Ein Gastbeitrag von Anja Neubauer

Durch das Inkrafttreten der DSGVO am 25. Mai 2018 ist Facebook schon verschärft ins Fadenkreuz der Datenschutzbehörden gerutscht. Jedoch schon lange zuvor gab Facebook Grund zu Klagen von Datenschützern. Am heutigen 5. Juni 2018 wurde durch den EuGH im Fall des unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein gegen die Wirtschaftsakademie Schleswig-Holstein GmbH entschieden, dass diese aufgrund einer simplen „Fan-Page“ für die Verarbeitung von personenbezogenen Daten durch Facebook ebenfalls verantwortlich sind – und das obwohl die Wirtschaftsakademie weder die Verarbeitung abstellen kann, noch in irgend einer Weise Facebook mit der Verarbeitung der personenbezogenen Daten der Besucher beauftragt hat. Zudem hat der EuGH in diesem Urteil klar gestellt, dass auch eine EU-ansässige Datenschutzbehörde gegen eine im Mitgliedsstaat niedergelassene Tochtergesellschaft von Facebook vorgehen kann.

Der Fall begann vor mehr als sieben Jahren. Das unabhängige Landeszentrum für Datenschutz Schleswig-Holstein hatte am 3. November 2011 die Wirtschaftsakademie aufgefordert, ihre Facebook-Seite zu löschen, da Facebook Daten der Besucher dieser „Fan-Page“ sammele, jedoch weder die Wirtschaftsakademie noch Facebook die Nutzer hierüber aufkläre. Die Wirtschaftsakademie wies die Schuld von sich, da sie zum Einen Facebook nie mit der Datensammlung beauftragt habe und zum Anderen natürlich auch diese Datensammlung und -verarbeitung von ihr nicht kontrolliert werden könne.

Der EuGH hat nun letztinstanzlich knallhart reagiert: Auch wenn für die Wirtschaftsakademie nicht vermeidbar sei, dass Facebook diese Daten sammele, so hafte sie gemeinschaftlich mit Facebook zusammen für diesen Verstoß. Der Betreiber einer solchen „Fan-Page“ sei durch die von ihm vorgenommene Parametrierung (Zielpublikum, Ziele der Steuerung oder Förderung seiner Tätigkeiten) an der Sammlung der personenbezogenen Daten der Besucher beteiligt. Auch lässt der EuGH die Argumentation nicht gelten, dass man als Seitenbetreiber die Sammlung nicht ausschließen könnte. Denn schließlich kann man diese Daten in Form von Statistiken als Seitenbetreiber sehen und entsprechend die Angebote gezielter gestalten. Auch wenn man diese Funktion nicht nutze, so bliebe es bei der Beachtung der Verpflichtung im Bereich des Schutzes personenbezogener Daten. Damit ist die Aufklärungspflicht gemeint und natürlich auch, dass der Nutzer – jetzt insbesondere nach der DSGVO – die Möglichkeit bekommen muss, der Datensammlung und – verarbeitung zu widersprechen.

Aber was heißt das nun in der Konsequenz?

Dies ist natürlich ein Schlag für alle Facebook-Seitenbetreiber, Entsprechendes müsste natürlich auch für alle Facebook-Gruppenbetreiber gelten.

Und dies, obwohl die Datenverarbeitung unausweichlich für den Seiten- oder Gruppenbetreiber ist. Der EuGH hat deutlich gesagt, dass a) Facebook mit seiner Zentrale in Irland verantwortlich ist und b) dass auch, selbst wenn die Datenverarbeitung durch den Seitenbetreiber nicht kontrollier- oder beeinflussbar sei, dieser ebenfalls hafte, und zwar in dem Moment, wo die Seite aufgerufen wird.

In erster Konsequenz heißt das, dass alle Seitenbetreiber ihre Seiten löschen oder zumindest „nicht sichtbar“ schalten müssten! Und zwar so lange, bis Facebook eine Option bereithält, dass die Speicherung der Daten explizit ausgeschlossen werden kann!

Dies funktioniert wie folgt: Auf der Seite oben auf „Bearbeiten“ klicken, dann den ersten Punkt „Seite veröffentlichen“ auf „Seite nicht veröffentlichen“ stellen, Grund auswählen – fertig. Dann kann außer dem Admin der Seite selbst kein Nutzer mehr diese Seite sehen.

Natürlich könnte man auch darüber nachdenken, ob nicht eine Aufklärung ausreichen könnte, denn die Datenschützer rügten vor allem, dass „keine Aufklärung der Nutzer über Facebook“ erfolge.

