EuGH: Betreiber von Facebook-Fanpages sind für Facebooks Datenverarbeitung mitverantwortlich / Lösung

Für viele Onlinehändler und Unternehmen sind Facebook-Fanpages aufgrund der Reichweitenstärke ein unverzichtbarer Werbekanal geworden. Der EuGH hat nun geurteilt, dass der Betreiber einer solchen Fanpage gemeinsam mit Facebook für die bei Facebook erfolgende Datenverarbeitung verantwortlich ist. Jede Fanpage benötigt daher nun eine Datenschutzerklärung. Die IT-Recht Kanzlei bietet betroffenen Unternehmen eine Lösung.

Worum geht es?

Wer als Händler effektiv Werbung für sein Unternehmen und seine Waren machen möchte, kommt in heutigen Zeiten um einen geschäftlichen Auftritt bei Facebook eigentlich nicht mehr herum. Eine solche Fanpage kann schnell und kostenfrei angelegt werden und besitzt eine enorme Reichweite.

Wurde bei Facebook bisher eine reine Präsentationsseite zur Vorstellung eines Unternehmens ohne jeden Verkauf betrieben, dann reichte ein Impressum auf der Fanpage für einen rechtssicheren Facebook-Auftritt aus.

Das hat sich mit dem aktuellen Urteil des EuGH vom 05.06.2018 massiv geändert.

Der EuGH vertritt ganz klar die Position, dass der Betreiber der Fanpage – also der Händler / das werbende Unternehmen – für die (fremde) Datenverarbeitung die Facebook im Rahmen solcher Seiten durchführt (mit)verantwortlich ist. Dies bedeutet nicht nur, dass der Betreiber für mögliche Verstöße Facebooks gegen das Datenschutzrecht haftet und zum Ansprechpartner der Datenschutzbehörden wird. Vielmehr muss auf jeder Fanpage künftig auch eine eigene Datenschutzerklärung des Betreibers dargestellt werden.

Nicht zu unterschätzende Reichweite des Urteils

Betroffen von der aktuellen Rechtsprechung des EuGH ist der kleine Handwerksbetrieb von nebenan, der rein zu Präsentationszwecken (z.B. Darstellung von Anschrift und Öffnungszeiten) bei Facebook eine „Visitenkarte“ besitzt genauso wie der Weltkonzern, der einen zum vollwertigen Support- und Verkaufskanal ausgebauten und durch Social-Media-Manager betreuten Facebook-Auftritt betreibt.

Mit anderen Worten: Vom aktuellen Urteil des EuGH ist jeder betroffen, der eine Seite bei Facebook betreibt, unabhängig davon, welche Daten er dabei (selbst) verarbeitet bzw. welche der ihm von Facebook zur Verfügung gestellten Nutzerdaten er dabei nutzt. Selbst Privatpersonen sind erfasst, werden in der Praxis aber kaum Konsequenzen zu spüren bekommen.

Datenkrake Facebook

Facebook hat in Sachen Datenschutz nicht gerade den besten Ruf.

Klar ist, dass Facebook den Nutzern eine Vielzahl von Diensten kostenfrei zur Verfügung stellt, für deren Nutzung diese schließlich mit ihren personenbezogenen Daten „bezahlen“. Primäres Ziel Facebooks dürfte dabei sein, dritten Werbetreibenden dann teure – da personalisierte und zielgruppengenaue – Werbemöglichkeiten zu verkaufen.

Auch im Rahmen der gegenständlichen Fanpages betreibt Facebook eine massive Datensammlung und –verarbeitung. Wenngleich nicht im Detail bekannt ist, welche Daten von Facebook konkret wie verarbeitet werden ist, dürften in erster Linie detaillierte Nutzerprofile erstellt werden, um den jeweiligen Nutzer für die Werbeindustrie besonders interessant zu machen.

Donnerschlag des EuGH

Der EuGH hat auch klargestellt, dass es überhaupt nicht darauf ankommt, welche der von Facebook „eingesammelten“ Daten vom Seitenbetreiber überhaupt selbst genutzt werden. Nach seiner Entscheidung ist alleine die theoretische Zugriffsmöglichkeit des Betreibers der Fanpage auf diese Daten – etwa die Einsicht in Nutzerstatistiken – zur Begründung dessen datenschutzrechtlicher Mitverantwortlichkeit ausreichend.

