EuGH-Urteil zu Facebook: Alle Infos und Folgen für Selbständige

Der Datenschutz hält alle Unternehmen zurzeit ordentlich auf Trab. Es gibt kaum einen Tag, der nicht eine neue Überraschung bereithält. Jetzt sollen nach einem in der letzten Woche gefällten EuGH-Urteil Betreiber von Facebook-Fanpages auch noch mitverantwortlich für alle Datenschutzverstöße von Facebook sein. Wie es zu dem Urteil kam und was es für Konsequenzen für alle selbständigen Unternehmer mit sich bringt…

Update: Datenschutzbehörden dürfen gegen Fanpages vorgehen

Das Bundesverwaltungsgesetz (BVerwG) hat entschieden, dass Datenschutzbehörden direkt gegen die Betreiber von Facebook-Fanpages vorgehen dürfen (Urteil vom 11.09.2019, Az: BVerwG 6 C 15.18). Nun soll das Schleswig-Holsteinische Oberverwaltungsgericht (OVG) entscheiden, ob Fanpages datenschutzkonform sind. Falls das OVG dies verneint, können Datenschutzbehörden Fanpages verbieten. Momentan besteht (noch) kein Grund zur Panik, da es bislang kein abschließendes Urteil des OVG gibt und Datenschutzbehörden daher nicht tätig werden. Außerdem beziehen sich alle Urteile zu diesem Thema auf den Stand von Facebook im Jahr 2011. Seitdem hat das Soziale Netzwerk einige technische Anpassungen vorgenommen und weitere Maßnahmen angekündigt. Wie es mit dem Datenschutz und den Facebook-Fanpages weitergeht, bleibt bis zum Urteil des OVG abzuwarten.

Update vom 18.06.2018: Facebook will Seitenbetreiber unterstützen

Betreiber von Facebook-Fanpages dürfen vielleicht bald aufatmen: Facebook gab am 15.06.2018 in ihrem newsroom bekannt, dass sie Seitenbetreiber dabei unterstützen wollen, ihre Fanpages DSGVO-konform zu gestalten. Wie, ist bis dato noch nicht bekannt.

Das EuGH-Urteil zur Facebook Fanpage

Das am 5. Juni gefällte Urteil des Europäischen Gerichtshofs besagt, dass Betreiber einer Facebook-Fanseite gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich sind. Ursprung des Urteils ist eine Klage der Wirtschaftsakademie Schleswig-Holstein gegen das Unabhängige Landeszentrum für Datenschutz (ULD) Schleswig-Holstein aus dem Jahr 2011. Das ULD untersagte mehreren Unternehmen den Betrieb von Facebook-Seiten, da diese Datenschutzverstöße begehen und zusammen mit Facebook dafür verantwortlich seien, so das ULD. Die betroffenen Unternehmen, auch die Wirtschaftsakademie, klagten gegen diese Untersagung und gewannen zunächst, bis der Fall zum Bundesverwaltungsgericht und dann zum EuGH gelangte. Der entschied dann auf das genannte Urteil, das folgende Entscheidungen beinhaltet:

Betreiber von Facebook-Seiten sind für die Verarbeitung personenbezogener Daten durch Facebook und Erfüllung der Informationspflichten sowie der Ansprüche der betroffenen Nutzer mitverantwortlich.
Deutsche Datenschutzbehörden sind zuständig und dürfen z.B. die Nutzung von Facebook-Seiten untersagen.

Kurz gesagt: Wenn Facebook Datenverstöße begeht, sind alle, die eine Facebook-Fanseite betreiben, mit schuld und Datenschutzbehörden können diese Seite sperren.

Urteil gilt nicht nur für Facebook

Hintergrund der Entscheidungen ist, dass Betreiber von Facebook-Fan-Seiten auf der Grundlage von statistischen Werten, die aus personenbezogenen Daten gewonnen werden, wirtschaftliche Vorteile erzielen können. Daher seien die Seitenbetreiber eben genauso für die Daten verantwortlich wie Facebook selbst, obwohl Seitenbetreiber lediglich anonymisierte Sammeldaten von Facebook erhalten und nur Facebook selbst Zugriff auf alle detaillierten Daten hat. Diese Regelung gilt auch unter der DSGVO. Und das nicht nur für Facebook: Laut Experten-Einschätzungen lässt sich das Urteil auf alle möglichen Dienste übertragen, somit gilt es auch für Instagram, Twitter, YouTube etc.

