Ein Beitrag unserer Kooperationspartnerin Inge Seher. Inge Seher ist Fachanwältin für gewerblichen Rechtsschutz bei Kramer und Partner Rechtsanwälte (http://www.anwaltskanzlei-online.de/) und zertifizierte Datenschutzbeauftragte (TÜV).
Der Europäische Gerichtshof (EuGH) hat in dieser Woche für großes Aufsehen gesorgt.
Mit Urteil vom 05.06.2018 (Az. C-210/16) entschied der EuGH, dass jeder Facebook-Seitenbetreiber mitverantwortlich für mögliche Datenschutzverstöße von Facebook sei. Es komme nicht darauf an, ob der Facebook-Seitenbetreiber Einfluss auf die personenbezogenen Daten der Besucher habe, noch dass er die personenbezogenen Daten überhaupt nicht kenne. Entscheidend sei allein, dass er eine Facebook-Seite betreibe und somit als Mitverantwortlicher personenbezogene Daten verarbeite. Da Facebook und der Facebook-Seitenbetreiber gemeinsame Verantwortliche sind, ist der Seitenbetreiber, ebenso wie Facebook, auch für die Erfüllung der Informationspflichten und die Ansprüche der Betroffenen mitverantwortlich.
Das Urteil des EuGH bezieht sich auf die (alte) Datenschutzrichtlinie (Richtlinie 95/46/EG). Es ist aber davon auszugehen, dass das Urteil auf die DSGVO übertragen werden kann, da es um ähnliche Regelungen in Bezug auf die Mitverantwortlichkeit geht.
Unternehmen, die eine Facebook-Seite betreiben, wird diese Entscheidung hart treffen. Denn sie haben keinen Einfluss auf die Verarbeitung der personenbezogenen Daten durch Facebook, haften aber als Mitverantwortliche und müssen somit mit Abmahnungen, Bußgeldern oder sogar Auskunftsersuchen der Betroffenen rechnen. Facebook ist für die Datenschutzbehörden ein rotes Tuch und es ist damit zu rechnen, dass die Datenschutzbehörden diese Entscheidung zum Anlass nehmen, weitere Datenschutzverstöße durch Facebook direkt bei dem Seitenbetreiber zu sanktionieren. Auch hierfür hat der EuGH in seinem Urteil Tür und Tor eröffnet.
Wir sparen uns an dieser Stelle Ausführungen dazu, worum es bei dem Streit eigentlich ging. Klar ist, dass jeder betroffen ist, der eine Facebook-Seite betreibt, insbesondere zu gewerblichen Zwecken.
Die Frage ist jetzt: Wie gehen wir mit dieser Entscheidung um?
1. Müssen Sie sofort handeln?
Bei der Entscheidung des EuGH handelt es sich um eine Entscheidung zu einer Vorlagefrage des Bundesverwaltungsgerichts. Das Bundesverwaltungsgericht hat dem EuGH Fragen zur Datenschutzrichtlinie gestellt, um ein endgültiges Urteil in einem Rechtstreit zwischen der Datenschutzbehörde Schleswig-Holstein und dem Unternehmen „Wirtschaftsakademie Schleswig-Holstein GmbH“ zu entscheiden.
Das bedeutet, dass nun das BVerwG unter Bezugnahme der Entscheidung des EuGH ein endgültiges Urteil fällen wird. Das Gericht muss die EuGH-Entscheidung dabei auf den Einzelfall des Rechtsstreits anwenden. Hierbei zählt nicht allein, ob ein Facebook-Seitenbetreiber für mögliche Datenschutzverstöße durch Facebook haftet, sondern, ob Facebook auch tatsächlich Datenschutzverstöße vornimmt.
Auf das Urteil des BVerwG zu warten, wäre meines Erachtens aber ein Spiel mit der Zeit. Denn in dem Urteil geht es noch um die alte Rechtslage. Die neue Rechtslage unter der DSGVO ist weit schärfer und gefährlicher.
2. Begeht Facebook überhaupt Datenschutzverstöße, für die Sie mithaften?
Viele Punkte, die die DSGVO vorschreibt, werden von Facebook nicht umgesetzt. Das offensichtlichste Beispiel ist die intransparente Datenschutzerklärung (verschachtelte Sätze, keine konkreten Angaben), wo doch die DSGVO vorschreibt, den Betroffenen so transparent wie möglich aufzuklären. So heißt es bei Facebook zum Thema „Wie verarbeiten und übermitteln wir Daten im Rahmen unserer globalen Dienste? Wir teilen Informationen weltweit, sowohl intern zwischen den Facebook-Unternehmen als auch extern mit unseren Partnern sowie mit denen, mit denen du dich auf der ganzen Welt verbindest und mit denen du etwas teilst…“ Wer die externen Partner sind, bleibt Facebooks Geheimnis. Wozu die Daten weitergeben werden, wird auch nicht näher erläutert.
