Facebook-Fanpage – xn--tnsbergrecht-4ib.de

er EuGH hat mit Urteil vom 05.06.2018 (Rechtssache C-210/16) die Vorabfragen entschieden, dass der Betreiber einer Facebook-Fanpage gemeinsam mit Facebook Ireland für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich ist. Die Begründung des EuGH findet sich hier.

Dies Urteil hat meiner Einschätzung nach gravierende Auswirkungen für alle Facebook-Fanpage-Betreiber:

Das heutige
Urteil bedeutet, dass die aktuelle Fanpage-Nutzung rechtswidrig ist.

Mit heutigen
Urteil ist erstmalig geklärt, dass Betreiber einer Fanpage u.a. beispielsweise eine
Datenschutzerklärung vorhalten müssen, wie dies bisher „nur“ für Webseiten vorgesehen war. Auch
müssen Betreiber nun Nutzern gegenüber Auskunft erteilen, ob Daten gespeichert
und verarbeitet werden und wenn ja, wie genau.

Doch das jedoch kann kein Facebook-Nutzer leisten, das kann nur Facebook,
da Betreibern überhaupt nicht bekannt ist, in welcher Art und Weise Daten von
Facebook erhoben und verarbeitet werden.

Auch wenn es irrsinnig anmutet, aber damit können Stand heute Fanpage-Betreibern ihre Fan-Seiten löschen oder zumindest vorrübergehend deaktivieren , denn eine
rechtskonforme Umsetzung ist derzeit einfach nicht möglich.

Aber das bedeutet wohl auch, dass jeder Nutzer – jedenfalls sofern er beruflich Social Media Profile benutzt – zukünftig für die
Datenverarbeitung(sverstöße) des jeweiligen Anbieters (mit)verantwortlich ist.

Mit anderen Worten die Entscheidung dürfte so auch Facebook-Pixel, Instagram und alle Google-Dienste wie youtube und Google-Maps, Google-Adwords etc. betreffen.

Leider hilft es auch nicht darauf zu vertrauen, dass die
Entscheidung, die auf der Grundlage des alten Rechts , also der
Datenschutzrichtlinie 95/46/EG – ergangen ist und nicht die aktuelle Rechtslage
nach der seit dem 25.05.2018 geltenden DS-GVO betrifft. Aber weit gefehlt, denn
bezüglich der Verantwortlichkeit ergeben
sich gerade keine Änderungen zwischen altem und neuen Recht.

Daher gilt das zuvor gesagte: Eine rechtskonforme
Facebook-Fanseite ist derzeit nicht realisierbar. Jetzt sind die Social-Media-Plattformen
gefordert. Erst dann können beruflich genutzte Profile dort wieder rechtssicher betrieben werden.

Wer also eine Strategie des Null-Risikos fahren will, kann die Seite nur deaktivieren und warten was Facebook sich einfallen lässt.

Die Frage ist, muss man deswegen die Seite löschen oder sie vorübergehend vom Netz nehmen?

Dies ist wohl eher eine reine Kosten-Nutzen-Frage. Denn als mögliche Maßnahmen bei Verstößen, also wenn das Bundesverwaltungsgericht nach der jetzt erfolgten Klärung der Vorfragen des EuGH zu der Auffassung kommen sollte, dass Facebook gegen die Datenschutzrichtlinie 94/46/EG verstößt, dann könnten Fanseiten-Betreiber wohl mit Kosten in Höhe von 5.000,00 € rechnen.

Also ist die Überlegung wohl zunächst: Was bringt mir die Seite? Mehr als die möglichen Kosten oder weniger!

Und wenn man die Seite weiter betreibt dann können Nutzer auch Anfragen stellen.

Und wenn nun Nutzer
Anfragen direkt an Fanpagebetreiber richten, sollte diese die Nutzer auf Facebooks Datenschutzerklärung, Kontaktmöglichkeit und
vor allem die Downloadfunktion
für Nutzerdaten verweisen, da die Fanpage-Betreiber keinerlei Auskunft
geben können, da die keine Daten haben.

Der Download der
eigenen Nutzerdaten findet sich unterhalb der eigenen
Profileinstellungen(https://register.facebook.com/editaccount.php) und ist
sowohl durch das Passwort als auch durch Capchas vor Missbrauch gesichert.

Die Datenschutzerklärung von Facebook
enthält meiner Auffassung nach tatsächlich sämtliche Notwendigkeiten.

Der EuGH hat mit Urteil vom 05.06.2018 (Rechtssache C-210/16) entschieden, dass der Betreiber einer Facebook-Fanpage gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich ist.

