Rückenwind für den Datenschutz?
Nachdem der Europäische Gerichtshof (EuGH) im Juni 2018 festgestellt hatte, dass Facebook-Fanpages in der bisherigen Gestaltung nicht datenschutzkonform waren und somit sowohl Facebook als auch der Fanpagebetreiber in der datenschutzrechtlichen Verantwortung stehen, hat das Bundesverwaltungsgericht dies ebenfalls klargestellt: Die Betreiber von Fanpages können bei Datenschutzverstößen belangt werden.
Köln, 12.09.2019 – Mit Urteil vom 11.09.2019 (Az. 6 C 15/18) hat das Bundesverwaltungsgericht (BVerwG) klagestellt, dass die Betreiber von gewerblichen Fanpages auf Facebook für die Datensammlung von Nutzerdaten im Hintergrund mitverantwortlich sind. Daraus resultiere, dass Unternehmer durch Datenschützer verpflichtet werden können, die Unternehmensseite abzuschalten. Und zwar dann, wenn die Unternehmensseite schwere datenschutzrechtliche Mängel aufweise.
Was war passiert?
Das Verfahren ist nicht neu. Bereits im Jahre 2011 hatte das Landeszentrum für Datenschutz (ULD) von der Wirtschaftsakademie Schleswig-Holstein gefordert, deren Fanpage zu deaktivieren. Denn Facebook erhebe Daten von den Nutzern der Unternehmensseite, ohne dass diese darüber Kenntnis erlangen. Als Betreiber trage das Unternehmen die datenschutzrechtliche Verantwortung – und zwar auch dann, wenn die gesamte technische Abwicklung von Facebook ausgeführt werde.
Nachdem das Oberverwaltungsgericht (OVG) Schleswig-Holstein diese Auffassung nicht zu teilen vermochte, sah sich das BVerwG in der Pflicht, die Rechtsfrage dem EuGH vorzulegen. Die Luxemburger Richter stellten zunächst fest, dass die europäische Tochtergesellschaft Facebook Ireland verantwortlich für die Verarbeitung der personenbezogenen Daten der Besucher von Fanpages ist. Darüber hinaus entschied der EuGH jedoch, dass auch die Betreiber von Fanpages wie die Wirtschaftsakademie nicht von datenschutzrechtlichen Verpflichtungen befreit sind. Vielmehr seien diese gemeinsam mit Facebook Ireland für die fragliche Datenverarbeitung verantwortlich.
Entsprechend ging der Fall zur endgültigen Entscheidung an das BVerwG zurück, welches im Sinne der ULD entschieden hat und klarstellte, dass die Betreiber von Fanpages eben durch die Datenschützer dazu verpflichtet werden dürfen, ihre Fanpage abzuschalten. Nach Aussage von Schleswig-Holsteins Datenschutzbeauftragtem Hansen sei dies „Rückenwind für den Datenschutz“.
Dieser Rückenwind könnte vom Mittelstand aber auch durchaus als Gegenwind wahrgenommen werden. Denn das Urteil führt derzeit dazu, dass kleine und mittlere Unternehmen in Sachen Datenschutz auf Social-Media-Kanälen verunsichert sind. Und dies, obwohl die Präsenzen bei Facebook und anderen Social Media Plattformen mittlerweile unabdingbar sind, um Kundenbeziehungen zu pflegen.
Wie geht es weiter?
Möglichkeiten zur Risikominimierung bei Facebook-Fanpages bestehen. Je nachdem, wie Verbundgruppen bisher aufgestellt sind, empfiehlt es sich, die Website und Fanpage einer rechtlichen Würdigung zu unterziehen, um entsprechende Handlungsempfehlungen an die Hand geben zu können. Die ServiCon Service & Consult eG berät Verbundgruppen hierbei gerne.
Ein Lichtblick besteht
Voraussichtlich wird die erwartete ePrivacy-Verordnung ab Ende 2019 regeln, unter welchen Voraussetzungen Tracking für Statistikzwecke über längere Zeiträume ohne ausdrücklich Einwilligung der Betroffenen zulässig ist.