Damit ist jeder Fanpage-Betreiber betroffen, egal ob er diese ihm von Facebook zur Verfügung gestellten Nutzerdaten überhaupt nutzt und unabhängig davon, ob er sich datenschutzrechtliche die Hände schmutzig macht. Vielmehr färbt ein mögliches datenschutzrechtliches Fehlverhalten Facebooks auf den Seitenbetreiber ab.

Fanpages bitte nur noch mit Datenschutzerklärung

Der Betreiber einer Fanpage ist nun vom EuGH ganz deutlich als „datenschutzrechtlich Verantwortlicher“ identifiziert worden. Auch wenn er selbst dabei gar keine Verarbeitung personenbezogener Daten beabsichtigt, muss er kraft seiner Stellung als Verantwortlicher über seine Eigenschaft als solcher und die Datenverarbeitung seitens Facebook im Rahmen einer Datenschutzerklärung bereits auf der Fanpage informieren.

D.h., selbst für bloße Unternehmenspräsentationsseiten bei Facebook muss nun neben der Darstellung eines ausreichenden Impressums auch eine Datenschutzerklärung vorgehalten werden.

Vermutlich dürfte das Fehlen einer solchen Datenschutzerklärung am ehesten zu Konsequenzen in der Form von Abmahnungen oder Nutzerbeschwerden führen. Bereits nach dem Datenschutzrecht vor Geltung der DSGVO war klar, dass das Betreiben einer Internetseite ohne Datenschutzerklärung einen Datenschutzverstoß darstellt.

IT-Recht Kanzlei bietet zeitnah spezielle Datenschutzerklärung für Facebook-Seiten an

Die IT-Recht Kanzlei stellt ihren Update-Service-Mandanten, die Rechtstexte für Facebook beziehen voraussichtlich ab Anfang kommender Woche eine spezielle, DSGVO-konforme Datenschutzerklärung für Facebook bereit. Dadurch können Betreiber solcher Fanpages ihren Informationspflichten hinsichtlich der Datenschutzerklärung auch bei Facebook bequem nachkommen.

Ausblick

Ganz wesentlich wird im Falle Facebooks zum einen sein, wie Facebook die Seitenbetreiber nun unterstützt.

Alleine Facebook weiß, was mit den Daten der Seitenbesucher konkret passiert und muss diese Informationen den Fanpagebetreibern transparent zur Verfügung stellen, damit diese die Nutzer auf ihrer Fanpage hierzu ausreichend informieren können. Ferner muss Facebook natürlich die Vorgaben des europäischen Datenschutzrechts einhalten, da kein Fanpage-Betreiber für mögliche Verstöße seitens Facebook haften möchte.

Das Urteil des EuGH erschüttert ohne Zweifel die Branche.

Dennoch muss hier erst einmal abgewartet werden, welche Konsequenzen sich daraus für die Praxis ergeben. So ist etwa derzeit nicht abschließend geklärt, ob derartige datenschutzrechtliche Verstöße überhaupt durch Mitbewerber abmahnbar sind. Und: Jeder Mitbewerber, der ebenfalls bei Facebook aktiv ist, sitzt letztlich im gleichen Boot.

Datenschutzbehörden werden zudem auf absehbare anderes zu tun haben, als Betreiber kleiner und mittlerer Facebook-Fanpages anzugehen.

Kein reines „Facebook-Problem“

Instagram, Twitter, Youtube, Amazon, eBay… : Die Liste der Plattformen, die Unternehmen als Werbekanäle für sich entdeckt haben, ist nahezu endlos. Auch dort verarbeitet der Plattformbetreiber selbst in aller Regel Daten – meist zu kommerziellen Zwecken.

Die Rechtsprechung des EuGH lässt sich damit ohne weiteres auf weitere Social-Media-Anbieter übertragen.

Denn: Nach dem EuGH kommt es gerade nicht auf das „datenschutzrechtliche Verhalten“ des Händlers bzw. dessen Absichten an. Vielmehr begibt sich der Händler bereits „in Gefahr“, indem er eine „Repräsentanz“ auf eine solchen Plattform eröffnet.

