fanpage-Betreiber in der Verantwortung für die Verarbeitung personenbezogener Daten ihrer Seitenbesucher stehen, denn sie entscheiden bekanntlich gemeinsam mit Facebook über den Zweck der Datenverarbeitung. Und tatsächlich sind Fanpage-Betreiber dazu in der Lage, die von Facebook erhobenen Daten zu kontrollieren und die Prozesse zu steuern. Facebook bietet seinen Kunden Kriterien wie Alter, Geschlecht, Beruf und geografische Informationen an, um zielgenau werben zu können.

Dabei spielt es keine Rolle, dass diese Besucherdaten anonymisiert sind. Die Datenerhebung über Cookies beinhaltet eindeutige Nutzerkennungen und stellt in Verbindung mit den Zugangsdaten für Facebook einen eindeutigen Bezug zur Person her. Das Gericht nimmt Facebook als Hauptverantwortlichen in die Pflicht, dehnt aber den DSGVO-Schlüsselbegriff „Verantwortlicher“ auch auf die gewerblichen Nutzer von Facebook aus.

Es ist noch unklar, welche Konsequenzen drohen

Auch wenn die DSGVO absolut klar stellt, wer in solchen Konstellationen welchen Teil der Verantwortung trägt, ist das Urteil von großer Tragweite. Unternehmen, die Fanpages anbieten wie beispielsweise die IHK-Akademie, sind schon durch das bloße Betreiben der Seite im Schulterschluss mit Facebook datenschutzrechtlich außerhalb des grünen Bereichs – und dadurch von empfindlichen Strafen bedroht.

Doch wie gestaltet sich ein sicherer Weg, Fanpages weiter zu betreiben? Hier wäre Aktivität seitens Facebook mehr als wünschenswert. Denn die DSGVO spricht Klartext: „Ungeachtet der Einzelheiten“ kann eine von der Datenschutzverletzung betroffene Person ihre Rechte gegenüber jedem einzelnen der Verantwortlichen geltend machen. (Artikel 26 DSGVO Absatz 3). Also ist bis zu einer generellen Verantwortungsübernahme durch Facebook jeder Betreiber mit in der Pflicht. Das macht die künftige Nutzung von Facebook für Werbung und digitalen Austausch mit Fans äußerst unsicher.

Ein Grundsatzurteil

Offenbar besteht trotz aller Schlagkraft des Urteils kein Anlass zu übereiltem Handeln. Beobachter gehen davon aus, dass das Urteil des EuGH grundsätzlich zu betrachten ist. Denn: Die Richter bezeichnen die Inhalte solcher Fanseiten nicht generell als Verstoß gegen die DSGVO. Desweiteren ist fraglich, mit welchen Hinweisen für die Nutzer die Betreiber künftig ihrer Pflicht nachkommen sollen.

Ferner ist noch unklar, wie genau die Verantwortungsteilung zwischen Unternehmen und Facebook zu bewerten ist. Der EuGH signalisiert in der Urteilsbegründung, dass diese nicht zwangsläufig eine „Fifty-Fifty“-Konstellation sei. Noch ist nichts definitiv. Und es bleibt zu erwarten, welche Konsequenzen das Urteil haben wird.

„Ruhe bewahren“ ist die Devise

Beruhigend ist, dass das Urteil noch nicht als abgeschlossen gilt. Daher sind auch die Datenschutzbehörden noch in Wartestellung. Im Prinzip hat der EuGH bislang Fragen beantwortet, in denen es um Verantwortlichkeiten von Fanpage-Betreibern geht. Auf dieser Basis wird das Bundesverwaltungsgericht in Leipzig zu entscheiden haben, ob die Wirtschaftsakademie mit ihrer Fanpage wirklich gegen die DSGVO verstößt. Bis es soweit ist, wird noch reichlich Zeit vergehen.