Facebook & Datenschutz: Das müssen Seitenbetreiber wissen
Sind Unternehmen und Behörden im sozialen Netzwerk Facebook für die Einhaltung des Datenschutzes verantwortlich? Der Europäische Gerichtshof stellt in einem Grundsatzurteil fest: Auch Betreiber von Facebook-Fanseiten können für mangelnden Datenschutz haftbar gemacht werden. Welche Folgen hat das für die Arbeit von Unternehmen, Behörden, Vereinen oder Verbänden auf Facebook?
Das Thema Datenschutz und Privatsphäre im Netz bringt weiterhin für neue Entwicklungen in der Rechtsprechung. Nachdem Ende Mai 2018 die Europäische Datenschutzgrundverordnung (DSGVO) endgültig in Kraft getreten ist, sorgt nun das höchste europäische Gericht für Schlagzeilen: Nach einem jahrelangen Rechtsstreit entschied der Europäische Gerichtshof (EuGH): sowohl das Unternehmen Facebook, als auch die jeweiligen Betreiber von Facebook-Fanseiten sind auf den jeweiligen Fanseiten für den Datenschutz verantwortlich.
Mit der Entscheidung vom 05.06.2018 schützt der EuGH die Privatsphäre der Nutzer. Gleichzeitig sorgt er aber für Unsicherheit bei Unternehmen, Behörden und weiteren Institutionen. Für die war das Betreiben einer Facebook-Seite bisher selbstverständlich. Jetzt schürt das EuGH-Urteil die Angst vor Bußgeldern und Abmahnungen wegen Datenschutzverletzungen. Ist das Betreiben einer Facebook-Seite zum Risiko geworden?
Was bedeutet das Urteil konkret für Facebook-Seitenbetreiber?
Dies ist zum aktuellen Zeitpunkt (Stand: 08.06.2018) schwer zu sagen. Nach der Verkündung des Urteils war bereits in dem einen oder anderen Beitrag zu lesen: Das rechtskonforme Betreiben einer Fanseite in dem sozialen Netzwerk mit Hauptsitz in den USA sei nun nicht mehr möglich. Wer als Betreiber sicher gehen möchte, müsse seine Seite(n) entweder löschen oder zumindest vorübergehend deaktivieren.
Anlass zur Panik gibt es dennoch nicht. Denn der EuGH hat nicht entschieden, dass Unternehmen oder Personen innerhalb der EU keine Fanseiten betreiben dürfen. Oder das dieses Betreiben an sich gegen den Datenschutz verstößt. Entschieden hat das Gericht nur, dass Seitenbetreiber für den Datenschutz auf den Fanseiten mitverantwortlich sind. Es ist nun an den deutschen Verwaltungsgerichten, zu entscheiden, ob es tatsächlich Datenschutzverstöße gibt.
Gefahr von Abmahnungen und Bußgeldern: Müssen Seitenbetreiber reagieren?
Wer nicht die Maximallösung, also die Löschung/Stilllegung der Seite wählen möchte, sollte sich von dem Thema zunächst nicht verunsichern lassen und in Geduld üben. Es ist damit zu rechnen, dass Facebook für die Fanpages früher oder später Verträge wird anbieten müssen, die mit dem Art. 26 DSGVO konform sind. In diesen Verträgen muss definiert werden, wer für die Informations-, Auskunfts- und Löschungsrechte der Betroffenen zuständig ist.
Denkbar ist auch, dass Facebook als Dienst neue Privatsphäre-Einstellungen zur Verfügung stellt. Über diese könnten Nutzer dann wählen, ob ihre personenbezogenen Daten auf der jeweiligen Fanseite erhoben werden dürfen. Derzeit gibt es für Nutzer keine Möglichkeit, diese Privatsphäre-Einstellungen vorzunehmen.
Auch die „Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder“ (DSK) betont den Handlungsbedarf für das Unternehmen Facebook. In einer Stellungnahme zum EuGH-Urteil schreibt der DSK, es sei „nicht zu verkennen, dass die Fanpage-Betreiber ihre datenschutzrechtlichen Verantwortung nur erfüllen können, wenn Facebook selbst an der Lösung mitwirkt und ein datenschutzkonformes Produkt anbietet.“
Derzeit ist auch nicht davon auszugehen, dass Datenschutzbehörden Bußgeldverfahren gegen Unternehmen oder andere Betreiber von Fanpages einleiten. Zumindest nicht, solange die Verwaltungsgerichte den Fall nicht abschließend entschieden haben.
