Was tun nach dem EuGH Urteil zu Facebook Fanpages?
Vor wenigen Tagen hat der Europäische Gerichtshof (EuGH) ein in der Presse einhellig als “folgenschwer” bewertetes Urteil gesprochen: Die Betreiber von Facebook Fanpages sind für den Schutz der Nutzerdaten mitverantwortlich – und nicht allein Facebook. Nun ist die Ungewissheit groß, was das für Unternehmen, Institutionen und andere juristische Personen, die eine eigene Facebook Seite betreiben, konkret bedeutet. Wird Facebook auf die Betreiber der Fanpages zugehen? Müssen am Ende alle ihre Facebook Seiten abschalten, um nicht gegen EU-Datenschutzrecht zu verstoßen? Und was ist mit Präsenzen in anderen sozialen Netzwerken? Wann wird es belastbare Antworten auf diese Fragen geben? Und was lässt sich jetzt schon tun? – Wir fassen den aktuellen Stand der Dinge praxisorientiert zusammen.
Inhaltsverzeichnis
Was ist passiert und worum genau geht es?
Während die Empörung über den Facebook Datenskandal um Cambridge Analytica gerade abebbte, wurde am 5. Juni 2018 vor dem EuGH in letzter Instanz ein Streitfall aus dem Jahr 2011 entschieden. Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) war seinerzeit gegen mehrere Betreiber von Facebook Fanpages vorgegangen. Ihre Unterlassungsverfügungen richtete es unter anderem gegen die Wirtschaftsakademie Schleswig-Holstein, die auf ihrer Fanpage nach Ansicht der Datenschützer nicht ausreichend über die Datenerfassung informiert hatte. Das ULD argumentierte, dass der Betrieb einer Facebook Fanpage mit einer Mitverantwortung für die Datenerhebung und etwaige Datenschutzverstöße durch die Plattform verbunden ist. Die Akademie klagte mit Rückendeckung der Industrie- und Handelskammer gegen diese als unangemessen empfundene Intervention des ULD. Der Streitfall wurde dann von Kiel aus über mehrere Jahre durch alle Instanzen weitergeführt – und nun vor dem Europäischen Gerichtshof entschieden.
Das Urteil
Die Instanzen auf Landes- und Bundesebene hatten jeweils im Sinne der Wirtschaftsakademie Schleswig-Holstein geurteilt und sahen Facebook als Betreiber der Plattform, der die gesammelten Daten unabhängig vom Betreiber einer Fanpage weiterverarbeitet, auch allein in der Pflicht, für den Schutz der Nutzerdaten zu sorgen und geradezustehen. Anders der EuGH, der in seinem Urteil nun mit EU-weiter Wirkung klargestellt hat, dass die Intervention des ULD bei der Wirtschaftsakademie gerechtfertigt war. Die Begründung: Die Betreiber von Facebook Fanpages sind bereits durch die Einrichtung und die Pflege einer solchen Seite mitverantwortlich für die Erhebung personenbezogener Daten sowie für die Weiterverarbeitung durch Facebook – und damit auch für die Erfüllung der entsprechenden Pflichten zur Gewährleistung der Betroffenenrechte der Nutzer nach aktuellem EU-Recht. Während die Rechtsgrundlage für das Urteil noch das alte EU-Datenschutzrecht aus dem Jahr 1995 war, wird für die Umsetzung künftig die erst zwei Wochen vor der EuGH Entscheidung rechtlich bindend in Kraft getretene Datenschutzgrundverordnung (DSGVO) maßgeblich sein. Aber während die Umsetzung der DSGVO ohnehin nicht ohne Tücken und Unklarheiten ist, liegen die Dinge im Falle des Urteils zu den Facebook Präsenzen von Unternehmen noch verwickelter. Denn aktuell ist nicht klar, wie die gemeinsame Verantwortung von Facebook und Fanpage Betreibern in der Praxis rechtssicher umgesetzt werden kann. Aber eines ist im Presseecho der vergangenen Tage sehr deutlich geworden: Dass in diesem Fall auf europäischer Ebene einer Datenschutzbehörde höchstrichterlich und in vollem Umfang Recht gegeben wurde, ist allemal ein sehr deutliches Warnsignal für alle Betreiber von Facebook Fanpages – und ähnlichen Präsenzen in anderen sozialen Netzwerken. Das Urteil hat klargestellt: Der Betrieb einer Facebook Fanpage ist derzeit potenziell nicht DSGVO-konform.