Wer also nun in Panik seine Facebook-Fanpage abschaltet, denkt zu kurz, jedenfalls, wenn er noch in anderen sozialen Medien präsent ist.

Wie geht es weiter?

Das Urteil des EuGH ist ein Donnerschlag für die Branche.

Es fällt inzwischen vielen Unternehmern schwer, den „Entwicklungen“ des Datenschutzrechts nachzukommen. Ist doch bereits die seit dem 25.05.2018 geltende DSGVO ein Bürokratiemonster par excellence, folgt nun mit dem EuGH-Urteil der nächste Nackenschlag für den Ecommerce.

Die Umsetzung der DSGVO bereitet in der Praxis große Probleme - bei fraglichem Nutzen für die Betroffenen. Man muss sich wohl generell fragen, ob der vom Gesetzgeber eingeschlagene Regulierungs- und Einwilligungswahn in Sachen Datenschutz nicht der falsche Ansatz ist.

Denn wenn Rechtsberater und Unternehmen über einer Umsetzung der gesetzlichen Regelungen in die Praxis brüten ist eines quasi sicher: Der Normalbürger als Adressat dieser Informationen versteht dann am Bildschirm davon vermutlich nicht mehr viel und willigt „blind“ ein, um wie gewohnt online bestellen zu können.

Es wäre wohl an der Zeit, bereits Schulkindern klar zu machen, dass Herr Zuckerberg nicht der nette Onkel von nebenan ist, der aus purer Freundlichkeit kostenlosen Webspace nebst Messenger verteilt, sondern ein knallhartes Geschäft mit den Daten seiner Nutzer betreibt.

Bitterer Beigeschmack des Urteils ist, dass hier letztlich die Seitenbetreiber – die Facebook nicht der umfassenden Datenverarbeitung, sondern der Reichweite wegen nutzen – zu Bauernopfern gemacht wurden.

Juristisch mag es nachvollziehbar sein, dass bereits mit dem Eröffnen einer solchen Fanpage der Betreiber eine Entscheidung über Mittel und Zwecke der Datenverarbeitung durch Facebook trifft. Schließlich muss ja niemand bei Facebook mitmachen. Der datenschutzrechtliche „Sünder“ ist und bleibt aber primär Facebook, dem anders als einem kleinen Fanpagebetreiber behördlicherseits ungleich schwerer beizukommen ist.

Fazit

Panik ist aber aus derzeitiger Sicht dennoch nicht angesagt, da die Auswirkungen des Urteils für die Praxis noch vollkommen offen sind.

Facebook ist jedenfalls nun gefordert, die Seitenbetreiber hier schnell, effektiv und transparent zu unterstützen.

Denn der eigentliche Widerspruch in der Praxis besteht schon darin, dass mit dem EuGH nun Personen für etwas (mit)verantwortlich sind, was für diese in vielen Punkten überhaupt nicht greifbar bzw. beeinflussbar ist.
Facebook wird hier aus Eigeninteresse schnell tätig werden müssen, damit nicht massenweise Nutzer abspringen.

Die wohl wichtigste Konsequenz für die Praxis ist, dass jeder Facebook-Auftritt eines Händlers / Unternehmens nun eine eigene Datenschutzerklärung enthalten muss. Hier dürfte in der Praxis die größte Gefahr lauern, wenn Verbände bzw. Mitbewerber fehlende / falsche Datenschutzerklärungen abmahnen.

Die IT-Recht Kanzlei bietet zeitnah eine entsprechende Datenschutzerklärung an. Die professionellen Rechtstexte der IT-Recht Kanzlei für Facebook erhalten Sie bereits ab 9,90 Euro zzgl. MwSt. monatlich

Derjenige, der die weitere Entwicklung abwarten möchte und aktuell nicht auf seine Fanpage angewiesen ist, kann seine Facebookseite natürlich auch inaktiv schalten, damit diese außer für Administratoren nicht mehr sichtbar ist. Denkt man die Sache konsequent zu Ende, müsste er dann aber auch Auftritte in anderen sozialen Medien abschalten…

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.