Ist es möglich, bei Facebook datenschutzkonform Fanpages bzw. Unternehmensprofile zu betreiben? Ein Urteil des Europäischen Gerichtshofs (EuGH) vom 5. Juni 2018 sorgt in dieser Frage für großen Aufruhr. Denn der EuGH ist der Meinung, dass Betreiber einer Facebook-Fanpage gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher dieser Fanpage verantwortlich seien. Das wiederum führt zu erheblichem juristischen Klärungsbedarf. Zwar bezieht sich das Urteil auf die Rechtslage vor Anwendbarkeit der EU-Datenschutz-Grundverordnung (DSGVO), der Wortlaut des Gesetzes ist in diesem Bereich aber nahezu gleichgeblieben.

Die Frage nach der gemeinsamen Verantwortlichkeit

Wie schön waren doch die Zeiten, in denen man sich als werbendes Unternehmen von zahlreichen Datenschutzvorschriften befreien konnte, indem man Dienstleister wie Facebook mit der Kundenpflege betraute. Die neue Datenschutz-Grundverordnung (DSGVO) hat sich zum Ziel gesetzt solche Vakua der Verantwortungslosigkeit zu bekämpfen. Als Instanz zur Auslegung europäischen Rechts nahm sich der Europäische Gerichtshof kürzlich in der Rechtssache C‑210/16 der Frage an, ob ein Unternehmen, das eine Fanpage auf Facebook betreibt, eigentlich auch datenschutzrechtliche Verantwortung trägt. Der EuGH fragte konkreter, ob der Betreiber der Fanpage demnach gemeinsamer Verantwortlicher im Sinne der nun überholten EU-Datenschutzrichtlinie ist oder mangels Einblick in Facebooks Prozesse eben keine Verantwortung für die Daten von Nutzern trägt.

Am Begriff des Verantwortlichen hat sich auch unter der DSGVO nicht viel geändert. Es hieß bisher, dass die neue Verordnung den Begriff der gemeinsamen Verantwortlichkeit einführt. Tatsächlich enthielt aber auch schon Art. 2 der Datenschutzrichtlinie dieses Konstrukt, welches allerdings in den wenigsten Mitgliedstaaten umgesetzt wurde. Artikel 26 DSGVO geht immer dann von gemeinsamen Verantwortlichen aus, wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen. Klingt abstrakt, ist es auch.

Der EuGH untersuchte also, wie viel Einblick ein Unternehmen überhaupt benötigt, um es als gemeinsamen Verantwortlichen in die Pflicht nehmen zu können. Nach dem Urteil bedarf es für die Verantwortung (auch unter der nun geltenden DSGVO) nur einer indirekten Beeinflussung der Mittel und Zwecke der Verarbeitung. Diese Beteiligung kann so aussehen, dass das Unternehmen in der Facebook-Maske Einstellungen z. B. zu seinem Zielpublikum vornehmen kann und die Möglichkeit besitzt (anonymisierte!) Auswertungen der Fanpagenutzung einzusehen. Diese Auswertungen clustern das Zielpublikum nach Alter, Geschlecht, Beruf, etc. Im Rahmen der Profilbildung verarbeitet Facebook selbstredend die Klarnamen der Nutzer, der Betreiber einer Fanpage bekommt diese jedoch nie zu Gesicht. Nichtsdestotrotz entschied der Gerichtshof, dass diese Verarbeitung dem Betreiber zuzurechnen ist, damit die Nutzung einer Plattform eben kein Datenschutz-Vakuum auslöst. Doch was können Unternehmen nun aus diesem Urteil ableiten?

Die Zukunft von Social-Media-Unternehmensseiten und Tracking in der Krise

Zunächst ist wohl grundsätzlich davon auszugehen, dass sich das Urteil auch auf verwandte soziale Netzwerke erstreckt. Der EuGH stellt in Randziffer 35 seines Urteils ausdrücklich klar, dass die Platzierung von Cookies und damit verbundenes Tracking durch das soziale Netzwerk ein ausschlaggebender Faktor ist, ob ein Betreiber gemeinsame Verantwortlichkeit trägt. Demnach sollte bei der Nutzung von vergleichbaren Diensten (z.B. Instagram, Snapchat, Youtube etc.) ein Augenmerk darauf gerichtet werden, inwiefern Sie als Bertreiber einer Unternehmensseite bzw. einer Fanpage Einblick in Nutzerverhalten gewinnen und inwiefern Ihnen die Verarbeitung von personenbezogenen Daten auf der jeweiligen Seite einen wirtschaftlichen Vorteil verschafft.