Wie ist das Urteil zu bewerten?
Zwar betrifft das EuGH Urteil zunächst einen konkreten Fall, von dem ausgehend Konsequenzen im Hinblick auf Facebook Fanpages im Allgemeinen zu erwarten sind. Aber die Tragweite dieses Richterspruchs ist noch weitaus größer und dürfte sich europaweit auf den Umgang mit allen sozialen Medien, Tracking, Remarketing, eingebetteten Inhalten und anderem mehr auswirken. Die Datenschutzkonferenz (DSK) begrüßte das Urteil einen Tag nach der Verkündung in einer Entschließung ausdrücklich.
Hat die EU ein Datenschutzproblem?
Zahlreiche Stimmen betonen unter dem Eindruck des Urteils (sowie der Unwegsamkeiten und Unsicherheiten in der Umsetzung der DSGVO), dass die EU drohe, den Wirtschaftsstandort Europa durch datenschutzrechtliche Paragraphenreiterei in der weltweiten Konkurrenz um Präsenz und Einfluss im Internet nachhaltig auszubremsen oder gar ins Abseits zu befördern. Wie auch immer man eine solche Auffassung der Arbeit von Gesetzgebung und Rechtsprechung in Fragen des Datenschutzes als Konjunkturhindernis bewerten mag, bleibt im Hinblick auf Wirtschaftsinteressen festzuhalten: Europa ist ein wichtiger Markt für Facebook. Die Plattform hat es bislang verstanden, ihr Geschäftsmodell allen datenschutztechnischen Inkompatibilitäten zum Trotz auch hier sehr erfolgreich umzusetzen. Daher ist anzunehmen, dass die Hausjuristen des Tech-Giganten auch für die Situation nach dem EuGH Urteil eine Lösung erarbeiten werden, die es Facebook und den Fanpage Betreibern ermöglicht, dem Urteil zu entsprechen, während weiterhin “gemeinsam” Fanpages angeboten und darüber durch Facebook massenhaft personenbezogene Daten gesammelt werden.
Es muss und wird Veränderungen geben
Um das Urteil genau bewerten zu können, wird sich zeigen müssen, wie genau das EuGH durch die jeweiligen nationalen Gerichte interpretiert wird. Auch bleibt abzuwarten, was die zuständigen irischen Datenschutzbehörden Facebook, das seinen europäischen Hauptsitz in Irland unterhält, abverlangen werden. Klar ist zu diesem Zeitpunkt, dass die Betreiber von Fanpages deren Nutzer im Hinblick auf den Datenschutz künftig informieren müssen und dabei nicht allein auf Facebooks Datenschutzrichtlinie verweisen dürfen. Der EuGH hat geurteilt, dass Behörden für Facebook Fanpages, die ihre Nutzer nicht ausreichend informieren und daher gegen EU-Datenschutzrecht verstoßen, die Abschaltung erwirken können. Das wäre für manchen Seitenbetreiber ein harter, bisweilen vernichtender Schlag – und in der Summe eine Katastrophe für Facebooks Geschäft in Europa.
Müssen jetzt alle ihre Facebook Fanpages abschalten?
Zum jetzigen Zeitpunkt muss niemand seine Facebook Fanpage abschalten, um nicht gegen die DSGVO zu verstoßen. Aber die Betreiber der Seiten müssen sicherstellen, dass sie ihr Online-Angebot auch auf Facebook DSGVO-konform gestalten. Denn schon bald dürfte durch Entscheidungen der nationalen Gerichte eine Rechtsgrundlage geschaffen werden, um Abschaltungen von Fanpages auf denen die DSGVO nicht sauber umgesetzt wird, durch Datenschutzbehörden durchsetzen zu können. Nun weiß aber kein Betreiber einer Fanpage, welche Daten Facebook darüber eigentlich genau sammelt und zu welchen Zwecken diese Daten dann weiterverarbeitet werden. Und es gibt auch keine Einstellungsmöglichkeiten für den Datenschutz der Besucher. Daher benötigen Fanpage Betreiber von Facebook zumindest geeignete Materialien (etwa ausführliche Informationen über den Umgang mit auf Fanpages gesammelten Nutzerdaten und idealerweise die passenden Mustertexte), um ihre Besucher in der angemessenen Weise datenschutzrechtlich informieren können. Wenn Facebook die Betreiber solcher Seiten nicht schutzlos den Datenschutzbehörden ausliefern will, wird sich der Konzern in dieser Frage bewegen müssen.