Datenschutzbehörden reagieren schnell

Die Datenschutzbehörden haben schnell auf das Urteil des EuGH reagiert und bereits zwei Tage später dazu folgende Punkte aufgeführt:

Besucher einer Fanpage müssen transparent und verständlich darüber informiert werden, welche Daten zu welchen Zwecken verarbeitet werden. Das gilt für registrierte Mitglieder ebenso wie für Besucher von Facebook
Betreiber sollten selbst sicherstellen, dass Facebook ihnen die notwendigen Informationen bereitstellt, um die Informationspflichten zu erfüllen.
Sobald Fanpages durch Tracking personenbezogene Daten erheben (z.B. durch Cookies) müssen sich diese die Einwilligung der Besucher einholen
Facebook und die Fanpage-Betreiber müssen in einer Vereinbarung festlegen, welcher der beiden Verantwortlichen welche Verpflichtungen der DSGVO erfüllt.

Diese Punkte dürften nicht alle so ohne Weiteres zu erfüllen sein, denn Facebook muss dazu einen wesentlichen Teil beitragen.

Der Abmahn-Wahnsinn droht

Alle Selbständigen, die Seiten auf sozialen Netzwerken betreiben, droht daher ein Abmahn-Wahnsinn aus allen Richtungen. Zum einen können alle Besucher der Seite ihre Rechte nach der DSGVO nicht nur gegenüber Facebook sondern auch gegenüber den Seiten-Betreibern geltend machen. Zum anderen können die Datenschutzbehörden bei einem Datenverstoß auch gegen den Betreiber der Facebook-Seite vorgehen.

Und auch Wettbewerber können mit einer Abmahnung um die Ecke kommen. Im Ernstfall bedeutet das: Abmahnkosten und Bußgelder und für alle Unternehmen, die eine Seite bei Facebook, Twitter oder YouTube betreiben. Seitenbetreiber können dagegen keinen Schadenersatz von Facebook verlangen, denn durch das Anlegen der Fan-Seite, haben sie den Nutzungsbestimmungen der Plattform zugestimmt.

No risk no fan(page)?

Fair klingt das nicht, doch im Moment haben Unternehmen mit Fan-Seiten wenig Handhabe. Der einzige wirklich rechtskonforme Weg wäre es, die Fan-Seite zu schließen. Zumindest bis Facebook und Co. passende technische Lösungen parat haben, mit denen die Betreiber der Fan-Pages ihre Nutzer über die Verwendung von Daten hinweisen können. Nicht in jedem Business ist das die beste Lösung. Vor allem dann nicht, wenn Sie auf die öffentliche Wirksamkeit von Facebook oder YouTube angewiesen sind. In diesem Fall lohnt es sich vielleicht eher ins Risiko zu gehen und die Seiten aktiv zu lassen. Zumal das endgültige Urteil durch das Bundesverwaltungsgericht noch aussteht. Doch was ist mit den drohenden Abmahnungen?

Mit der Berufshaftpflicht über exali.de vor drohenden Risiken absichern

Abmahnungen im Zusammenhang mit Datenschutzverstößen sind bereits seit Längerem an der Tagesordnung. Die DSGVO und das Urteil des EuGH werden den Abmahn-Wahnsinn nochmal auf eine höhere Stufe heben. Deshalb ist es wichtig, dass Sie Ihr Business ausreichend versichern. Mit einer Berufshaftpflichtversicherung über exali.de sind Sie im Falle hoher Mahnungsforderungen abgesichert.

Kommt es zu einer Abmahnung wegen eines Datenschutzverstoßes, prüft die Berufshaftpflicht zunächst auf eigene Kosten, ob diese auch berechtigt ist und übernimmt die Kosten für die Abwehr der Forderung oder eine berechtigte Schadenersatzzahlung.

Jede Berufshaftpflichtversicherung über exali.de beinhaltet zudem eine Rechtschutz-Versicherung, sodass auch hohe Gerichtskosten im Fall einer Verhandlung übernommen werden. Mit der passenden Versicherung können Sie dem Datenschutz-Wirrwarr in Zukunft gelassener entgegenblicken und gespannt auf die nächste Überraschung rund um die DSGVO warten.

Tipp

Fügen Sie unbedingt eine Datenschutzerklärung in das Impressum aller aktiven Plattformen und Seiten ein. Eine entsprechende Vorlage für Facebook finden Sie zum Beispiel bei lawlikes.de.