LinkedIn-Unternehmensseiten wirbt zum Beispiel damit, spezielle Zielgruppen direkt mit relevantem Content anzusprechen. Da diese Zielgruppen durch demographische Informationen erstellt werden, ist gemeinsame Verantwortlichkeit sehr wahrscheinlich. Neben sozialen Netzwerken könnten auch andere Services, wie z. B. Google My Business (steuert die Einträge in Google Maps) potentiell unter die Räder des EuGH-Urteils gelangen. Denn für Sie als Betreiber sind zahlreiche Statistiken zu Brancheneinträgen auf Google verfügbar, darunter wie und wo Nutzer Ihren Brancheneintrag gefunden haben und wie sie sich im Unternehmenseintrag verhalten haben.

Doch das Vorgehen ist nicht per se datenschutzwidrig und Netzwerkanbieter könnten Betreiber bald aus der Unzulässigkeit befreien. Zum Beispiel ist eine transparente Vereinbarung notwendig, die festlegt, welcher der gemeinsamen Verantwortlichen welche rechtliche Verpflichtung erfüllt, z. B. die Erfüllung der Rechte der betroffenen Personen.

Das Verhältnis zwischen Fanpagebetreibern und Facebook ist momentan komplett ungeregelt, sodass der Datenschutz nicht wirksam aufrechterhalten werden kann. Da Facebook und andere Anbieter so eine Vereinbarung momentan noch nicht anbieten, existiert keine Möglichkeit das Verhältnis vollkommen datenschutzkonform zu gestalten. Aber das Urteil ist noch jung und könnte entsprechende Anbieter dazu bewegen, solche Vereinbarungen in Zukunft bereitzustellen. Facebook kündigte im Nachgang zum Urteil bereits an, an entsprechenden Neuregelungen zu arbeiten.

Zudem sind Betroffene über die Verarbeitung ihrer Daten zu informieren. Obwohl Facebook umfangreich über seine vielfältigen Tätigkeiten informiert, kann nicht von einer transparenten Information an Betroffene ausgegangen werden, weil den Fanpage-Betreibern die nötigen Informationen fehlen, um selbst allumfassend aufzuklären.

Erschwerend kommt hinzu, dass sich die Datenschutzkonferenz (Vereinigung deutscher Aufsichtsbehörden) zum Urteil kritisch äußerte und die Einholung der Einwilligung für die Trackingdatenverarbeitung einfordert. Da Facebook und vergleichbare Anbieter vollkommen den technischen Rahmen bestimmen, können nur diese entsprechende Dialogfelder implementieren, um Betroffenen die Einwilligung ins Tracking abzuringen. Leider kann sich ein Betreiber jedoch auch hier nicht von seiner Verantwortlichkeit freimachen und ist als gemeinsamer Verantwortlicher, neben Schadenersatz, auch Bußgeldern ausgesetzt.

Die Konkretisierung der gemeinsamen Verantwortlichkeit

Bisher war der Begriff der gemeinsamen Verantwortlichkeit auf die Definition im Gesetz beschränkt und damit wenig konkretisiert. In der Praxis sieht man wenige bis keine Fälle, in denen kollaborierende Unternehmen sich eine gemeinsame Verantwortlichkeit eingestehen und entsprechende Zusatzvereinbarungen treffen. Das mag daran liegen, dass bezüglich dieser Fallgestaltung bisher viel Unsicherheit herrscht.

Das EuGH-Urteil bringt partiell Licht ins Dunkel, indem es Rückschlüsse darauf zulässt, wie groß die Schnittmenge der Verarbeitungen zweier oder mehr Unternehmen sein muss, um von gemeinsamen Verantwortlichen zu sprechen. Denn auch die Inanspruchnahme von verkaufsfördernden Aktivitäten auf einer dem Betreiber verschlossenen Plattform könnte in der Zukunft gemeinsame Verantwortlichkeit bedeuten. Allein die Beteiligung an der Festlegung der Zwecke und Mittel kann dazu ausreichen unter die Definition des Art. 26 Abs. 1 DSGVO zu fallen. Dabei müssen die gemeinsamen Verantwortlichen nicht gleichwertig an der Verarbeitung beteiligt sein, sondern die Grade der Beteiligung können in verschiedenen Phasen der Verarbeitung variieren.

Wenn zum Beispiel eine Ticketplattform nebenbei ihren eigenen Kundenstamm ausbaut, indem sie Veranstaltungstickets im Namen eines Auftraggebers verkauft, dann verfolgen Auftraggeber und die Ticketplattform gemeinsame Zwecke. Der Auftraggeber genießt z. B. einen Reichweitenvorteil dadurch, dass die Ticketplattform die Kundendaten erhält. Die Kundendaten werden von der Ticketplattform zwar unter anderem für eigene Zwecke genutzt, entspringen aber der geschäftlichen Verbindung zum Auftraggeber. Folglich profitieren beide Einheiten von der gemeinsamen Verarbeitung und legen die Ziele gemeinsam fest. In welchem Ausmaß diese Vermengung von Interessen und Zweckverfolgungen geschieht, ist der ausschlaggebende Bewertungsfaktor und ist laut dem Urteil nicht dadurch beschränkt, dass der Aufraggeber in unserem Beispiel keine Kenntnis darüber hat, wie genau die Kundendaten bei der Ticketplattform verarbeitet werden. Sofern die Ticketplattform Auswertungen für den Auftraggeber durchführt, besteht schließlich keinerlei Zweifel, dass es sich um gemeinsame Verantwortliche handelt.

