Der Europäische Gerichtshof (EuGH) hat eine Grundsatzentscheidung zum Datenschutz gefällt, wonach die datenschutzrechtliche Verantwortung von Facebook-Fanpages sowohl bei Facebook als auch bei dem Betreiber der Seite liegt. Demzufolge haftet der Betreiber einer Facebook-Fanpage für Datenschutzverstöße durch Facebook mit.
In der Ausgangssituation vor dem Bundesverwaltungsgericht hatte das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) gegen die Wirtschaftsakademie Schleswig-Holstein GmbH als Betreiberin einer Facebook-Fanpage geklagt. Das ULD forderte die Beklagte auf, ihre Facebook-Fanpage zu deaktivieren, da weder Facebook noch die Beklagte ausreichend über die Erhebung und Nutzung der bei Besuch der Fanpage erhobenen personenbezogenen Daten informiere.
Was bedeutet das Urteil für die Praxis?
Welche gänzliche Auswirkung diese Entscheidung hat, lässt sich derzeit noch nicht eindeutig sagen. Ob ein Datenschutzverstoß im Ausgangsfall vorlag, hat der EuGH nicht entschieden. Diese Entscheidung muss das Bundesverwaltungsgericht selbst treffen.
Der rechtlich sicherste Weg dürfte das Deaktivieren der Facebook-Fanpage sein. Ein akuter Handlungsbedarf für eilige Kontolöschungen dürfte aber noch nicht bestehen. Die Wertung des Urteils muss zunächst im Urteil des Bundesverwaltungsgerichts umgesetzt werden.
Tipps und Empfehlungen
Allerdings hat die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder bereits in ihrer Entschließung vom 7. Juni 2018 zu der Entscheidung Stellung genommen und empfiehlt folgendes Vorgehen:
- Alle Besucher einer Fanpage müssen transparent und verständlich darüber informiert werden, welche Daten zu welchen Zwecken durch ihren Besuch verarbeitet werden.
- Betreiber von Fanpages sollten sicherstellen, die hierfür benötigte Information von Facebook zu erlangen.
- Wenn aufgrund des Besuchs der Fanpage die Besucher getrackt werden, ist grundsätzlich eine DS-GVO konforme Einwilligung erforderlich.
- In einer Vereinbarung zwischen Facebook und dem Betreiber ist festzulegen, wer welche Verpflichtung der DS-GVO erfüllt. Zudem sollte sie den Betroffenen zur Verfügung gestellt werden.
Ratsam wäre es, den Empfehlungen der Datenschutzkonferenz Folge zu leisten. Fanpage-Betreiber können bereits jetzt in der Facebook-Seiteninformation ihre eigene Datenschutzerklärung verlinken. Ferner bleibt abzuwarten, wie Facebook auf das Urteil reagieren wird. Um das lukrative Werbegeschäft in Europa nicht zu gefährden, dürfte davon auszugehen sein, dass Facebook versuchen wird, einen Weg zu finden, um den datenschutzrechtlichen Anforderungen gerecht zu werden. Ein Restrisiko kann aber nicht ausgeschlossen werden.