EuGH-Urteil zu Fanpages
Müssen Unternehmer jetzt ihre Facebook-Seite löschen?

Eine Fanpage auf Facebook – für Unternehmen eine gute Möglichkeit, für sich zu werben. Doch nach einem EuGH-Urteil lauert hier die nächste Datenschutzfalle. Was bedeutet das Urteil für Fanpage-Betreiber? Ein Überblick.

, von

Daumen runter für Facebook-Fanpages von Unternehmen? Der Europäische Gerichtshof (EuGH) hat ein Urteil zum Datenschutz auf Fanseiten gefällt.
Daumen runter für Facebook-Fanpages von Unternehmen? Der Europäische Gerichtshof (EuGH) hat ein Urteil zum Datenschutz auf Fanseiten gefällt.
© nanomanpro / Fotolia.com

Gerade erst erholen sich die meisten Unternehmen von der Umsetzung der Datenschutzgrundverordnung, da wirft ihnen der Europäische Gerichtshof (EuGH) schon den nächsten juristischen Brocken vor die Füße. Dieses Mal geht es um Fanpages, also jenen Seiten auf Facebook, auf denen Unternehmen sich präsentieren, Kontakt zu Kunden aufnehmen und Werbung für sich machen. Die Frage, die das Gericht beantworten sollte: Wer ist verantwortlich für den Datenschutz auf Fanpages – Facebook oder die Seitenbetreiber?

Die Entscheidung des Gerichts: beide. „Der Betreiber einer Facebook-Fanpage ist gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich“, heißt es dazu in einer Pressemitteilung des Gerichts. Ein datenschutzrechtlicher Paukenschlag mit möglicherweise wegweisenden Folgen.

Was bedeutet das EuGH-Urteil für Unternehmer?

Fanpage-Betreiber können die Verantwortung für die auf ihrer Seite gesammelten Daten nicht länger auf Facebook abwälzen. Sie sind mitverantwortlich und müssen sich an die Datenschutz-Vorgaben halten.

Aber was können Unternehmen dafür, wenn Facebook Daten sammelt und verarbeitet? Schließlich haben sie keinen direkten Einfluss darauf, was Facebook macht. Die Richter sehen das anders: Fanpage-Betreiber können über die Funktion „Insight“ anonymisierte demografische Daten über die Besucher ihrer Seite erhalten, zum Beispiel zum Alter, Geschlecht, Beziehungsstatus, Kaufverhalten oder zur beruflichen Situation. So können die Betreiber etwa Werbeaktionen passgenau auf ihre Zielgruppe zuschneiden. Und die Zielgruppe weiß im Zweifel von alldem nichts, denn sie wird nicht darauf hingewiesen. Und hier liegt die Krux.

Nach Ansicht der Richter seien Fanpage-Betreiber auf diese Weise „an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt“. Heißt: Weil Unternehmen Facebooks Datensammelwut für ihre Zwecke nutzen, müssen sie auch datenschutzrechtlich dafür geradestehen – auch wenn sie keine Möglichkeit haben, diese unmittelbar zu beeinflussen. Denn: Hätten sie die Fanpage nicht eingerichtet, könnte Facebook auch nicht die Daten ihrer Besucher sammeln.

Es geht in dem Urteil also nicht darum, was auf der Seite steht, sondern dass sie als Datenquelle genutzt wird. In einer Pressemitteilung des EuGH heißt es hierzu: „Nach Ansicht des Gerichtshofs kann der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, diesen nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien.“

Sollten Unternehmen ihre Fanpage jetzt löschen?

