Wer eine Seite bei Facebook betreibt, ist gemeinsam mit Facebook für die entsprechende Bearbeitung von Personendaten der Besucherinnen und Besucher einer solchen Seite verantwortlich. Das geht aus dem heutigen Urteil in Rechtssache C-210/16 des Europäischen Gerichtshofes (EuGH) hervor.
In seiner Medienmitteilung beschreibt der EuGH den Sachverhalt wie folgt (mit Hervorhebung):
«Die Wirtschaftsakademie Schleswig-Holstein ist ein auf den Bereich Bildung spezialisiertes Unternehmen. Sie bietet unter anderem über eine auf Facebook […] unterhaltene Fanpage Bildungsdienstleistungen an. Die Betreiber von Fanpages […] können mit Hilfe der Funktion Facebook Insights, die ihnen Facebook als nicht abdingbaren Teil des Benutzungsverhältnisses kostenfrei zur Verfügung stellt, anonymisierte statistische Daten betreffend die Nutzer dieser Seiten erhalten. Diese Daten werden mit Hilfe sogenannter Cookies gesammelt, die jeweils einen eindeutigen Benutzercode enthalten, der für zwei Jahre aktiv ist und den Facebook auf der Festplatte des Computers oder einem anderen Datenträger der Besucher der Fanpage speichert. Der Benutzercode, der mit den Anmeldungsdaten solcher Nutzer, die bei Facebook registriert sind, verknüpft werden kann, wird beim Aufrufen der Fanpages erhoben und verarbeitet.»
Die Wirtschaftsakademie hatte argumentiert, «dass ihr die Verarbeitung personenbezogener Daten durch Facebook nicht zugerechnet werden könne und sie Facebook auch nicht mit einer von ihr kontrollierten oder beeinflussbaren Datenverarbeitung beauftragt habe.»
Facebook-Seiten: Gemeinsame Verantwortlichkeit für Facebook und Seiten-Betreiber
In seinem Urteil bestätigt der EuGH, dass die amerikanische Facebook-Gesellschaft und – in Bezug auf die Europäische Union (EU) – die irische Facebook-Gesellschaft unzweifelhaft für die Bearbeitung der betreffenden Personendaten verantwortlich ist. Diese Gesellschaften entscheiden in erster Linie über Mittel und Zwecke der Datenbearbeitung.
Aber, so der EuGH, Seiten-Betreiber sind gemeinsam mit Facebook verantwortlich (mit Hervorhebungen):
«Ein solcher Betreiber ist nämlich durch die von ihm vorgenommene Parametrierung (unter anderem entsprechend seinem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten) an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt. Der Gerichtshof weist insoweit darauf hin, dass der Fanpage-Betreiber insbesondere demografische Daten über seine Zielgruppe – und damit die Verarbeitung dieser Daten – verlangen kann (unter anderem Tendenzen in den Bereichen Alter, Geschlecht, Beziehungsstatus und berufliche Situation), Informationen über den Lebensstil und die Interessen seiner Zielgruppe (einschließlich Informationen über die Käufe und das Online-Kaufverhalten der Besucher seiner Seite sowie über die Kategorien von Waren oder Dienstleistungen, die sie am meisten interessieren) und geografische Daten, die ihn darüber informieren, wo spezielle Werbeaktionen durchzuführen oder Veranstaltungen zu organisieren sind und ihm ganz allgemein ermöglichen, sein Informationsangebot so zielgerichtet wie möglich zu gestalten.
Nach Ansicht des Gerichtshofs kann der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, diesen nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien.
Der Gerichtshof betont, dass die Anerkennung einer gemeinsamen Verantwortlichkeit des Betreibers des sozialen Netzwerks und des Betreibers einer bei diesem Netzwerk unterhaltenen Fanpage im Zusammenhang mit der Verarbeitung personenbezogener Daten der Besucher dieser Fanpage dazu beiträgt, entsprechend den Anforderungen der Richtlinie 95/46 einen umfassenderen Schut»
Die gemeinsame Verantwortlichkeit für Facebook und Seiten-Betreiber bedeutet unter anderem, dass Betreiber von Facebook-Seiten gegenüber den Besucherinnen und Besuchern ihrer Seiten bei Facebook zur Information und zur Auskunft über die bearbeiteten Personendaten verpflichtet sind. Je nach Bearbeitung kann auch eine Einwilligung der betroffenen Personen für das Tracking erforderlich sind.
Es ist zu hoffen, dass Facebook die Seiten-Betreiber so bald wie möglich bei der Erfüllung ihrer datenschutzrechtlichen Pflichten unterstützen wird. Nüchtern betrachtet weiss heute kein Seiten-Betreiber, wie und wofür genau die Personendaten der Besucherinnen und Besucher der eigenen Facebook-Seite durch Facebook bearbeitet werden.
Deutsche Behörden: Möglichkeit für direktes Vorgehen gegen Facebook in Deutschland
Im erwähnten Urteil stellt der EuGH ausserdem fest, dass deutsche Datenschutzaufsichtsbehörden nicht an Facebook in Irland gelangen müssen, sondern von ihren Kompetenzen gemäss deutschem Datenschutzrecht direkt gegenüber Facebook in Deutschland (Facebook Germany) Gebrauch machen können:
«Des Weiteren stellt der Gerichtshof fest, dass das Unabhängige Landeszentrum zuständig war, zur Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten im deutschen Hoheitsgebiet von sämtlichen Befugnissen, über die es nach den deutschen Bestimmungen zur Umsetzung der Richtlinie 95/46 verfügt, nicht nur gegenüber der Wirtschaftsakademie, sondern auch gegenüber Facebook Germany Gebrauch zu machen.»