Datenschutz auf Facebook: Wie kam es zur Entscheidung des EuGH?
Zugrunde liegt dem Urteil des EuGH vom 05.06.2018 ein Fall aus Deutschland: Die IHK-Wirtschaftsakademie Schleswig-Holstein betrieb auf Facebook eine Seite rund um die Akademie. Der damalige Datenschutzbeauftragte des Landes Schleswig Holsteins ordnete 2011 die Schließung dieser Facebook-Seite an.
Nach der Ansicht des Datenschützers sei der Schutz der Privatsphäre auf Facebook nicht gewährleistet. Denn mittels sogenannter „Cookies“ erhebe der Dienst von den Nutzern personenbezogene Daten, zum Beispiel die IP-Adresse. Diese Daten stelle Facebook wiederum den Seitenbetreibern kostenlos zur Verfügung, um Werbung präziser aussteuern zu können. Ohne, dass Betreiber oder Nutzer eine Möglichkeit hätten, das abzulehnen oder mittels Einstellung zu ändern.
Die Wirtschaftsakademie wollte sich der Anordnung nicht beugen und betrieb die Seite weiter. Dagegen klagte das Land Schleswig-Holstein. In Deutschland ging der Fall bereits durch die Instanzen. Bisher urteilten die nationalen Gerichte dabei zugunsten der Akademie. Das Bundesverwaltungsgericht (BVerwG) überwies den Fall schließlich an den Europäischen Gerichtshof, der den deutschen Gerichten widersprach.
Hat das Urteil des EuGH Auswirkung auf die DSGVO?
Nicht direkt. Das Urteil des EuGH vom 05.06.2018 basiert noch auf der EU-Datenschutzrichtlinie von 1995. Also dem Gesetz, das Ende Mai 2018 endgültig von der DSGVO abgelöst wurde. Aber auch die DSGVO definiert, wer „Verantwortlicher“ für die Verarbeitung von Daten ist. In diesen Passagen ist die neue Verordnung mit der alten Gesetzgebung wortgleich.
Fanpages und Datenschutz: Wie sehen die weiteren juristischen Schritte aus?
Die nächste zu klärende Frage ist, ob Facebook Fanseiten anbietet, die mit dem rechtlich gültigen Datenschutz konform sind. Darüber muss nun das Bundesverwaltungsgericht (BVerwG) entscheiden. Es ist auch möglich, dass das BVerwG den Fall noch einmal eine Instanz nach unten reicht. Dann wird erneut vor dem Landesverwaltungsgericht Schleswig-Holstein verhandelt.
Unter anderem wird dann auch geklärt werden müssen, in welchem Verhältnis sich der Dienst Facebook und die jeweiligen Seitenbetreiber die Verantwortung für Datenschutz teilen. Der EuGH hat sich in dieser Frage nicht festgelegt. Ob also am Ende „50/50“ gilt, ist keine beschlossene Sache. Eine gewisse Zeit wird also noch vergehen, bis sich genauer sagen lässt, welche Regeln zum Datenschutz für Seitenbetreiber gelten.
Facebook: Wie können sich Seitenbetreiber vor Abmahnungen schützen?
Vom Schutz der Privatsphäre der Nutzer einmal abgesehen: Wer eine kommerzielle oder öffentliche Seite in dem sozialen Netzwerk betreibt, sollte sicherstellen, dass er die allgemeinen rechtlichen Vorgaben erfüllt – dazu gehören:
- Das Aufführen eines rechtsgültigen Impressums.
- Sorgfalt, dass bei Auswahl von Namen, Titel und Inhalt keine Markenrechte verletzt werden.
- Achtung des Urheber- und Persönlichkeitsrechts bei Veröffentlichungen von Fotos und Videos
Auch wenn es derzeit noch keine Pflicht zu einer Datenschutzerklärung auf Facebook gibt – eine derartige Erklärung vorzubereiten und im „Info“-Bereich der Seite einzupflegen, kann durchaus sinnvoll sein.
Wird man als Betreiber tatsächlich mit einer Abmahnung konfrontiert, lohnt sich meistens der Gang zum Anwalt.
Quelle: Deutsche Anwaltauskunft