Was nun? Fanpage abschalten – ja oder nein? Juristen sind sich diesbezüglich uneins. Die einen sagen, dass der sicherste Weg sei, die Seite sofort offline zu nehmen. So schreibt etwa Anja M. Neubauer, Juristin und Expertin für Internetrecht, auf meedia.de: „In erster Konsequenz heißt das, dass alle Seitenbetreiber ihre Seiten löschen oder zumindest „nicht sichtbar“ schalten müssten! Und zwar so lange, bis Facebook eine Option bereithält, dass die Speicherung der Daten explizit ausgeschlossen werden kann!“

Anwalt Thomas Schwenke schreibt auf heise.de, dass er es für verfrüht halte, Facebook-Seiten aufgrund des Urteils zu löschen. Unternehmen sollten sie höchstens offline nehmen und abwarten, wie sich die Lage entwickle. Das ist zurzeit allerdings noch unklar. Auf der Seite des Bundesdatenbeauftragten heißt es dazu: „Welche konkreten Auswirkungen das Urteil für das weitere aufsichtsrechtliche Vorgehen mit sich bringt, werden die Aufsichtsbehörden von Bund und Ländern nun zeitnah entscheiden.“

Theoretisch können Datenschutzverstöße Unternehmen teuer zu stehen kommen. Die Landesdatenschutzbehörden und Verbände dürfen abmahnen und verklagen. Die maximalen Strafen können sich dann auf zwei bis vier Prozent des weltweiten Unternehmensumsatz beziehungsweise 10 bis 20 Millionen Euro belaufen. Mehr dazu lesen Sie in unserem Artikel: DSGVO: Wie wahrscheinlich sind hohe Strafen wirklich?

Auch eine Abmahnung, also die Bitte auf Unterlassung, kann teuer werden. Im Regelfall sollten Unternehmen mit ungefähr 5000 Euro rechnen, wie der Rechtsanwalt Christian Solmeck in einem meedia-Interview angibt. Wer das Risiko nicht scheut, kann natürlich knallhart kalkulieren: Was kommt mich teurer zu stehen – eine eventuelle Abmahnung oder meine Fanpage offline zu nehmen?

Mehr zum Thema Abmahnung lesen Sie in unserem Artikel „Was tun, wenn eine Abmahnung ins Haus flattert?“.

In eigener Sache
Machen ist wie wollen, nur krasser
Machen ist wie wollen, nur krasser
Die impulse-Mitgliedschaften - Rückenwind für Unternehmerinnen und Unternehmer

Wie kam es überhaupt zu dem Urteil?

Stein des Anstoßes war die Fanpage der Wirtschaftsakademie Schleswig-Holstein. Dem damaligen Datenschutzbeauftragten des Landes, Thilo Weichert, waren solche Fanpages ein Dorn im Auge. Warum? Weil Facebook den Betreibern Daten ihrer Fanpage-Besucher zur Verfügung stellt.

Diese Daten sammelt Facebook mit Hilfe sogenannter Cookies. Diese enthalten einen eindeutigen Benutzercode, den Facebook auf der Festplatte oder einem anderen Datenträger der Fanpage-Besucher speichert. Was das Unabhängige Landeszentrum für Datenschutz (ULD) dabei besonders störte: Weder Facebook noch die Wirtschaftsakademie wiesen die Besucher darauf hin, dass sie „ausspioniert“ werden.

Im November 2011 ordnete das ULD die Wirtschaftsakademie darum an, ihre Fanpage zu deaktivieren. Die Wirtschaftsakademie klagte dagegen. Sie verwies darauf, dass sie Facebook nicht mit der Datenverarbeitung beauftragt habe. Das ULD hätte nicht gegen sie, sondern Facebook vorgehen müssen. Schließlich landete die Sache beim Bundesverwaltungsgericht in Leipzig (BVerwG), dass den EuGH um die Auslegung der damals noch gültigen Datenschutz-Richtlinie 95/46 bat.

Das Urteil bezieht sich also nicht auf die seit 25. Mai gültige DSGVO. Doch auf der Seite des Bundesbeauftragten für Datenschutz heißt es dazu: „Auch wenn das Urteil noch auf der vor der Datenschutzgrundverordnung geltenden Rechtslage beruht, ist der vom Gericht festgelegte Grundsatz der gemeinsamen Verantwortlichkeit auch auf das neue Recht übertragbar.“

Und wie geht es jetzt weiter?

Der EuGH hat nur grundsätzlich die Frage beantwortet, wer für die Datenverarbeitung auf Facebook haftet. Nun geht der Fall zurück ans BVerwG. Bis ein endgültiges Urteil fällt, können Monate vergehen.

