06.06.2018

Fanpage-Urteil des EuGH - 10 Fragen, 10 Antworten : Good bye Auftragsverarbeitung, welcome "gemeinsame Verantwortlichkeit"

Portrait von Niko Härting
Niko Härting

1. In dem EuGH-Fall ging es um die Facebook-Fanpage der Wirtschaftsakademie Schleswig-Holstein. Darf die Wirtschaftsakademie ihre Fanpage weiter betreiben?

Ja.

Zwar untersagte die schleswig-holsteinische Datenschutzbehörde der Wirtschaftsakademie bereits Ende 2011 den Fanpage-Betrieb. Die Wirtschaftsakademie legte hiergegen jedoch Rechtsmittel ein. Die Entscheidung des EuGH v. 5.6.2018 ist nur eine Zwischenstation, da das Bundesverwaltungsgericht (BVerwG) dem EuGH mehrere Rechtsfragen zur Prüfung vorgelegt hatte. Nachdem der EuGH diese Fragen jetzt beantwortet hat, geht der Rechtsstreit demnächst vor dem BVerwG weiter.

2. Hat der EuGH festgestellt, dass der Betrieb von Facebook-Fanpages gegen das Datenschutzrecht verstößt?

Nein.

Der EuGH hat nur die Fragen beantwortet, die ihm das BVerwG gestellt hat. Nach der Rechtmäßigkeit von Fanpages hat das BVerwG nicht gefragt.

3. Der EuGH hat entschieden, dass der Betreiber einer Fanpage für die Einhaltung des Datenschutzrechts „verantwortlich“ ist. Was heißt das genau?

Die Wirtschaftsakademie hatte stets argumentiert, dass der Betreiber einer Fanpage nicht genau wisse, wie Facebook mit den Daten von Besuchern der Fanpage umgeht. Der Betreiber habe keinen Einfluss auf die Datenverarbeitung und könne daher für Datenschutzverstöße nicht zur Verantwortung gezogen werden.

Der EuGH hat diesen Einwand zurückgewiesen. Der Betreiber einer Fanpage ermöglicht Facebook, Cookies auf die Endgeräte von Fanpage-Besuchern zu setzen. Außerdem gibt der Betreiber einer Fanpage Facebook die Möglichkeit, statistische Auswertungen über die Besucher nach den Vorgaben des Betreibers zu erstellen. Zum Schutz der Daten der Facebook-Besucher müsse der Betreiber der Fanpage in die Pflicht genommen werden, das Datenschutzrecht einzuhalten.

4. In dem Urteil heißt es, Facebook und die Fanpage-Betreiber seien datenschutzrechtlich „gemeinsam verantwortlich“. Was heißt das?

Die „gemeinsame Verantwortlichkeit“ im Sinne von Art. 26 DSGVO bedeutet, dass die Verpflichtung zu datenschutzkonformem Verhalten beide trifft – sowohl Facebook als auch den Fanpage-Betreiber. Die schleswig-holsteinische Datenschutzbehörde hatte dies anders gesehen und gemeint, Facebook sei lediglich Auftragsverarbeiter und damit quasi nur der verlängerte Arm des Fanpage-Betreibers. Diese juristische Konstruktion einer Auftragsverarbeitung hat der EuGH klar und deutlich verworfen.

5. Welche Folgen hat die „gemeinsame Verantwortlichkeit“ für Facebook?

Nach Art. 26 DSGVO wird Facebook jetzt allen Betreibern von Fanpages den Abschluss von Vereinbarungen über die „gemeinsame Verantwortlichkeit“ anbieten müssen. In diesen Verträgen, die die DSGVO vorschreibt, muss geregelt werden, wer für die Datenschutzinformationen und für die Beantwortung von Auskunfts- und Löschungsersuchen zuständig ist.

6. Schafft das EuGH-Urteil neue Risiken für die Betreiber von Facebook-Fanpages?

Den Betreibern von Fanpages ist zu empfehlen, neben einem Impressum auch Datenschutzinformationen bereit zu halten. In diesen Informationen wird man weitgehend auf die Facebook-Policies verweisen können. Ob es weitere Handlungsempfehlungen gibt, wird man erst sagen können, wenn die deutschen Verwaltungsgerichte den Fall abschließend entschieden haben.

7. Gibt es Haftungsrisiken? Drohen Bußgelder und Abmahnungen?

Sollte sich herausstellen, dass Facebook bei den Fanpages Datenschutzverstöße begeht, sind die Betreiber der Fanpages mit haftbar. Allerdings hat der EuGH deutlich betont, dass „gemeinsame Verantwortlichkeit“ keineswegs heißt, dass beide Beteiligte in gleichem Maße zur Verantwortung gezogen werden können.

Derzeit ist nicht einmal entschieden, dass es überhaupt Datenschutzverstöße gibt. Abmahnungen sind daher nicht zu erwarten. Sollte es wider Erwarten Versuche geben, mit der EuGH-Entscheidung per Abmahnung Kasse zu machen, sollte man nichts unterschreiben und sofort einen Anwalt einschalten.

Dass Datenschutzbehörden Bußgeldverfahren gegen Fanpage-Betreiber einleiten, ist auszuschließen, solange die Verwaltungsgerichte den Fall nicht abschließend entschieden haben.

8. Lässt sich das EuGH-Urteil auf andere Fälle übertragen?

Das ist eine spannende Frage. Im Bereich des Online-Marketings ist in den vergangenen Jahren zunehmend mit dem Konstrukt einer Auftragsverarbeitung gearbeitet worden. Diese Praxis muss man kritisch überdenken. In vielen Fällen dürfte in Wahrheit eine „gemeinsame Verantwortlichkeit“ vorliegen, sodass die Verträge geändert werden müssen.

9. Wie werden die deutschen Verwaltungsgerichte den Fall letztlich entscheiden? Nach altem Datenschutzrecht oder schon nach der DSGVO?

Eine schwierige verwaltungsprozessrechtliche Frage. Schaut man in die Rechtsprechung des BVerwG, spricht vieles dafür, dass die deutschen Gerichte den Fall nach neuem Recht entscheiden werden. Der Wirtschaftsakademie-Fall könnte zur ersten Entscheidung des BVerwG führen, in der es um die Auslegung der DSGVO geht.

10. Was kann man dem Betreiber einer Facebook-Fanpage jetzt raten?

Ruhe bewahren, Datenschutzinformationen in die Fanpage integrieren und den Ausgang des Falls vor den deutschen Verwaltungsgerichten abwarten.

Zurück