Daher könnte man überlegen, inwieweit z.B. ein oben auf der Seite fixierter Post mit der Aufklärung der Nutzer („Wenn Sie diese Seite besuchen, speichert und verarbeitet Facebook Ihre Daten….“) hier vielleicht ausreichen könnte. Dabei ist jedoch zu bedenken, dass eine Aufklärung mit der Einwilligung VOR dem Besuch (und damit vor dem Beginn der Datensammlung) der Facebook-Seite stattfinden muss, da sie sonst unwirksam ist.

Wenn also der Nutzer eine solche „Aufklärung“ bereithalten würde, wird diese den strengen DSGVO-Vorschriften nicht standhalten – und daher wäre eine solche „Hinweismeldung“ auf der Facebook-Seite nach meinem Dafürhalten nicht rechtswirksam umsetzbar. Einzig das „nicht sichtbar“-Schalten entspricht also der vom EuGH vorgesehenen Lösung – bis eben eine entsprechende Funktion zum Ausschalten der Datensammlung von Facebook bereitgehalten wird.

Zudem muss man beachten, dass es gerade nicht möglich ist, in irgendeiner Form die Datensammelflut zu verhindern – was die Richter des EuGH eben zu diesem harten Urteil bewegte. Schließlich kann der Seitenbetreiber die Daten auch nutzen, die ihm Facebook zur Verfügung stellt, auch wenn es sich nur um einen marginalen Anteil in Form von Statistiken handelt, die der Betreiber der Seite einsehen kann.

Ich persönlich werde daher meine Facebook-Seiten nun erst einmal auf „nicht sichtbar“ schalten, bis Mark Zuckerberg eine rechtskonforme Lösungsmöglichkeit für die Sammlung der Nutzer meiner Seiten bereithält und diese mir als Betreiber der Seiten zur Verfügung stellt. Eine andere Alternative sehe ich persönlich nach dem Urteil des EuGH nicht.

Für Gruppen hat der EuGH nichts in seinem Urteil verlauten lassen. In der logischen Konsequenz müsste der Gedanke hier jedoch fortgeführt werden – und im Ergebnis müsste man auch hier dazu kommen, dass auch die Sammlung von Daten durch den Betreiber einer Facebook-Gruppe mitverantwortet wird. Wenn auch hier keine Statistiken zugänglich sind wie bei Facebook-Seiten. Es werden ja schließlich auch Personenzahlen und Likes gezählt.

Hier bleibt also abzuwarten, ob und inwieweit die Rechtsprechung eine Fortentwicklung macht. Gut sieht es jedoch nicht aus für die Gruppenbetreiber.

Quo vadis, Facebook?

Mark Zuckerberg, der vor dem US-Kongress in mehrstündigen Befragungen noch schwitzte, gab sich vor dem EU Parlament neulich noch betont locker, beantwortete die vorab (!) an ihn zur Sichtung überreichten Fragen und meinte, dass Facebook schon immer die neuen Regelungen wie Datenkontrolle, Transparenz und Verantwortlichkeit berücksichtigt habe: „Wir haben diese Werte immer geteilt und den Leuten die Möglichkeit der Kontrolle gegeben, welche Informationen sie teilen und mit wem. Jetzt werden wir noch weiter gehen, um diese neuen Regeln umzusetzen.“

Kann Facebook das denn?

Kurz gesagt: Nein! Der Facebook-Seitenbetreiber kann eben diese Kontrolle nicht an die Seitenbesucher weitergeben. Seitens Facebook stehen lange angeforderte Antworten in sämtlichen Bereichen aus. Angesichts des Urteils des EuGH sehen sich nun Facebook-Seitenbetreiber in der direkten Verantwortlichkeit. Und zwar auf Augenhöhe mit Facebook selbst. Das mag zwar unschön sein, ist aber die logische (und richtige) Konsequenz, wenn Datenschutz nicht nur eine Hülse sein soll, sondern ernsthaft und in allen Konsequenzen durchgeführt werden soll.

Folge: Alle, die Fanpages besitzen, sind nun in der Haftung wie Facebook selbst. Die Datensammlung ist so nicht DSGVO-konform.

Unfair? Vielleicht. Für die Gewerbetreibenden, insbesondere die Kleinen, die sich durch die Präsenz in der Community mit Millionen Nutzern etwas mehr Werbung versprachen. Für Facebook sicher nicht: Facebook ist nicht nur eine Social Media Plattform, sondern das weltweite Role-Model zur Datenverarbeitung, um mit Profiling durch Werbung Geld zu verdienen.