Das Urteil bezieht sich noch nicht auf die neue Datenschutz-Grundverordnung (DSGVO, Verordnung 2016/679), sondern auf die frühere Datenschutz-Richtlinie (Richtlinie 95/46/EG). Die DSGVO, die seit dem 25. Mai 2018 gilt, ersetzte die Datenschutz-Richtlinie.
Fazit: Verletzen nun alle Facebook-Seiten den europäischen Datenschutz?
Wer auf Nummer sicher gehen möchte, muss seine Facebook-Seite(n) vorläufig deaktivieren. Kein Seiten-Betreiber kann momentan die datenschutzrechtlichen Anforderungen, wie sie in Europa für Facebook-Seiten bestehen, erfüllen. Es hilft auch nicht, dass sich das Urteil auf die bisherige Datenschutz-Richtlinie und nicht auf die neue Datenschutz-Grundverordnung bezieht, denn die grundlegenden Anforderungen für den Datenschutz haben sich nicht geändert.
Alle anderen warten ab und hoffen, von Facebook die notwendige Unterstützung zu erhalten, bevor es zu Abmahnungen und sonstigen Rechtsfolgen kommt. Das Urteil dürfte sinngemäss auch für jede andere Social Media-Präsenz gelten, zum Beispiel für Seiten bei Google+, Instagram oder LinkedIn. Auch Facebook Business Tools wie Facebook Pixel sowie Social Media-Plugins dürften betroffen sein.
Nachtrag
Inzwischen wurde das Urteil im Volltext veröffentlicht (neben Deutsch auch in den üblichen weiteren Sprachen).
Hallo Herr Steiger. Da hat man mit viel Geld und Einsatz in FB-Werbekampagnen ein paar Hundert Liker für seine FaceBook-Seite zusammen und nun das. Dass Facebook den grösstmöglichen Nutzen aus den Daten seiner Nutzerinnen und Nutzer zieht, ist wohl jedem bekannt der diese Platform nutzt. Ob es da eine Belehrung und Bevormundung durch das DSGVO braucht, sei dahingestellt. Was mich jedoch interessiert ist, wie es ist wenn sich die auf der Facebook-Fan-Seite geteilten Inhalte ausschliesslich an CH-Kunden richten? Also sich, wie in meinem Fall, auf eine Webseite beziehen die ausschliesslich an CH-Lieferadressen versendet. Trotzdem kann jemand aus dem EU-Raum meine FB-Seite liken, was wohl das Problem an der Sache ist. Was würden Sie raten? FB-Fan-Seite offline stellen, oder es wie tausende andere «drauf an kommen lassen»?
@L. C. Steimer:
Im Urteil geht es – wie erwähnt – noch gar nicht um die DSGVO. Im Urteil geht es auch gerade nicht darum, inwiefern Facebook verantwortlich ist, sondern inwiefern eine Verantwortlichkeit der Seiten-Betreiber besteht. Wenn Sie sagen, es sei den Nutzern allgemein bekannt, wo die Probleme bei Facebook liegen, kann man umgekehrt argumentieren, dass sei auch Seiten-Betreibern bekannt. Ich weiss, ganz so einfach ist es selbstverständlich nicht!
Im vorliegenden Rahmen kann ich Sie nicht beraten und Ihnen auch keine Empfehlung abgeben. Wenn Sie auf Nummer sicher gehen möchten, müssen Sie Ihre Facebook-Seite vorläufig deaktivieren.
Herzlichen Dank für Ihre Einschätzung. Ihre FB-Seite (Steiger Legal) ist ja noch aktiv – dies könnte man wohl als «Zeichen» deuten – andererseits können Sie sich im Ernstfall ja auch juristisch selber verteidigen. Nochmals danke dass Sie sich die Zeit nehmen meine und die Fragen anderer Nutzer zu beantworten. Ich werde das Thema gespannt weiter verfolgen, und hoffe sehr dass sich ein vernünftiger und praktizierbaren Weg herauskristallisiert, welcher die Interessen des Datenschutzes mit den Möglichkeiten der kleinen Webshop-Betreiber (ohne eigene Rechtsabteilung) in vernünftiger Verhältnismässigkeit regelt.
@L. C. Steimer:
«Don’t panic!» lohnt sich normalerweise. Wenn unsere Facebook-Seite noch zugänglich ist, können Sie das durchaus als Zeichen sehen. Aber vielleicht sind wir auch bloss noch nicht dazu gekommen, uns darum zu kümmern … 😉
Also wie ist das nun schon wieder: Gilt die Verordnung für alle FB Seiten, oder nur für solche bei denen es um ein Produkt oder um eine Dienstleitung geht? Oder gilt das auch für die Fan Seite von Oldtimer Freunden, einer politischen Partei oder den Kaninchenzüchterverband Zürcher Oberland?
MfG
Gilt dies auch, wenn man nur das Facebook Login für seine eigene webseite verwendet und sonst keine eigene FB-Seite betreibt?
Merci und beste Grüsse
@Hofmann:
Darüber wurde nicht direkt entschieden, aber man argumentieren, das Urteil sei auch darauf – das heisst auf Business Tools einschliesslich Account Kit – anwendbar. Erst einmal heisst es aber abwarten, wie Facebook damit umgeht. Als Nutzer kann man darauf leider keinen wesentlichen Einfluss nehmen, wenn man ehrlich ist …