Aktuelles

Sie betreiben eine Fanpage auf Facebook? Dann nehmen Sie sich doch kurz Zeit und lesen diesen Beitrag über die Auswirkungen, die die dazu ergangene aktuelle Entscheidung des EuGH für Sie haben könnte.

Mit Urteil vom 5. Juni 2018 hat der EuGH entschieden, dass Art. 2 Buchst. d, Art. 17 Abs. 2, Art. 24 und Art. 28 Abs. 3 zweiter Gedankenstrich der Richtlinie 95/46/EG dahin auszulegen sind, dass der Betreiber einer Fanpage als für die Verarbeitung personenbezogener Daten gemeinsam mit Facebook Ireland Verantwortlicher einzustufen ist.

Ausgangsfall war ein Streit zwischen der Wirtschaftsakademie Schleswig-Holstein GmbH und dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein, das der Wirtschaftsakademie unter Androhung von Zwangsgeldern mittels Bescheid auftrug, die von ihr betriebene Facebook Fanpage zu deaktivieren. Da die Wirtschaftsakademie der Ansicht war, dass sie weder für die Datenverarbeitung durch Facebook noch für die von Facebook gesetzten Cookies verantwortlich ist, bekämpfte sie den Bescheid in allen Instanzen und setzte das Bundesverwaltungsgericht schließlich das nationale Verfahren aus und ersuchte den EuGH (u.a.) um Auslegung des Art. 2 Buchst. d der Richtlinie 95/46/EG.

Der EuGH hat dazu erwogen, dass die Richtlinie 95/46 darauf abzielt, ein hohes Niveau des Schutzes der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere ihrer Privatsphäre, bei der Verarbeitung personenbezogener Daten zu gewährleisten. Diesem Ziel entsprechend, ist auch der Begriff des „Verantwortlichen“ weit zu definieren. Obwohl vordergründig eindeutig Facebook Inc. bzw. Facebook Ireland über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Facebook-Nutzer und der Personen entscheiden, die die auf Facebook unterhaltenen Fanpages besucht haben, schließt dies jedoch nicht aus, dass die Betreiber einer auf Facebook unterhaltenen Fanpage im Rahmen dieser Fanpage gemeinsam mit Facebook Ireland und der Facebook Inc. einen Beitrag zur Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher dieser Fanpage leisten und somit ebenfalls als „für die Verarbeitung Verantwortliche“ im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 angesehen werden können.

Die Datenverarbeitung geschieht, indem Facebook auf dem Endgerät des Nutzers, der eine Fanpage besucht hat, unabhängig davon, ob dieser Nutzer ein Facebook-Konto hat oder nicht, Cookies platziert, die für die Dauer von zwei Jahren bestehen bleiben, sofern sie nicht gelöscht werden. Unter Zuhilfenahme dieser Cookies erstellt Facebook Besucherstatistiken der Fanpage und übermittelt diese anonymisiert an den Betreiber. Gleichzeitig stellt Facebook Filter zur Verfügung, anhand derer der Betreiber der Fanpage festlegen kann, nach welchen Kriterien diese Statistiken erstellt werden sollen und sogar die Kategorien von Personen bezeichnen kann, deren personenbezogene Daten von Facebook ausgewertet werden. Durch eine derartige Parametrierung seitens des Fanpage-Betreibers ist dieser an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt und daher als Verantwortlicher einzustufen.

Diese Entscheidung des EuGH erging zwar noch zur alten Rechtslage vor dem Inkrafttreten der EU-DSGVO am 25. Mai 2018; an der Definition des Verantwortlichen hat sich dadurch allerdings nichts geändert und das Ziel, ein hohes Niveau des Schutzes der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere ihrer Privatsphäre, bei der Verarbeitung personenbezogener Daten zu gewährleisten, wurde sogar noch gestärkt. Es ist daher davon auszugehen, dass dieses Urteil auch nach der aktuellen Rechtslage von Relevanz ist.

Für Betreiber von Fanpages bedeutet dies nun, dass sie ebenfalls die Pflichten eines Verantwortlichen treffen, sie also insbesondere den Informationspflichten und der Ausübung von Betroffenenrechten entsprechen müssen, wobei im Falle einer Pflichtverletzung die enormen Geldbußen des DSGVO drohen (siehe dazu auch unseren Beitrag „Die DSGVO kommt!“). Wie die Verantwortlichenpflichten zwischen Facebook und den Betreibern von Fanpages nun konkret aufgeteilt werden, muss allerdings erst geregelt bzw. vereinbart werden.