Am 05.06.2018 entschied der Europäische Gerichtshof (EuGH), dass der Betreiber einer Facebook-Fanpage gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage verantwortlich ist (Az. C-210/16).
Strittig war unter anderem die Begriffsdefinition zur “verantwortlichen Stelle”, § 3 Nr. 7 BDSG a.F. bzw. Art. 2 lit. d Datenschutzrichtlinie 95/46/EG. Da hingegen die Begriffsdefinition der Datenschutzrichtlinie nahezu wortgleich in Art. 4 Nr. 7 der DSGVO umgesetzt wurde, dürfte diese Entscheidung starke Signalwirkung innehaben.
Exkurs: Facebook-Fanpage
Dabei handelt es sich um ein öffentliches Profil, z.B. eines Unternehmens auf dem sozialen Netzwerk “Facebook”. Durch einen Klick kann man “Fan” dieser Seite werden und erhält hierdurch stetig Informationen, News oder Meldungen des Profils direkt im eigenen Newsstream. So ist es z.B. Unternehmen möglich, aktiv mit ihren Kunden in Kontakt zu treten und umgekehrt. Mit Hilfe der Funktion “Facebook Insight”, die als nicht abdingbarer Teil des Benutzungsverhältnisses kostenfrei zur Verfügung steht, ist es dem Betreiber möglich, anonymisierte statistische Daten über die Nutzer der Fanpage-Seiten einzusehen.
Wer ist wofür verantwortlich?
Dieser Entscheidung lag ein Verwaltungsrechtsstreit zwischen der Wirtschaftsakademie Schleswig-Holstein GmbH und dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) zugrunde. Die Akademie als Klägerin bewarb Bildungsangebote auf ihrer Facebook-Fanpage. Sie wehrte sich gegen eine datenschutzrechtliche Anordnung der Beklagten (ULD) bis zum Bundesverwaltungsgericht (BVerwG), welches schließlich dem EuGH unter anderem die Frage vorlegte, ob die Klägerin als Fanpage-Betreiberin überhaupt eine “verantwortliche Stelle” sein kann.
Dies wurde durch den EuGH bejaht.
Der EuGH stellte zwar fest, dass die bloße Benutzung von Facebook noch nicht zur Mitverantwortlichkeit führe, diese beginne jedoch bereits mit Einrichtung der Fanpage. Dies ist dem Grunde geschuldet, dass der Betreiber diese auf sein Zielpublikum ausrichtet, mittels Filtern Kriterien für Erhebung von Statistiken festlegt und Kategorien von Personen bezeichnet, deren personenbezogene Daten seitens Facebook ausgewertet werden sollen. So können gerade Angaben z.B. zur beruflichen Situation, Lebensstil, Geschlecht, Altersbereich und Interessen für konkrete Werbeaktionen und zielgerichtete Informationen verwertet und verwendet werden.
Es spiele – so der EuGH – hier keine Rolle, dass die von Facebook erstellten Besucherstatistiken ausschließlich in anonymisierter Form an den jeweiligen Betreiber der Fanpage übermittelt werden. Gerade der Umstand, dass diese Fanpages auch von Dritten, bei denen es sich nicht um Facebook-Nutzer/Mitglieder handelt, besucht werden können, erfordere eine noch größere Verantwortung, da eben auch bei diesen Besuchen automatisch eine Verarbeitung von personenbezogenen Daten ausgelöst werde.
Was bedeutet das konkret für mich als Fanpage-Betreiber?
Solange es sich um eine ausschließlich private Nutzung des Social Networks handelt, hat die Entscheidung des EuGH hierauf keine Auswirkungen. Wer hingegen Fanpages zu geschäftlichen Zwecken einrichtet, ist datenschutzrechtlich auch mitverantwortlich. Die Entscheidung ist analog übertragbar auf weitere Social Media – Dienste wie z.B. Instagram, Snapchat oder YouTube.
Somit unterliegen Рnach der Entscheidung des EuGH Рdie Fanpage-Betreiber insbesondere Informationspflichten, Betroffenenrechten und der Haftung nach der DSGVO (aufsichtsbeh̦rdliche Anordnungen, wettbewerbsrechtliche Abmahnungen etc.).
Wie setze ich die notwendigen Pflichten auf meiner Fanpage um?
Es ist dem Fanpage-Betreiber möglich in der Facebook-Seiteninformation unter “Datenschutzrichtlinie” eine eigene extern gespeicherte Datenschutzerklärung zu verlinken, um den Informationspflichten der DSGVO (Art. 13, 14 DSGVO) zu genügen. Hier kann man dann konkret auf die Datenverarbeitung im Rahmen einer Fanpage eingehen und diese transparent für den Nutzer aufschlüsseln.