Spannend ist, wie Facebook reagieren wird. Wird der Online-Gigant seine Datenkrake zähmen? Wird er Nutzern die Möglichkeit einräumen, die datensammelnden Cookies gegen Bezahlung auszuschalten?

Das EuGH-Urteil dürfte übrigens nicht nur Facebook treffen. Es beziehe sich zwar nur auf Facebook, doch es sei auch auf andere Dienste wie Twitter und Instagram übertragbar, schreibt Rechtsanwalt Thomas Schwenke.

Gerade erst erholen sich die meisten Unternehmen von der Umsetzung der Datenschutzgrundverordnung, da wirft ihnen der Europäische Gerichtshof (EuGH) schon den nächsten juristischen Brocken vor die Füße. Dieses Mal geht es um Fanpages, also jenen Seiten auf Facebook, auf denen Unternehmen sich präsentieren, Kontakt zu Kunden aufnehmen und Werbung für sich machen. Die Frage, die das Gericht beantworten sollte: Wer ist verantwortlich für den Datenschutz auf Fanpages – Facebook oder die Seitenbetreiber? Die Entscheidung des Gerichts: beide. "Der Betreiber einer Facebook-Fanpage ist gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich", heißt es dazu in einer Pressemitteilung des Gerichts. Ein datenschutzrechtlicher Paukenschlag mit möglicherweise wegweisenden Folgen. Was bedeutet das EuGH-Urteil für Unternehmer? Fanpage-Betreiber können die Verantwortung für die auf ihrer Seite gesammelten Daten nicht länger auf Facebook abwälzen. Sie sind mitverantwortlich und müssen sich an die Datenschutz-Vorgaben halten. Aber was können Unternehmen dafür, wenn Facebook Daten sammelt und verarbeitet? Schließlich haben sie keinen direkten Einfluss darauf, was Facebook macht. Die Richter sehen das anders: Fanpage-Betreiber können über die Funktion "Insight" anonymisierte demografische Daten über die Besucher ihrer Seite erhalten, zum Beispiel zum Alter, Geschlecht, Beziehungsstatus, Kaufverhalten oder zur beruflichen Situation. So können die Betreiber etwa Werbeaktionen passgenau auf ihre Zielgruppe zuschneiden. Und die Zielgruppe weiß im Zweifel von alldem nichts, denn sie wird nicht darauf hingewiesen. Und hier liegt die Krux. Nach Ansicht der Richter seien Fanpage-Betreiber auf diese Weise "an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt". Heißt: Weil Unternehmen Facebooks Datensammelwut für ihre Zwecke nutzen, müssen sie auch datenschutzrechtlich dafür geradestehen – auch wenn sie keine Möglichkeit haben, diese unmittelbar zu beeinflussen. Denn: Hätten sie die Fanpage nicht eingerichtet, könnte Facebook auch nicht die Daten ihrer Besucher sammeln. Es geht in dem Urteil also nicht darum, was auf der Seite steht, sondern dass sie als Datenquelle genutzt wird. In einer Pressemitteilung des EuGH heißt es hierzu: "Nach Ansicht des Gerichtshofs kann der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, diesen nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien." Sollten Unternehmen ihre Fanpage jetzt löschen? Was nun? Fanpage abschalten – ja oder nein? Juristen sind sich diesbezüglich uneins. Die einen sagen, dass der sicherste Weg sei, die Seite sofort offline zu nehmen. So schreibt etwa Anja M. Neubauer, Juristin und Expertin für Internetrecht, auf meedia.de: "In erster Konsequenz heißt das, dass alle Seitenbetreiber ihre Seiten löschen oder zumindest „nicht sichtbar“ schalten müssten! Und zwar so lange, bis Facebook eine Option bereithält, dass die Speicherung der Daten explizit ausgeschlossen werden kann!" Anwalt Thomas Schwenke schreibt auf heise.de, dass er es für verfrüht