Der EuGH hat sich klar ausgedrückt. Wenn Sie als Facebook-Seitenbetreiber mitverantwortlich für die Datenverarbeitung und die damit einhergehenden Pflichten nach der DSGVO sind, dann verstoßen auch Sie gegen die Informationspflichten gegenüber den Betroffenen. Wenn Sie rechtssicher sein wollen, müssten Sie eine transparente Datenschutzerklärung für die Facebook-Seitennutzer abgeben, in der Sie erklären, wie Facebook mit den jeweiligen personenbezogenen Daten umgeht. Das können Sie nicht? Dann wird es auch nichts mit dem rechtssicheren Betreiben einer Facebook-Seite.
3. Was kann passieren? (Risikoabwägung, falls Sie auf die Facebook-Seite nicht verzichten wollen)
Ich bin der Auffassung, dass die Aufsichtsbehörden mit dem Betreiben einer Facebook-Seite einen klaren Verstoß gegen die DSGVO sehen werden und somit, unter Berufung auf die Entscheidung des EuGH, Verwarnungen bzw. Untersagungsverfügungen aussprechen oder sogar Bußgelder verhängen werden.
Und angesichts unserer abmahnfreudigen Gesellschaft ist auch damit zu rechnen, dass Abmahnungen von Wettbewerbern ausgesprochen werden. Denn das Risiko eines solchen Unternehmens ist denkbar gering. Eine einstweilige Verfügung vor einem Gericht ist schnell beantragt. Die Gerichte erlassen, auch wenn ich es für juristisch bedenklich halte, oft ohne weitere Prüfung eine einstweilige Verfügung, welche dann im Raum steht. Dann muss das abgemahnte Unternehmen erst mal Geld in die Hand nehmen, um die einstweilige Verfügung aus der Welt zu schaffen. In diesem Fall ist es nicht selten, dass die Entscheidung erst in der Berufungsinstanz aufgehoben wird (wenn überhaupt).
Auch kann es passieren, dass Betroffene plötzlich von ihrem Auskunftsrecht Gebrauch machen. Hier allerdings dürfte schnell Abhilfe geschaffen werden können. Sie als Facebook-Seitenbetreiber haben keine Daten und müssten somit auf den Mitverantwortlichen, nämlich Facebook, verweisen.
4. Worauf läuft das alles hinaus?
Es ist ein leidiges Thema und für die Unternehmen eine sehr schlechte Entscheidung des EuGH. Meiner Meinung nach wird es darauf hinauslaufen, dass das Betreiben von Social-Media-Seiten für viele Unternehmen ein zu großes Risiko darstellt. Andere Unternehmen werden es vielleicht aus wirtschaftlichen Gründen und unter Abwägung des finanziellen Risikos zunächst darauf ankommen lassen. Facebook wird entweder einlenken und transparenter über die Verarbeitung der Daten aufklären, oder ein neues System einführen, um zu versuchen, die Datenschutzpflichten weiterhin zu umgehen.
5. Was ist mit Social Plugins?
Hier wird es in naher Zukunft ebenfalls eine Entscheidung des EuGH geben. Wir halten Sie auf dem Laufenden.
Und hier ein paar Ausschnitte aus dem Urteil zu den Fragen:
In welchem Umfang sammelt Facebook personenbezogene Daten?
33 Wie aus den dem Gerichtshof vorgelegten Akten hervorgeht, erfolgt die im Ausgangsverfahren in Rede stehende Datenverarbeitung im Wesentlichen in der Weise, dass Facebook auf dem Computer oder jedem anderen Gerät der Personen, die die Fanpage besucht haben, Cookies platziert, die die Speicherung von Informationen in den Web-Browsern bezwecken und für die Dauer von zwei Jahren wirksam bleiben, sofern sie nicht gelöscht werden. Außerdem geht aus den Akten hervor, dass in der Praxis Facebook die in den Cookies gespeicherten Informationen empfängt, aufzeichnet und verarbeitet, insbesondere wenn eine Person die „Facebook-Dienste, Dienste, die von anderen Mitgliedern der Facebook-Unternehmensgruppe bereitgestellt werden, und Dienste, die von anderen Unternehmen bereitgestellt werden, die die Facebook-Dienste nutzen“, besucht. Außerdem können andere Stellen wie Facebook-Partner oder sogar Dritte „auf den Facebook-Diensten Cookies verwenden, um [diesem sozialen Netzwerk direkt] bzw. den auf Facebook werbenden Unternehmen Dienstleistungen bereitzustellen“.
