Facebook-Rechtsstreit: Fanpage-Betreiber mitverantwortlich für Datenschutz?!
Am 24.10.2017 hat der Generalanwalt des Europäischen Gerichtshofes (EuGH), Yves Bot, seine Schlussanträge in der Rechtssache C‑210/16 vorgelegt. Diese haben gleich in mehrerer Hinsicht enorme Relevanz für Betreiber von Facebook-Fanpages und vergleichbaren Unternehmensseiten auf anderen Social-Media-Plattformen. Sollte der EuGH den Schlussanträgen folgen, könnten nicht-private Social-Media-Pages deutlich in die Defensive geraten und zurückgefahren werden (müssen).
Hintergrund zum Rechtsstreit mit Facebook
Die Rechtssache im Kern dreht sich um die Frage, ob der Betreiber einer Facebook-Fanpage mitverantwortlich für Datenschutzverstöße von Facebook „hinter“ der Fanpage ist. Das betrifft Unternehmen, NGOs, Vereine und sonstige nicht-private Betreiber von Facebook-Fanpages gleichermaßen. Ausgelöst hatte den Rechtsstreit eine Anordnung Schleswig-Holsteinischen Landeszentrums für Datenschutz (ULD) im Jahr 2011. Das ULD verlangte von der Wirtschaftsakademie Schleswig-Holstein (WAK) die Deaktivierung von deren Fanpage aufgrund datenschutzrechtlicher Verstöße. Nach Ansicht des ULD sei die WAK als Betreiber der Fanpage nämlich für die Datenverarbeitung der Fanpage und damit auch für eventuelle Datenschutzverstöße von Facebook hinter der Fanpage verantwortlich.
Die Wirtschaftsakademie vertritt eine andere Ansicht und wehrte sich. Über das Verwaltungs- und Oberverwaltungsgericht Schleswig-Holstein ging das Verfahren im Jahr 2016 zum Bundesverwaltungsgericht. Das Bundesverfassungsgericht (BVerwG) legte dem EuGH einige Fragen zur Klärung vor, unter anderem, ob deutsche Datenschützer überhaupt für die Überprüfung und Kontrolle von Facebook zuständig sind, denn das europäische Facebook-Datenzentrum befindet sich in Irland, während in den deutschen Niederlassungen wohl keine personenbezogenen Daten verarbeitet werden. Das BVerwG wollte außerdem wissen, wer tatsächlich für die Datenverarbeitung zur Verantwortung gezogen werden kann. Sowohl das VG als auch das OVG Schleswig-Holstein entschieden zuvor recht überzeugend zugunsten der WAK und sahen weder eine datenschutzrechtliche Verantwortung der WAK als Fanpage-Betreiber noch eine Zuständigkeit deutscher Datenschutzbehörden.
Die neuesten Entwicklungen: Werden Fanpage-Betreiber zur Verantwortung gezogen?
Nach der mündlichen Verhandlung im Juni 2017 hat der Generalanwalt des EuGH am 24.10.2017 seine Schlussanträge vorgelegt. Die haben es in sich und sind recht überraschend, denn der Generalanwalt empfiehlt dem EuGH, neben Facebook in den USA und Europa auch den jeweiligen Fanpage-Betreiber als (mit)verantwortlich für die Verarbeitungsphase der Erhebung personenbezogener Daten durch Facebook auf der Fanpage zu sehen, sobald Nutzer die Fanpage besuchen. Für Facebook gelte die Verantwortlichkeit, da es die Technologie und auch das dahinterliegende Geschäftsmodell der Datennutzung entwickelt hat. Unter Verweis auf das Google-Spain-Urteil seien außerdem die tatsächlichen Niederlassungen von Facebook für die Zuständigkeit entscheidend und daher auch deutsche Datenschützer zuständig. Für den Fanpage-Betreiber gelte eine (Mit)Verantwortlichkeit als Administrator der Fanpage, zumindest für die Phase der Erhebung der Daten. Noch einmal weiterführend legt der Generalanwalt dar, dass aus diesen Erwägungen heraus auch ein Website-Betreiber bei der Einbindung von Social-Plugins (z. B. Like-Button) (mit)verantwortlich sei, wenn er den entsprechenden Plugin-Code auf der Website einbinde.