Wird Facebook auf Fanpage Betreiber zugehen?
Angesichts des Risikos, dass in absehbarer Zeit unzählige europäische Unternehmensseiten auf Facebook von der Abschaltung bedroht sein könnten, ist davon auszugehen, dass Facebook bereits an einer Lösung arbeitet, mit der dem EuGH Urteil Rechnung getragen werden kann. Facebook wird den Betreibern in den kommenden Wochen und Monaten schlichtweg dabei helfen müssen, ihre Fanpages rechtssicher zu machen.
[UPDATE 15.06.2018]: Facebook nimmt Stellung
Zehn Tage nach dem EuGH Urteil hat Facebook in einer Stellungnahme baldige Änderungen der Nutzungsbedingungen in Aussicht gestellt, durch die Betreiber von Fanpages im Hinblick auf die datenschutzrechtliche Verantwortung entlastet werden:
Wir werden die notwendigen Schritte unternehmen, um es den Seitenbetreibern zu ermöglichen, ihren rechtlichen Verpflichtungen nachzukommen. Unserer Ansicht nach ist es nicht sinnvoll, Seitenbetreibern eine gleichrangige Verantwortung für die von Facebook durchgeführte Datenverarbeitung aufzuerlegen; dies hat auch der EuGH anerkannt. Wir werden unsere Nutzungsbedingungen bzw. Richtlinien für Seiten aktualisieren, um die Verantwortlichkeiten sowohl von Facebook als auch von Seitenbetreibern klarzustellen, und damit auch die Einhaltung der rechtlichen Vorgaben für die Seitenbetreiber zu erleichtern.
Wann und wie genau das geschehen wird, bleibt jedoch weiterhin abzuwarten.
Und was ist mit anderen sozialen Netzwerken?
Noch nicht recht absehbar sind die Folgen des EuGH Urteils für andere Facebook Funktionen und für die Nutzung anderer sozialer Netzwerke. Im Hinblick auf die Einbindung von Like-Buttons bleibt zum Beispiel noch ein Urteil des EuGH in einem weiteren Verfahren abzuwarten. Aber schon jetzt lässt sich sagen: Was für eine Facebook Fanpage gilt, sollte sich analog auf eine Google+ Seite übertragen lassen. Wer eine solche Seite betreibt und darauf sein Unternehmen präsentiert, wird in Orientierung an dem Urteil zu Facebook Fanpages als mitverantwortlich für die durch Google gesammelten, gespeicherten und weiterverarbeiteten personenbezogenen Daten der Nutzer gewertet werden. Und da das Sammeln und Weiterverarbeiten von Daten integraler Bestandteil des Geschäftsmodells von sozialen Netzwerken ist, wird sich durch die Rechtsprechung der kommenden Monate und Jahre vermutlich vor allem ein roter Faden ziehen: Unternehmen, die sich über Social Media an die Öffentlichkeit wenden, werden für die Datensammelwut der Plattformen zur Mitverantwortung gezogen.
Wann wird es konkrete Antworten auf diese Fragen geben?
Es wird dauern, bis alle der hier aufgeworfenen Fragen beantwortet sein werden. Im Hinblick auf die Frage nach den Möglichkeiten und Voraussetzungen für den rechtssicheren Betrieb einer Facebook Fanpage ist für Unternehmen aus Deutschland vor allem das ausstehende Urteil des Bundesverwaltungsgerichts in Leipzig zur Interpretation des Richterspruchs am EuGH wichtig. Denn erst damit wird der auf europäischer Ebene entschiedene Rechtsstreit aus Schleswig-Holstein beendet werden. Und der Richterspruch sollte klare Leitplanken für den Umgang mit Facebook Fanpages beinhalten.
Was lässt sich jetzt schon tun?
