Urteil: Wer eine Facebook-Seite betreibt, ist für den Datenschutz gemeinsam mit Facebook verantwortlich

Wer eine Seite bei Facebook betreibt, ist gemeinsam mit Facebook für die entsprechende Bearbeitung von Personendaten der Besucherinnen und Besucher einer solchen Seite verantwortlich. Das geht aus dem heutigen Urteil in Rechtssache C-210/16 des Europäischen Gerichtshofes (EuGH) hervor.

von Rechtsanwalt Martin Steiger, steigerlegal.ch, 05.06.201

In seiner Medienmitteilung beschreibt der EuGH den Sachverhalt wie folgt (mit Hervorhebung):

«Die Wirtschaftsakademie Schleswig-Holstein ist ein auf den Bereich Bildung spezialisiertes Unternehmen. Sie bietet unter anderem über eine auf Facebook […] unterhaltene Fanpage Bildungsdienstleistungen an. Die Betreiber von Fanpages […] können mit Hilfe der Funktion Facebook Insights, die ihnen Facebook als nicht abdingbaren Teil des Benutzungsverhältnisses kostenfrei zur Verfügung stellt, anonymisierte statistische Daten betreffend die Nutzer dieser Seiten erhalten. Diese Daten werden mit Hilfe sogenannter Cookies gesammelt, die jeweils einen eindeutigen Benutzercode enthalten, der für zwei Jahre aktiv ist und den Facebook auf der Festplatte des Computers oder einem anderen Datenträger der Besucher der Fanpage speichert. Der Benutzercode, der mit den Anmeldungsdaten solcher Nutzer, die bei Facebook registriert sind, verknüpft werden kann, wird beim Aufrufen der Fanpages erhoben und verarbeitet.»

Die Wirtschaftsakademie hatte argumentiert, «dass ihr die Verarbeitung personenbezogener Daten durch Facebook nicht zugerechnet werden könne und sie Facebook auch nicht mit einer von ihr kontrollierten oder beeinflussbaren Datenverarbeitung beauftragt habe.»

Facebook-Seiten: Gemeinsame Verantwortlichkeit für Facebook und Seiten-Betreiber

In seinem Urteil bestätigt der EuGH, dass die amerikanische Facebook-Gesellschaft und – in Bezug auf die Europäische Union (EU) – die irische Facebook-Gesellschaft unzweifelhaft für die Bearbeitung der betreffenden Personendaten verantwortlich ist. Diese Gesellschaften entscheiden in erster Linie über Mittel und Zwecke der Datenbearbeitung.

Aber, so der EuGH, Seiten-Betreiber sind gemeinsam mit Facebook verantwortlich (mit Hervorhebungen):

«Ein solcher Betreiber ist nämlich durch die von ihm vorgenommene Parametrierung (unter anderem entsprechend seinem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten) an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt. […]

Nach Ansicht des Gerichtshofs kann der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, diesen nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien.»

Die gemeinsame Verantwortlichkeit für Facebook und Seiten-Betreiber bedeutet unter anderem, dass Betreiber von Facebook-Seiten gegenüber den Besucherinnen und Besuchern ihrer Seiten bei Facebook zur Information und zur Auskunft über die bearbeiteten Personendaten verpflichtet sind. Je nach Bearbeitung kann auch eine Einwilligung der betroffenen Personen für das Tracking erforderlich sind.

[…]

Fazit: Verletzen nun alle Facebook-Seiten den europäischen Datenschutz?

Wer auf Nummer sicher gehen möchte, muss seine Facebook-Seite(n) vorläufig deaktivieren. Kein Seiten-Betreiber kann momentan die datenschutzrechtlichen Anforderungen, wie sie in Europa für Facebook-Seiten bestehen, erfüllen. Es hilft auch nicht, dass sich das Urteil auf die bisherige Datenschutz-Richtlinie und nicht auf die neue Datenschutz-Grundverordnung bezieht, denn die grundlegenden Anforderungen für den Datenschutz haben sich nicht geändert.

Alle anderen warten ab und hoffen, von Facebook die notwendige Unterstützung zu erhalten, bevor es zu Abmahnungen und sonstigen Rechtsfolgen kommt. Das Urteil dürfte sinngemäss auch für jede andere Social Media-Präsenz gelten, zum Beispiel für Seiten bei Google+, Instagram oder LinkedIn. Auch Facebook Business Tools wie Facebook Pixel sowie Social Media-Plugins dürften betroffen sein.

>> ganzen Beitrag lesen

Bild: Pixabay / geralt, Public Domain.


Gerichtshof der Europäischen Union
PRESSEMITTEILUNG Nr. 81/18
Luxemburg, den 5. Juni 2018
Der Betreiber einer Facebook-Fanpage ist gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich


Gerichtshof der Europäischen Union
Sammlung der Rechtsprechung [A.d.V: Urteil im Volltext]

URTEIL DES GERICHTSHOFS (grosse Kammer)
5. Juni 2018*
«Vorlage zur Vorabentscheid – Richtlinie 95/46/EG – Personenbezogene Daten – Schutz natürlicher Personen bei der Verarbeitung dieser Daten – Anordnung zur Deaktivierung einer Facebook-Seite (Fanpage), die es ermöglicht bestimmte Daten bezüglich der Besucher dieser Seite zu erheben und zu verarbeiten – Art. 2 Buchst d  –Für die Verarbeitung personenbezogener Daten Verantwortlicher – Art. 4 – Anwendbares nationales Recht – Art. 28 – Nationale Kontrollstellen – Einwirkungsbefugnisse dieser Stellen»