Übersetzt auf den konkreten Fall heißt das, dass die WAK nur durch den Betrieb einer eigenen Facebook-Fanpage datenschutzrechtlich (mit)verantwortlich dafür ist, wie durch Facebook hinter der Fanpage personenbezogene Daten verarbeitet werden. Lägen tatsächlich Datenschutzverstöße vor, könne der Betrieb der Fanpage in Einzelfällen auch vom insoweit dann zuständigen ULD untersagt werden. Diese Auffassung ist insgesamt sehr überraschend, weicht von den bisherigen Entscheidungen deutscher Gerichte deutlich ab und erstreckt die datenschutzrechtliche Verantwortlichkeit von Facebook selbst zumindest auch mit auf die Fanpage-Betreiber.
Ist eine marktorientierte Entscheidung zugunsten der FB-Fanpage-Betreiber denkbar?
Es bleibt abzuwarten, wie der EuGH tatsächlich entscheiden wird. Eine Entscheidung wird wohl erst in den nächsten drei bis sechs Monaten zu erwarten sein und bis dahin kann man nicht in die Glaskugel sehen. Die Schlussanträge des Generalanwalts stellen außerdem nur eine Empfehlung für den EuGH dar. Oftmals folgt der EuGH zwar den Schlussanträgen (in wesentlichen Punkten), ist daran aber überhaupt nicht gebunden. Wenn der EuGH aber den Schlussanträgen wesentlich folgen würde, wird beispielsweise spannend sein, wie Fanpage-Betreiber eigentlich ihren datenschutzrechtlichen Informationspflichten überhaupt nachkommen sollen. Dies werden sie schwer können, da sie im Regelfall überhaupt keine Kenntnis darüber haben, welche Daten Facebook konkret für welche Zwecke hinter der Fanpage verarbeitet. Ob Facebook diese Informationen ihres Geschäftsmodells offenlegen wird, darf bezweifelt werden.
Auswirkungen kann dieser Rechtsstreit außerdem auf derzeit vor dem Oberlandesgericht Düsseldorf verhandelten Verfahren haben. Dort geht es um den Facebook Like-Button und die Frage, ob der Betreiber eines solchen Buttons mitverantwortlich ist für etwaige Datenschutzverstöße.
Es bleibt also abzuwarten, wenngleich sich Datenschutzbehörden bereits positiv zu den Schlussanträgen äußern und diese begrüßen. Auch wenn in letzter Konsequenz die Auswirkungen auf die Praktiken von Facebook und Fanpage-Betreibern weitreichend sein und auch für etliche andere (Social-Media-) Plattformen gelten können, bleibt zunächst in Ruhe abzuwarten, ob der EuGH tatsächlich den Schlussanträgen folgen wird oder – wie in einigen anderen Fällen in jüngster Zeit – doch ein eher marktorientiert-pragmatisches Urteil fällen wird. Dann würden nicht-private Social-Media-Pages nicht in die Defensive geraten und auch nicht zurückgefahren werden (müssen). Es bleibt spannend.
Hintergrund zum Rechtsstreit mit Facebook
Die Rechtssache im Kern dreht sich um die Frage, ob der Betreiber einer Facebook-Fanpage mitverantwortlich für Datenschutzverstöße von Facebook „hinter“ der Fanpage ist. Das betrifft Unternehmen, NGOs, Vereine und sonstige nicht-private Betreiber von Facebook-Fanpages gleichermaßen. Ausgelöst hatte den Rechtsstreit eine Anordnung Schleswig-Holsteinischen Landeszentrums für Datenschutz (ULD) im Jahr 2011. Das ULD verlangte von der Wirtschaftsakademie Schleswig-Holstein (WAK) die Deaktivierung von deren Fanpage aufgrund datenschutzrechtlicher Verstöße. Nach Ansicht des ULD sei die WAK als Betreiber der Fanpage nämlich für die Datenverarbeitung der Fanpage und damit auch für eventuelle Datenschutzverstöße von Facebook hinter der Fanpage verantwortlich.
Die Wirtschaftsakademie vertritt eine andere Ansicht und wehrte sich. Über das Verwaltungs- und Oberverwaltungsgericht Schleswig-Holstein ging das Verfahren im Jahr 2016 zum Bundesverwaltungsgericht. Das Bundesverfassungsgericht (BVerwG) legte dem EuGH einige Fragen zur Klärung vor, unter anderem, ob deutsche Datenschützer überhaupt für die Überprüfung und Kontrolle von Facebook zuständig sind, denn das europäische Facebook-Datenzentrum befindet sich in Irland, während in den deutschen Niederlassungen wohl keine personenbezogenen Daten verarbeitet werden. Das BVerwG wollte außerdem wissen, wer tatsächlich für die Datenverarbeitung zur Verantwortung gezogen werden kann. Sowohl das VG als auch das OVG Schleswig-Holstein entschieden zuvor recht überzeugend zugunsten der WAK und sahen weder eine datenschutzrechtliche Verantwortung der WAK als Fanpage-Betreiber noch eine Zuständigkeit deutscher Datenschutzbehörden.