halte, Facebook-Seiten aufgrund des Urteils zu löschen. Unternehmen sollten sie höchstens offline nehmen und abwarten, wie sich die Lage entwickle. Das ist zurzeit allerdings noch unklar. Auf der Seite des Bundesdatenbeauftragten heißt es dazu: "Welche konkreten Auswirkungen das Urteil für das weitere aufsichtsrechtliche Vorgehen mit sich bringt, werden die Aufsichtsbehörden von Bund und Ländern nun zeitnah entscheiden." Theoretisch können Datenschutzverstöße Unternehmen teuer zu stehen kommen. Die Landesdatenschutzbehörden und Verbände dürfen abmahnen und verklagen. Die maximalen Strafen können sich dann auf zwei bis vier Prozent des weltweiten Unternehmensumsatz beziehungsweise 10 bis 20 Millionen Euro belaufen. Mehr dazu lesen Sie in unserem Artikel: DSGVO: Wie wahrscheinlich sind hohe Strafen wirklich? Auch eine Abmahnung, also die Bitte auf Unterlassung, kann teuer werden. Im Regelfall sollten Unternehmen mit ungefähr 5000 Euro rechnen, wie der Rechtsanwalt Christian Solmeck in einem meedia-Interview angibt. Wer das Risiko nicht scheut, kann natürlich knallhart kalkulieren: Was kommt mich teurer zu stehen – eine eventuelle Abmahnung oder meine Fanpage offline zu nehmen? Mehr zum Thema Abmahnung lesen Sie in unserem Artikel "Was tun, wenn eine Abmahnung ins Haus flattert?". Wie kam es überhaupt zu dem Urteil? Stein des Anstoßes war die Fanpage der Wirtschaftsakademie Schleswig-Holstein. Dem damaligen Datenschutzbeauftragten des Landes, Thilo Weichert, waren solche Fanpages ein Dorn im Auge. Warum? Weil Facebook den Betreibern Daten ihrer Fanpage-Besucher zur Verfügung stellt. Diese Daten sammelt Facebook mit Hilfe sogenannter Cookies. Diese enthalten einen eindeutigen Benutzercode, den Facebook auf der Festplatte oder einem anderen Datenträger der Fanpage-Besucher speichert. Was das Unabhängige Landeszentrum für Datenschutz (ULD) dabei besonders störte: Weder Facebook noch die Wirtschaftsakademie wiesen die Besucher darauf hin, dass sie "ausspioniert" werden. Im November 2011 ordnete das ULD die Wirtschaftsakademie darum an, ihre Fanpage zu deaktivieren. Die Wirtschaftsakademie klagte dagegen. Sie verwies darauf, dass sie Facebook nicht mit der Datenverarbeitung beauftragt habe. Das ULD hätte nicht gegen sie, sondern Facebook vorgehen müssen. Schließlich landete die Sache beim Bundesverwaltungsgericht in Leipzig (BVerwG), dass den EuGH um die Auslegung der damals noch gültigen Datenschutz-Richtlinie 95/46 bat. Das Urteil bezieht sich also nicht auf die seit 25. Mai gültige DSGVO. Doch auf der Seite des Bundesbeauftragten für Datenschutz heißt es dazu: "Auch wenn das Urteil noch auf der vor der Datenschutzgrundverordnung geltenden Rechtslage beruht, ist der vom Gericht festgelegte Grundsatz der gemeinsamen Verantwortlichkeit auch auf das neue Recht übertragbar." Und wie geht es jetzt weiter? Der EuGH hat nur grundsätzlich die Frage beantwortet, wer für die Datenverarbeitung auf Facebook haftet. Nun geht der Fall zurück ans BVerwG. Bis ein endgültiges Urteil fällt, können Monate vergehen. Spannend ist, wie Facebook reagieren wird. Wird der Online-Gigant seine Datenkrake zähmen? Wird er Nutzern die Möglichkeit einräumen, die datensammelnden Cookies gegen Bezahlung auszuschalten? Das EuGH-Urteil dürfte übrigens nicht nur Facebook treffen. Es beziehe sich zwar nur auf Facebook, doch es sei auch auf andere Dienste wie Twitter und Instagram übertragbar, schreibt Rechtsanwalt Thomas Schwenke.