Die Rechtslage wird in Zukunft hoffentlich durch weitere Urteile und Stellungnahmen von Behörden ausgestaltet, bis vollkommene Klarheit darüber herrscht, wann gemeinsame Verantwortlichkeit vorliegt.

Was können Unternehmen mit einer Fanpage nun tun?

Mit Blick auf die möglichen Folgen des EuGH-Urteils können nun die folgenden Handlungsoptionen von Fanseitenbetreibern abgewogen und auf ähnliche Internetportale übertragen werden:

Unternehmensseiten und Fanpages, die das Tracking von Nutzern zulassen, zunächst deaktivieren und abwarten: Dies ist momentan die rechtssicherste Variante. Das mag sehr vorsichtig erscheinen, ist allerdings der Tatsache geschuldet, dass

  • Einwilligungen für das Tracking derzeit nicht eingeholt werden können,
  • die Betroffenen unzureichenden Einblick in die Verarbeitung erhalten und
  • keine Vereinbarung zur gemeinsamen Verantwortlichkeit geschlossen werden kann.

All das sind aber grundlegende Voraussetzungen für Datenschutzkonformität!

Die kommende ePrivacy-Verordnung wird voraussichtlich ab 2019 regeln, unter welchen Voraussetzungen Cookies gesetzt werden dürfen. Sofern dann Cookies, die für Statistikzwecke über längere Zeiträume Besucher tracken, ohne ausdrückliche Einwilligung der Betroffenen zulässig sind, wäre zumindest eine datenschutzrechtliche Hürde überwunden.

Der Einfach-weiter-so-Weg

Kopf in den Sand und nichts tun: Das würde bedeuten darauf zu warten, dass Facebook (und vergleichbare Netzwerke) die technischen Funktionen für Auswertungen betreiberseitig einschränken lassen. Alternativ müssten die Anbieter ermöglichen, dass Einwilligungen eingeholt werden, Nutzer besser informiert sind und die gesetzlich geforderten Vereinbarungen unterschrieben werden. Wir bewegen uns dabei im Bußgeldbereich von maximal (!) 4% des Jahresumsatzes.

Da Facebook die Haftung für Rechtsverletzungen in seinen Nutzungsbedingungen ausschließt, könnten Sie neben Bußgeldern im Ernstfall auf den Schadenersatzzahlungen an Betroffene sitzen bleiben.

Der mittlere Weg

Möglich ist auch, einfach die eigenen Datenschutzhinweise anzupassen: Sie könnten darüber informieren, welche Daten Sie von Facebooknutzern erhalten, wie Sie diese verarbeiten und wie sie durch Facebook verarbeitet werden. Damit hätte man zumindest die Aufklärung der Betroffenen nach bestem Wissen und Gewissen verbessert.

Es scheint nach momentaner Sachlage dennoch unmöglich darüber aufzuklären, wie Facebook Daten verarbeitet, denn nicht einmal Facebook-Chef Mark Zuckerberg selbst konnte in der Anhörung vor dem Europäischen Parlament genau beschreiben, wie die Datenverarbeitung bei Facebook abläuft. Ihre Datenschutzhinweise müssten übrigens auch auf dem Unternehmensprofil im sozialen Netzwerk selbst in irgendeiner Form zugänglich sein, weil viele Besucher Ihre Fanpage direkt aufrufen.

Fazit: Datenschutzkonforme Fanpages sind derzeit kaum umzusetzen

Das Urteil des EuGH zu Facebook-Fanpages erstreckt sich auf weit mehr Onlineanbieter, als man vermuten würde. Momentan gibt es keine Möglichkeit eine Facebook-Fanpage rechtskonform zu betreiben. Die Risiken können Sie durch bessere Information der Nutzer marginal verringern, was eventuell die Höhe von Bußgeldern oder Schadenersatzansprüchen beeinflusst.

Doch die positive Seite sollte nicht unterschlagen werden: Für den Begriff der gemeinsamen Verantwortlichkeit ist mit dem EuGH-Urteil ein konkretisierender Schritt getan worden, der Unternehmen in Zukunft dazu bewegen wird, sich mit diesem Konstrukt näher auseinanderzusetzen.

Bitte bewerten Sie diese Inhalte!
[41 Bewertung(en)/ratings]
0 Kommentare

Ihr Kommentar

Sie wollen sich an der Diskussion beteiligen oder haben eine Rückfrage zum Artikel? Dann hinterlassen Sie bitte hier einen Kommentar!
Nettiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.