Der Unternehmer, der eine Fanpage auf Facebook betreibt, ist gemeinsam mit Facebook dafür verantwortlich, wie Daten der Nutzer und Besucher erhoben und verarbeitet werden. Das hat der Europäische Gerichtshof (EuGH) entschieden (Urteil vom 05.06.2018, C-210/16) und damit Datenschutzbehörden den Weg eröffnet, dem Unternehmer auf Facebook, der seinerseits Nutzer des sozialen Netzwerkes Facebook ist, bei rechtswidriger Datenverarbeitung zu sanktionieren. 

Der Gerichtshof hat außerdem die gerichtliche Verfolgung nach geltenden Datenschutzgesetzen gegen eine Niederlassung in Deutschland (Facebook Germany) zugelassen, obwohl nach der konzerninternen Aufgabenverteilung die Niederlassung in Irland (Facebook Ireland) die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten des Konzerns für das gesamte Gebiet der EU oblag. Nationale Kontrollstellen haben daher bei Rechtswidrigkeit einer Datenverarbeitung, die Befugnis direkt Ansprüche gegen Unternehmen in Deutschland geltend zu machen, ohne die (eigentlich) zuständige Kontrollstelle am Hauptsitz des Unternehmens (hier Irland) zu ersuchen.

Facebook ist das weltweit größte soziale Netzwerk und Facebook Werbung und Facebook Marketing hat daher für Unternehmer Wirkung. Es stellt sich daher nach dem Urteil die Frage: Ist das Betreiben einer Fanpage auf Facebook aus datenschutzrechtlichen Erwägungen noch möglich oder sollte die Fanpage besser deaktiviert und das Facebook Marketing eingestellt werden?

Was war das Problem mit der Facebook Fanpage Seite im konkreten Fall?

Im konkreten Fall ging es um einen Streit zwischen der Wirtschaftsakademie Schleswig-Holstein, ein privates Bildungsunternehmen, und dem Unabhängigen Landeszentrum für Datenschutz in Schleswig Holstein (ULD). 

Die ULD mahnte die Wirtschaftsakademie im Jahre 2011 ab und verlangte die Einstellung des Betriebs der Fanpage der Wirtschaftsakademie, weil sie ohne Einwilligung der Nutzer mit Hilfe der Funktion “Facebook Insight”, die Facebook ihr als nicht abdingbaren Teil des Nutzungsverhältnisses kostenfrei zur Verfügung stellte, anonymisierte statistische Daten betreffend die Nutzer dieser Seiten verwendete. Diese Daten wurden mit Hilfe von Cookies gesammelt, waren für zwei Jahre aktiv und wurden von Facebook auf der Festplatte des Computers oder einem anderen Datenträger der Besucher der Fanpage gespeichert. Die gesammelten Datensätze durch Cookies wurden mit den Anmeldungsdaten solcher Nutzer, die bei Facebook registriert sind, verknüpft und beim Aufruf der Facebook Seite erhoben und verarbeitet. Die Wirtschaftsakademie bestritt jede Verantwortung für jegliche Datennutzung auf Facebook, verwies auf Facebook als alleiniger Verantwortlicher des sozialen Netzwerkes und klagte mit Unterstützung der Industrie- und Handelskammer gegen die Anordnung der ULD, den Betrieb seiner Fanpage auf Facebook einzustellen.

Die Klage ging bis zum Bundesverwaltungsgericht. Das oberste Verwaltungsgericht legte den Fall dem EuGH vor, nachdem die Vorinstanzen die Auffassung der Kläger bestätigten.

Der EuGH wies die Klage ab und gab dem ULD in vollem Umfang Recht. Facebook sei zwar “Verantwortlicher” für die Verarbeitung der personenbezogenen Daten der Facebook Nutzer und der Personen, die die auf Facebook unterhaltenen Fanpages besucht haben. Denn die Gesellschaft entscheide im Rahmen des Betrieb des Netzwerks hauptsächlich darüber wie und zu welchem Zweck Daten der Nutzer verarbeitet werden dürften. Jedoch sei der einzelne Betreiber, der bei Facebook eine Seite unterhalte, in der Mitverantwortung. Denn der Betreiber der Seite bei Facebook nehme durch die Auswahl des Zielpublikums und der Ziele der Steuerung oder Förderung seiner Tätigkeiten an der Entscheidung über die Art und Weise der Verwendung der persönlichen Informationen der jeweiligen Besucher seiner Fanpage teil. Seitenbetreiber erhalten insbesondere demografische Daten wie Alter, Geschlecht, Beziehungsstatus und berufliche Situation über ihre Zielgruppe und erfahren so Informationen über den Lebensstil und die Interessen seiner Zielgruppe, einschließlich Informationen über die Käufe und das Kaufverhalten der Besucher seiner Seite im Internet und über die Kategorien von Waren oder Dienstleistungen, die sie am meisten interessieren sowie geografische Daten, die sie darüber informieren, wo einzelne Werbeaktionen durchzuführen oder Veranstaltungen zu organisieren seien und ihnen ermöglichten, ihr Informationsangebot so zielgerichtet wie möglich zu gestalten. Der Umstand, dass der einzelne Seitenbetreiber selbst auf Facebook nur entsprechende Dienstleistungen “nutze”, befreie diesen nicht von der Beachtung datenschutzrechtlicher Vorschriften gegenüber den Besuchern und Nutzern seiner Seite. 