Die neuesten Entwicklungen: Werden Fanpage-Betreiber zur Verantwortung gezogen?
Nach der mündlichen Verhandlung im Juni 2017 hat der Generalanwalt des EuGH am 24.10.2017 seine Schlussanträge vorgelegt. Die haben es in sich und sind recht überraschend, denn der Generalanwalt empfiehlt dem EuGH, neben Facebook in den USA und Europa auch den jeweiligen Fanpage-Betreiber als (mit)verantwortlich für die Verarbeitungsphase der Erhebung personenbezogener Daten durch Facebook auf der Fanpage zu sehen, sobald Nutzer die Fanpage besuchen. Für Facebook gelte die Verantwortlichkeit, da es die Technologie und auch das dahinterliegende Geschäftsmodell der Datennutzung entwickelt hat. Unter Verweis auf das Google-Spain-Urteil seien außerdem die tatsächlichen Niederlassungen von Facebook für die Zuständigkeit entscheidend und daher auch deutsche Datenschützer zuständig. Für den Fanpage-Betreiber gelte eine (Mit)Verantwortlichkeit als Administrator der Fanpage, zumindest für die Phase der Erhebung der Daten. Noch einmal weiterführend legt der Generalanwalt dar, dass aus diesen Erwägungen heraus auch ein Website-Betreiber bei der Einbindung von Social-Plugins (z. B. Like-Button) (mit)verantwortlich sei, wenn er den entsprechenden Plugin-Code auf der Website einbinde.
Übersetzt auf den konkreten Fall heißt das, dass die WAK nur durch den Betrieb einer eigenen Facebook-Fanpage datenschutzrechtlich (mit)verantwortlich dafür ist, wie durch Facebook hinter der Fanpage personenbezogene Daten verarbeitet werden. Lägen tatsächlich Datenschutzverstöße vor, könne der Betrieb der Fanpage in Einzelfällen auch vom insoweit dann zuständigen ULD untersagt werden. Diese Auffassung ist insgesamt sehr überraschend, weicht von den bisherigen Entscheidungen deutscher Gerichte deutlich ab und erstreckt die datenschutzrechtliche Verantwortlichkeit von Facebook selbst zumindest auch mit auf die Fanpage-Betreiber.
Ist eine marktorientierte Entscheidung zugunsten der FB-Fanpage-Betreiber denkbar?
Es bleibt abzuwarten, wie der EuGH tatsächlich entscheiden wird. Eine Entscheidung wird wohl erst in den nächsten drei bis sechs Monaten zu erwarten sein und bis dahin kann man nicht in die Glaskugel sehen. Die Schlussanträge des Generalanwalts stellen außerdem nur eine Empfehlung für den EuGH dar. Oftmals folgt der EuGH zwar den Schlussanträgen (in wesentlichen Punkten), ist daran aber überhaupt nicht gebunden. Wenn der EuGH aber den Schlussanträgen wesentlich folgen würde, wird beispielsweise spannend sein, wie Fanpage-Betreiber eigentlich ihren datenschutzrechtlichen Informationspflichten überhaupt nachkommen sollen. Dies werden sie schwer können, da sie im Regelfall überhaupt keine Kenntnis darüber haben, welche Daten Facebook konkret für welche Zwecke hinter der Fanpage verarbeitet. Ob Facebook diese Informationen ihres Geschäftsmodells offenlegen wird, darf bezweifelt werden.
Auswirkungen kann dieser Rechtsstreit außerdem auf derzeit vor dem Oberlandesgericht Düsseldorf verhandelten Verfahren haben. Dort geht es um den Facebook Like-Button und die Frage, ob der Betreiber eines solchen Buttons mitverantwortlich ist für etwaige Datenschutzverstöße.
Es bleibt also abzuwarten, wenngleich sich Datenschutzbehörden bereits positiv zu den Schlussanträgen äußern und diese begrüßen. Auch wenn in letzter Konsequenz die Auswirkungen auf die Praktiken von Facebook und Fanpage-Betreibern weitreichend sein und auch für etliche andere (Social-Media-) Plattformen gelten können, bleibt zunächst in Ruhe abzuwarten, ob der EuGH tatsächlich den Schlussanträgen folgen wird oder – wie in einigen anderen Fällen in jüngster Zeit – doch ein eher marktorientiert-pragmatisches Urteil fällen wird. Dann würden nicht-private Social-Media-Pages nicht in die Defensive geraten und auch nicht zurückgefahren werden (müssen). Es bleibt spannend.