Oft war in den letzten Tagen zu lesen, dass die Betreiber von Facebook Fanpages jetzt erst einmal abwarten sollten, was weiter passiert. Das ist aber keine sehr befriedigende Perspektive, wenn ein Unternehmen davon ausgehen kann, dass es mit seiner Facebook Präsenz gegen die DSGVO verstößt, aber noch nicht weiß, wie sich das ändern lässt. Es gibt auch immer wieder Stimmen, die zum sofortigen Abschalten der Seiten raten, was auch bestimmt der sicherste Weg ist, um in dieser Frage sofort und dauerhaft Rechtssicherheit zu haben. Für viele Betreiber von Facebook Fanpages wird das aber keine realistische Option sein – zumal es ja vermutlich durchaus einen Weg geben wird, den Betrieb DSGVO-konform zu gestalten.
Auch wenn noch niemand genau angeben kann, wie so ein rechtssicherer Weg für die Unternehmenskommunikation über Facebook am Ende aussehen wird, lässt sich bereits jetzt eine provisorische Lösung umsetzen, die das Problem entschärfen sollte – und das mit geringem Aufwand. Denn wie so oft schreibt die DSGVO auch in diesem Fall vor, dass die Nutzer des Angebots umfassend informiert werden müssen. Es geht also darum, sie davon in Kenntnis zu setzen, welche Daten von ihnen zu welchen Zwecken verarbeitet werden und was sie tun können, um ihre Betroffenenrechte wahrzunehmen beziehungsweise die Datenerhebung zu unterbinden. Solange ein Betreiber einer Facebook Fanpage nicht genau weiß, was Facebook eigentlich zu welchen Zwecken sammelt, ist es anzuraten, das immerhin so genau wie möglich, also nach bestem Wissen und Gewissen anzugeben.
Drei vorläufige Schritte in Richtung einer DSGVO-konformen Facebook Fanpage
Niemand kann zu diesem Zeitpunkt eine rechtssichere Lösung liefern. Aber wer sich auf die Suche nach vorläufigen Lösungsansätzen für das Problem macht, wird immer wieder auf eine Empfehlung stoßen, die wir hier noch einmal in drei Schritten wiedergeben möchten:
- Zunächst müssen alle sozialen Netzwerke, in denen das Unternehmen Präsenzen unterhält, aufgelistet und die jeweilige Adresse des Firmensitzes sowie die URL der Datenschutzerklärung (und gegebenenfalls zusätzlich die URL der Opt-out-Informationen) zusammengetragen werden.
- Dann muss ein Abschnitt in die Datenschutzerklärung auf der Unternehmenswebsite aufgenommen werden, der beschreibt, dass das Unternehmen Präsenzen in sozialen Netzwerken betreibt, was dabei – möglicherweise – an Daten erhoben und weiterverarbeitet wird und was die Nutzer zur Wahrnehmung ihrer Rechte unternehmen können. Der Text sollte so formuliert sein, dass er für alle Plattformen, auf denen das Unternehmen aktiv ist, passt. Am Ende dieses Abschnitts kann dann die vorbereitete Auflistung mit den eingesetzten sozialen Netzwerken und den weiterführenden Informationen eingefügt werden. Zum Beispiel so wie in unserer Datenschutzerklärung.
- Auf den eigenen Präsenzen in den sozialen Medien muss schließlich an geeigneter Stelle (im Fall von Facebook unter Info > Datenrichtlinie) ein Link untergebracht werden, der auf die Datenschutzerklärung auf der unternehmenseigenen Website verlinkt. Zudem ist anzuraten, einen kurzen Text mit einem entsprechenden Datenschutzhinweis im Bereich Info > Story unterzubringen. Wie so etwas aussehen kann, lässt sich auf unserer Facebook Seite ansehen.
Diese kleine Anleitung ist lediglich eine Zusammenfassung unserer Rechercheergebnisse und keineswegs eine Rechtsberatung oder dergleichen. Denn auch mit den hier beschriebenen Schritten ist sicherlich noch nicht genug getan, um eine Facebook Fanpage langfristig und in vollem Umfang DSGVO-konform zu betreiben. Aber für den aktuellen Stand der Erkenntnisse sollte das ein guter Anfang sein. Immerhin müssen Gerichte am Ende ermessensgerecht beurteilen, ob der Betreiber einer Fanpage zu wenig für den Schutz der Daten seiner Besucher getan hat. Verfahren wir also nach bestem Wissen und Gewissen – bis wir mehr wissen.