Die Datenschutzbehörde des Mitgliedstaats, in dem dieser
Betreiber seinen Sitz hat, kann nach der Richtlinie
95/46/EG (Richtlinie 95/46/EG des
Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz
natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum
freien Datenverkehr (ABl. 1995, L 281, S. 31). Diese Richtlinie wurde mit
Wirkung vom 25. Mai 2018 durch die Verordnung (EU) 2016/679 des Europäischen
Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei
der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur
Aufhebung der Richtlinie 95/46/EG (ABl. 2016, L 119, S. 1) aufgehoben)
sowohl gegen ihn als auch gegen die in diesem Mitgliedstaat niedergelassene
Tochtergesellschaft von Facebook vorgehen.

Die
Wirtschaftsakademie Schleswig-Holstein ist ein auf den Bereich Bildung
spezialisiertes Unternehmen. Sie bietet u. a. über eine auf Facebook unter der
Adresse www.facebook.com/wirtschaftsakademie unterhaltene Fanpage (Fanpages
sind Benutzerkonten, die bei Facebook von Privatpersonen oder Unternehmen
eingerichtet werden können. Der Fanpage-Anbieter kann nach einer Registrierung
bei Facebook die von diesem unterhaltene Plattform dazu benutzen, sich den
Nutzern dieses sozialen Netzwerks sowie Personen, die die Fanpage besuchen, zu
präsentieren und Äußerungen aller Art in den Medien- und Meinungsmarkt
einzubringen.) Bildungsdienstleistungen an. Die Betreiber von
Fanpages wie die Wirtschaftsakademie können mit Hilfe der Funktion Facebook
Insight, die ihnen Facebook als nicht abdingbaren Teil des
Benutzungsverhältnisses kostenfrei zur Verfügung stellt, anonymisierte
statistische Daten betreffend die Nutzer dieser Seiten erhalten. Diese Daten
werden mit Hilfe sogenannter Cookies gesammelt, die jeweils einen eindeutigen
Benutzercode enthalten, der für zwei Jahre aktiv ist und den Facebook auf der
Festplatte des Computers oder einem anderen Datenträger der Besucher der
Fanpage speichert. Der Benutzercode, der mit den Anmeldungsdaten solcher
Nutzer, die bei Facebook registriert sind, verknüpft werden kann, wird beim
Aufrufen der Fanpages erhoben und verarbeitet.

Mit Bescheid vom 3. November 2011 ordnete das Unabhängige
Landeszentrum für Datenschutz Schleswig-Holstein – als nach der Richtlinie
95/46 für die Überwachung der Anwendung der von Deutschland zur Umsetzung
dieser Richtlinie erlassenen Vorschriften im Gebiet des Bundeslandes
Schleswig-Holstein zuständige Kontrollstelle – gegenüber der
Wirtschaftsakademie an, ihre Fanpage zu deaktivieren. Nach Auffassung des
Unabhängigen Landeszentrums für Datenschutz wiesen nämlich weder die
Wirtschaftsakademie noch Facebook die Besucher der Fanpage darauf hin, dass
Facebook mittels Cookies sie betreffende personenbezogene Daten erhebt und
diese Daten danach verarbeitet.

Die Wirtschaftsakademie erhob beim Verwaltungsgericht in
Deutschland eine verwaltungsgerichtliche Klage gegen diesen Bescheid und machte
geltend, dass ihr die Verarbeitung personenbezogener Daten durch Facebook nicht
zugerechnet werden könne und sie Facebook auch nicht mit einer von ihr
kontrollierten oder beeinflussbaren Datenverarbeitung beauftragt habe. Daraus
leitete die Wirtschaftsakademie ab, dass das Unabhängige Landeszentrum direkt
gegen Facebook und nicht gegen sie hätte vorgehen müssen.

Vor diesem Hintergrund ersucht das Bundesverwaltungsgericht
(Deutschland) den Gerichtshof um Auslegung der Richtlinie 95/46.

In seinem Urteil vom heutigen Tag stellt der Gerichtshof
zunächst fest, dass in der vorliegenden Rechtssache nicht in Zweifel gezogen
wird, dass die amerikanische Gesellschaft Facebook und, was die Union betrifft,
deren irische Tochtergesellschaft Facebook Ireland als „für die Verarbeitung“
der personenbezogenen Daten der Facebook-Nutzer und der Personen, die die auf
Facebook unterhaltenen Fanpages besucht haben, „Verantwortliche“ anzusehen
sind. Denn diese Gesellschaften entscheiden in erster Linie über die Zwecke und
Mittel der Verarbeitung dieser Daten.

Sodann befindet der
Gerichtshof, dass ein Betreiber wie die Wirtschaftsakademie als in der Union
gemeinsam mit Facebook Ireland für die fragliche Datenverarbeitung
verantwortlich anzusehen ist.