34 Diese Verarbeitungen personenbezogener Daten sollen u. a. zum einen Facebook ermöglichen, sein System der Werbung, die es über sein Netzwerk verbreitet, zu verbessern. Zum anderen sollen sie dem Betreiber der Fanpage ermöglichen, zum Zweck der Steuerung der Vermarktung seiner Tätigkeit Statistiken, die Facebook aufgrund der Besuche dieser Seite erstellt, zu erhalten, die es ihm beispielsweise ermöglichen, Kenntnis von den Profilen der Besucher zu erlangen, die seine Fanpage schätzen oder die seine Anwendungen nutzen, um ihnen relevantere Inhalte bereitstellen und Funktionen entwickeln zu können, die für sie von größerem Interesse sein könnten.
35 Auch wenn der bloße Umstand der Nutzung eines sozialen Netzwerks wie Facebook für sich genommen einen Facebook-Nutzer nicht für die von diesem Netzwerk vorgenommene Verarbeitung personenbezogener Daten mitverantwortlich macht, ist indes darauf hinzuweisen, dass der Betreiber einer auf Facebook unterhaltenen Fanpage mit der Einrichtung einer solchen Seite Facebook die Möglichkeit gibt, auf dem Computer oder jedem anderen Gerät der Person, die seine Fanpage besucht hat, Cookies zu platzieren, unabhängig davon, ob diese Person über ein Facebook-Konto verfügt.
Warum haftet ein Facebook-Seitenbetreiber für die Verarbeitung der personenbezogenen Daten mit?
36 In diesem Rahmen geht aus den dem Gerichtshof unterbreiteten Angaben hervor, dass die Einrichtung einer Fanpage auf Facebook von Seiten ihres Betreibers eine Parametrierung u. a. entsprechend seinem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten impliziert, die sich auf die Verarbeitung personenbezogener Daten zum Zweck der Erstellung der aufgrund der Besuche der Fanpage erstellten Statistiken auswirkt. Mit Hilfe von durch Facebook zur Verfügung gestellten Filtern kann der Betreiber die Kriterien festlegen, nach denen diese Statistiken erstellt werden sollen, und sogar die Kategorien von Personen bezeichnen, deren personenbezogene Daten von Facebook ausgewertet werden. Folglich trägt der Betreiber einer auf Facebook unterhaltenen Fanpage zur Verarbeitung der personenbezogenen Daten der Besucher seiner Seite bei.
37 Insbesondere kann der Fanpage-Betreiber demografische Daten über seine Zielgruppe – und damit die Verarbeitung dieser Daten – verlangen, so u. a. Tendenzen in den Bereichen Alter, Geschlecht, Beziehungsstatus und berufliche Situation, Informationen über den Lebensstil und die Interessen seiner Zielgruppe und Informationen über die Käufe und das Online-Kaufverhalten der Besucher seiner Seite, die Kategorien von Waren oder Dienstleistungen, die sie am meisten interessieren, sowie geografische Daten, die ihn darüber informieren, wo spezielle Werbeaktionen durchzuführen oder Veranstaltungen zu organisieren sind, und ihm ganz allgemein ermöglichen, sein Informationsangebot so zielgerichtet wie möglich zu gestalten.
38 Zwar werden die von Facebook erstellten Besucherstatistiken ausschließlich in anonymisierter Form an den Betreiber der Fanpage übermittelt, jedoch beruht die Erstellung dieser Statistiken auf der vorhergehenden Erhebung – durch die von Facebook auf dem Computer oder jedem anderen Gerät der Personen, die diese Seite besucht haben, gesetzten Cookies – und der Verarbeitung der personenbezogenen Daten dieser Besucher für diese statistischen Zwecke. Die Richtlinie 95/46 verlangt jedenfalls nicht, dass bei einer gemeinsamen Verantwortlichkeit mehrerer Betreiber für dieselbe Verarbeitung jeder Zugang zu den betreffenden personenbezogenen Daten hat.
39 Unter diesen Umständen ist festzustellen, dass der Betreiber einer auf Facebook unterhaltenen Fanpage wie die Wirtschaftsakademie durch die von ihm vorgenommene Parametrierung u. a. entsprechend seinem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt ist. Daher ist der Betreiber im vorliegenden Fall als in der Union gemeinsam mit Facebook Ireland für diese Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 einzustufen.