Die Auswirkungen des EuGH Urteils vom 5.6.2018

Nach dem EuGH Urteil sind Facebook und der Unternehmer, der eine Facebook Fanpage betreibt für die Nutzerdaten verantwortlich. Das Urteil hat zur Folge, dass die Datenschutzkonferenz der deutschen Datenschutzbehörden (“DSK”) den Betrieb der Facebook Fanpage als rechtswidrig eingestuft hat. Die deutschen Datenschutzbehörden können gegenüber Fanpage Betreibern Sanktionen wie umgehende Stilllegung der Facebook Fanpage und hohe Bußgelder nach der DSGVO verhängen, auch wenn die Luxemburger Richter in erster Linie Facebook für die korrekte Ausgestaltung des Datenschutzes für zuständig erachten. Mit Abmahnungen durch Nutzer oder Wettbewerber ist allerdings bis zu einer Entscheidung des Bundesverwaltungsgerichts ( der EuGH hat die finale Entscheidung im konkreten Fall an das Bundesverwaltungsgericht zurückverwiesen) nicht zu rechnen, da es noch nicht feststeht, ob tatsächlich ein Verstoß vorliegt. Von einer voreiligen Stilllegung der Facebook Seite ist daher abzuraten. Insbesondere, wenn Unternehmer diese Seite aktiv nutzen, um Kunden und Mitarbeiter zu gewinnen. Es ist aber im Einzelnen Folgendes zu beachten:


Das Problem ist, dass Facebook keinen Einblick in die internen Verarbeitungsvorgänge gewährt. Insofern stehen die Betreiber von Fanpages vor einem Informationsdefizit und können nicht so detailliert informieren, wie sich das die Datenschutzbehörden oft vorstellen. Aber die Datenschutzerklärung der Seitenbetreiber sollte insbesondere nicht registrierte Besucher auf Facebook nach Art. 13, 14 DSGVO darüber informieren, welche Daten zu welchen Zwecken durch Facebook einerseits und die Fanpage Betreiber andererseits verarbeitet werden. Außerdem können Nutzer datenschutzrechtliche Ansprüche auch direkt gegen die Betreiber geltend machen. 

Dass der Fanpage Betreiber die personenbezogenen Daten rechtmäßig verarbeitet, muss der Fanpage Betreiber nachweisen können. Ebenfalls hat der Fanpage Betreiber, Besucher zu informieren, wem gegenüber sie ihre Betroffenenrechte nach der DSGVO geltend zu machen haben.

Tracking Maßnahmen wie der Einsatz von Cookies, vergleichbarer Techniken zur Erhebung personenbezogener Daten oder die Speicherung der IP Adresse bedürfen nach Ansicht der DSK der Einwilligung nach der DSGVO zu ihrer rechtmäßigen Verarbeitung. Es lässt sich jedoch auch die gegenteilige Ansicht vertreten, wonach eine solche Einwilligung nicht erforderlich ist, da Tracking Maßnahmen meist anonymisiert durchgeführt werden und auf die Rechtsgrundlage des berechtigten Interesses des Seitenbetreibers gestützt werden können.

Die DSK hat Anfang September 2018 einen Fragenkatalog vorgelegt, der dem Seitenbetreiber und Facebook bei der Umsetzung einer datenschutzkonformen Facebook Fanpage helfen soll. Allerdings ist der Fragenkatalog sehr detailliert und wird durch den Betreiber von Fanpages nicht ohne die Hilfe von Facebook bearbeitet werden können. 

Er zeigt aber, dass die Datenschutzbehörden besonderes Augenmerk auf die Vereinbarung zwischen dem Seitenbetreiber und Facebook gemäß Art. 26 DSGVO legen, die klarstellt, wie die Pflichten aus der DSGVO von den gemeinsam Verantwortlichen erfüllt werden. Diese Vereinbarung (“Seiten-Insights-Ergänzung bezüglich des Verantwortlichen” sowie “Informationen zu Seiten Insights”) hat Facebook, kurz nach dem Beschluss der DSK zum Fragenkatalog, am 11.9.2018 als Teil seiner AGB veröffentlicht.

Aus dem Beschluss der DSK vom 1.4. 2019 ergibt sich demgegenüber, dass die von Facebook vorgelegte Vereinbarung nicht ausreichend ist, um Datenkonformität herzustellen. Insbesondere stehe es im Widerspruch zur gemeinsamen Verantwortlichkeit gemäß Art. 26 DSGVO, dass sich Facebook die alleinige Entscheidungsmacht “hinsichtlich der Verarbeitung der Insights Daten” einräumen lassen will. Außerdem haben Fanpage Betreiber unabhängig von dem Grad der Verantwortlichkeit die Rechenschaftspflicht nach der DSGVO.

Betreiber von Fanpages sind daher gut beraten, Benutzer ihre Page so detaillierte Informationen zur gemeinsamen Datenverarbeitung wie möglich in ihre Datenschutzerklärungen aufzunehmen.

Sie interessieren sich dafür? Alles was Sie tun müssen, ist mit mir in Kontakt treten.