Ein solcher Betreiber
ist nämlich durch die von ihm vorgenommene Parametrierung (u. a.
entsprechend seinem Zielpublikum sowie den Zielen der Steuerung oder Förderung
seiner Tätigkeiten) an der Entscheidung
über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der
Besucher seiner Fanpage beteiligt. Der Gerichtshof weist insoweit darauf
hin, dass der Fanpage-Betreiber insbesondere demografische Daten über seine
Zielgruppe – und damit die Verarbeitung dieser Daten – verlangen kann (u. a.
Tendenzen in den Bereichen Alter, Geschlecht, Beziehungsstatus und berufliche Situation),
Informationen über den Lebensstil und die Interessen seiner Zielgruppe
(einschließlich Informationen über die Käufe und das Online-Kaufverhalten der
Besucher seiner Seite sowie über die Kategorien von Waren oder
Dienstleistungen, die sie am meisten interessieren) und geografische Daten, die
ihn darüber informieren, wo spezielle Werbeaktionen durchzuführen oder
Veranstaltungen zu organisieren sind und ihm ganz allgemein ermöglichen, sein
Informationsangebot so zielgerichtet wie möglich zu gestalten.

Nach Ansicht des Gerichtshofs kann der Umstand, dass ein
Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die
dazugehörigen Dienstleistungen in Anspruch zu nehmen, diesen nicht von der
Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener
Daten befreien.

Der Gerichtshof betont, dass die Anerkennung einer
gemeinsamen Verantwortlichkeit des Betreibers des sozialen Netzwerks und des
Betreibers einer bei diesem Netzwerk unterhaltenen Fanpage im Zusammenhang mit
der Verarbeitung personenbezogener Daten der Besucher dieser Fanpage dazu
beiträgt, entsprechend den Anforderungen der Richtlinie 95/46 einen
umfassenderen Schutz der Rechte sicherzustellen, über die die Personen
verfügen, die eine Fanpage besuchen.

Des Weiteren stellt der Gerichtshof fest, dass
das Unabhängige Landeszentrum zuständig war, zur Gewährleistung der Einhaltung
der Vorschriften zum Schutz personenbezogener Daten im deutschen Hoheitsgebiet
von sämtlichen Befugnissen, über die es nach den deutschen Bestimmungen zur
Umsetzung der Richtlinie 95/46 verfügt, nicht nur gegenüber der
Wirtschaftsakademie, sondern auch gegenüber Facebook Germany Gebrauch zu
machen.

Wenn ein außerhalb der Union ansässiges Unternehmen (wie die
amerikanische Gesellschaft Facebook) mehrere Niederlassungen in verschiedenen
Mitgliedstaaten unterhält, ist die Kontrollstelle eines Mitgliedstaats nämlich
auch dann zur Ausübung der ihr durch die Richtlinie 95/46 (Konkret Art. 28 Abs. 3 der Richtlinie 95/46) übertragenen Befugnisse gegenüber einer im
Hoheitsgebiet dieses Mitgliedstaats gelegenen Niederlassung dieses Unternehmens
befugt, wenn nach der konzerninternen Aufgabenverteilung zum einen diese
Niederlassung (hier Facebook Germany) allein für den Verkauf von Werbeflächen
und sonstige Marketingtätigkeiten im Hoheitsgebiet des betreffenden
Mitgliedstaats zuständig ist, und zum anderen die ausschließliche Verantwortung
für die Erhebung und Verarbeitung personenbezogener Daten für das gesamte
Gebiet der Union einer in einem anderen Mitgliedstaat gelegenen Niederlassung
(hier Facebook Ireland) obliegt.

Weiter führt der Gerichtshof aus, dass dann, wenn die
Kontrollstelle eines Mitgliedstaats (hier das Unabhängige Landeszentrum in
Deutschland) beabsichtigt, gegenüber einer im Hoheitsgebiet dieses
Mitgliedstaats ansässigen Stelle (hier die Wirtschaftsakademie) wegen Verstößen
gegen die Vorschriften über den Schutz personenbezogener Daten, die von einem
Dritten begangen wurden, der für die Verarbeitung dieser Daten verantwortlich ist
und seinen Sitz in einem anderen Mitgliedstaat hat (hier Facebook Ireland), die
Einwirkungsbefugnisse nach der Richtlinie 95/464 auszuüben, diese Kontrollstelle zuständig ist, die
Rechtmäßigkeit einer solchen Datenverarbeitung unabhängig von der Kontrollstelle
des letztgenannten Mitgliedstaats (Irland) zu
beurteilen und ihre Einwirkungsbefugnisse gegenüber der in ihrem Hoheitsgebiet
ansässigen Stelle auszuüben, ohne zuvor die Kontrollstelle des anderen
Mitgliedstaats um ein Eingreifen zu ersuchen.