Facebook-Fanpages und Verantwortliche nach dem Datenschutzrecht
Das Urteil des EuGH vom 5. Juni 2018 (Az.: C‑210/16) kam als donnernder Paukenschlag inmitten einer schon vor dem Inkrafttreten der DSGVO am 25. Mai 2018 bereits aufgeheizten Debatte um die Reichweite des Datenschutzes. Und es wird noch weitereichende Konsequenzen haben, denn es betrifft nicht nur Facebook und seine Nutzer, sondern jeden, der nicht nur privat auf einer Social Media-Plattform eine Seite oder ein Profil betreibt.
In dem Verfahren ging es um einen privaten Bildungsträger, der auf einer Facebook-Fanseite sein Angebot vermarktete. Hiergegen ging das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein vor und ordnete an, dass die Facebook-Fanseite deaktiviert werden muss.
Wichtigster Punkt im Vorgehen der Datenschutzbehörde und im dieses nun bestätigenden Urteil ist, wer für unzulässige Datenverarbeitungen durch Facebook im Rahmen bzw. auf Grundlage einer Facebook-Fanseite verantwortlich gemacht werden kann. Nach der vom EuGH zugrunde gelegten Richtlinie 95/46/EG (diese war die Grundlage für das BDSG bis zum Inkrafttreten der DSGVO) können mehrere gemeinsam Verantwortliche sein, sofern jeder von ihnen über Mittel und Zwecke der Datenverarbeitungen (mit-) entscheidet.
Da der Betreiber einer Facebook-Fanseite nach Ansicht des EuGH den Anlass dafür gibt, dass gerade über diese Seite Daten der Besucher erhoben und verarbeitet werden, wurde entschieden, dass er auch Mitverantwortlicher für die entsprechenden unzulässigen Datenverarbeitungen ist.
Dass die Datenschutzaufsichtsbehörde also (auch) gegen den Bildungsträger und nicht nur gegen Facebook vorging, war somit aus Sicht des EuGH richtig.
Die Regelungen zur Verantwortlichkeit in der DSGVO sind unverändert zur alten Rechtslage, sodass diese Einschätzung auch für das neue Recht von höchster Relevanz ist. Und sie betreffen nicht nur Facebook: Die Grundsätze, nach denen die Mitverantwortlichkeit angenommen wird, gelten für jedes Social Media-Profil, das ein Unternehmer betreibt. Nur ausschließlich persönliche und familiäre Tätigkeiten sind allgemein von der DSGVO ausgenommen. Wenn ein Social Media-Netzwerk unzulässige Datenverarbeitungen vornimmt, so kann nach diesem Urteil jeder nicht-private Nutzer hierfür mit in die Verantwortung genommen werden, wenn er dort ein Profil unterhält, über das entsprechende Datenverarbeitungen passieren.
Insofern sollte jeder gewerbliche Betreiber einer Facebook-Fanseite eine genaue Risiko-Nutzen-Analyse durchführen und – sollte er sich für den Erhalt der Facebook-Seite entscheiden – die weiteren Entwicklungen genau beobachten. Facebooks Datenschutz entspricht nicht den Vorgaben der DSGVO und nach diesem Urteil kann jeder, der dort eine Seite betreibt, mit dafür verantwortlich gemacht werden.