Viele Unternehmen pflegen einen Internetauftritt bei Facebook als sogenannte Fanpage. Der Europäische Gerichtshof (EuGH) hat nun mit Urteil vom 5. Juni 2018 (C-201/10) entschieden, dass auch das Unternehmen als auch Facebook selbst für die Verarbeitung dieser personenbezogenen Daten datenschutzrechtlich verantwortlich sind.
Die Klägerin ist ein auf Bildung spezialisiertes Unternehmen. Über eine auf Facebook unterhaltene Fanpage hat die Klägerin Bildungsdienstleistungen angeboten. Über eine Fanpage können deren Betreiber mit Hilfe eines nicht abdingbaren Teil des Benutzerverhältnisses mit Facebook anonymisierte statistische Daten betreffend die Nutzer dieser Seiten erhalten. Diese Daten werden mit Hilfe sogenannter Cookies gesammelt.
Mit Bescheid vom 2. November 2011 ordnete das zuständige Unabhängige Landeszentrum für Datenschutz gegenüber der Klägerin an, ihre Fanpage zu deaktivieren. Nach Auffassung des Unabhängigen Landeszentrums für Datenschutz wiesen weder die Klägerin noch Facebook die Besucher der Fanpage darauf hin, dass Facebook mittels Cookies sie betreffende personenbezogene Daten verarbeitet.
Gegen diesen Bescheid erhob die Klägerin Klage beim Verwaltungsgericht und machte geltend, dass ihr die Verarbeitung der personenbezogenen Daten der Besucher ihrer Fanpage nicht zugerechnet werden könne und sie Facebook auch nicht mit der Verarbeitung beauftragt habe. Die Klägerin war der Auffassung, dass das Unabhängige Landeszentrum direkt gegen Facebook hätte vorgehen müssen.
Vor diesem Hintergrund ersuchte das Bundesverwaltungsgericht den EuGH um Auslegung der Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum Schutz des freien Datenverkehrs (Richtlinie 95/46).
Der EuGH entschied, dass es außer Frage stünde, dass die amerikanische Gesellschaft Facebook und, was die Union betrifft, deren irische Tochtergesellschaft Facebook Ireland als “für die Verarbeitung” der personenbezogenen Daten der Facebook-Nutzer und der Besucher der Facebook-Fanpages “Verantwortliche” anzusehen seien. Der EuGH befand zudem, dass auch der Betreiber einer Facebook-Fanpage für die fragliche Datenverarbeitung als Verantwortlicher anzusehen sei.
Die Betreiber von Facebook-Fanpages seien durch die von ihnen vorgenommene Parametrierung an der Entscheidung über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten der Besucher ihrer Fanpage beteiligt. Nach Ansicht des EuGH kann der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, diesen nicht von der Beachtung seiner Verpflichtung im Bereich des Schutzes personenbezogener Daten befreien.
Das Urteil hat unmittelbare Auswirkungen auf die Seitenbetreiber. Diese können nicht mehr allein auf die datenschutzrechtliche Verantwortung von Facebook verweisen, sondern sind selbst mitverantwortlich für die Einhaltung des Datenschutzes gegenüber den Nutzenden ihrer Fanpage. Dabei müssen Seitenbetreiber die aktuellen Regelungen der Datenschutz-Grundverordnung und des Bundesdatenschutzgesetzes beachten. Das Urteil betrifft zwar einen Sachverhalt, der sich vor der Anwendbarkeit der neuen Datenschutzbestimmungen ereignete. Die festgestellte Mitverantwortung der Seitenbetreiber erstreckt sich aber auf das jeweils geltende Recht. Der Seitenbetreiber hat damit insbesondere die in der Datenschutz-Grundverordnung festgeschriebenen Grundsätze der Verarbeitung personenbezogener Daten sowie die Rechte der Betroffenen und Pflichten der Verarbeiter zu beachten.
Zu dem Urteil hat die Konferenz der unabhängigen Datenschutzbehörden (DSK) eine Entschließung am 6. Juni 2018 veröffentlicht (https://www.datenschutzzentrum.de/uploads/facebook/2018-06-05-Entschliessung-DSK-Fanpages-EuGH-Urteil.pdf).
