Recht aktuell

Müssen Facebook-Seiten abgeschaltet werden?

Der europäische Gerichtshof (EuGH) hat mit Urteil vom 5. Juni 2018 entschieden, dass der Betreiber einer Facebook-Fanpage datenschutzrechtlich dafür verantwortlich ist, dass Facebook Daten der Fanpagebesucher zur Erstellung von Besucherstatistiken erhebt.

Vorgeschichte

2011 hatte das Unabhängige Landeszentrum für Datenschutz in Schleswig-Holstein (ULD) einer Wirtschaftsakademie den Betrieb einer Fanpage bei Facebook untersagt. Das Bundesverwaltungsgericht (BVerwG) legte den Rechtsstreit dem EuGH zur Entscheidung vor.

EuGH-Urteil (Facebook)

Die Richter des EuGH sehen bei Facebook selbst und dem Betreiber einer Fanpage eine gemeinsame Verantwortlichkeit in Sachen Datenschutz. Der Fanpage-Betreiber sei nicht bloßer Facebook-Nutzer, sondern gibt Facebook durch den Betrieb der Fanpage die Möglichkeit zur Datenerhebung. Für die Verantwortlichkeit sei nicht ausschlaggebend, dass der Fanpagebetreiber auch Zugang zu diesen personenbezogenen Daten habe.
Zu dieser Entscheidung muss man aber wissen, dass sie noch zum alten Recht ergangen ist. Grundlage des Urteils war also nicht die aktuell geltende Datenschutz-Grundverordnung (DSGVO).
Dennoch hat sich bereits die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) zum Urteil geäußert. In der Entschließung vom 6. Juni 2018 verweist die Konferenz darauf, dass Seitenbetreiber die Pflichten nach der DSGVO einhalten müssen. Es bestehe deshalb dringender Handlungsbedarf. Leider geht die Konferenz nicht darauf ein, wie dieser Handlungsbedarf nun genau aussieht. Allgemein wird festgestellt, dass die Seitenbetreiber ihrer datenschutzrechtlichen Verantwortung nur nachkommen könnten, wenn Facebook ein datenschutzkonformes Produkt anbiete.
Bedeutet diese Entschließung nun, dass Facebook-Fanpages abgeschaltet werden müssen? Experten empfehlen derzeit, Ruhe zu bewahren und die Angelegenheit weiter zu beobachten. Zunächst muss das BVerwG entscheiden und in diesem Zusammenhang die Frage klären, ob die Aufsichtsbehörde sich nicht zuerst an Facebook wenden müsste, bevor sie den Betrieb der Fanpage untersagen darf. Außerdem könnte Facebook selbst künftig eine datenschutzkonforme Lösung anbieten und so das Problem entschärfen. Ob die Aufsichtsbehörden demnächst gegen Fanseitenbetreiber vorgehen werden, ist unklar.
Wer hier kein rechtliches Risiko eingehen möchte, sollte seine Fanpage deaktivieren.

EuGH-Urteil (Fashion ID)

Der EuGH hatte folgende Rechtsfragen zu Social Plugin zu entscheiden: Bezogen auf das direkte Einbinden eines „Gefällt-mir-Buttons“ von Facebook auf eine Unternehmenswebsite hatte das OLG Düsseldorf den EuGH im Wege einer Vorlageentscheidung um Entscheidung gebeten, ob und in welchem Umfang ein Betreiber einer Website gemeinsam mit einem Anbieter eines Social Plugins für Datenschutzverstöße des Anbieters (mit-)verantwortlich ist und welche Pflichten den Betreiber einer Website dann treffen.
Der EuGH hat entschieden, dass eine Mitverantwortlichkeit eines Websitebetreibers nur für die Verarbeitungsvorgänge besteht und Rechtsfolgen auslöst, für die ein Websitebetreiber tatsächlich die Mittel und Zwecke festlegt (Erheben und Weitergabe der Daten an den Social Media Anbieter). Für weitere Verarbeitungen durch den Social Media Anbieter trifft den Websitebetreiber keine Verantwortung und auch keine Rechtspflicht (differenzierte Verantwortlichkeit).

Sachverhalt – Worum ging es?

Im vom EuGH zu entscheidenden Fall ging es um ein Social Plugin, das direkt auf der Website eines Unternehmens eingebunden war. Dies hatte zur Folge, dass der Browser personenbezogene Daten von Besuchern der Website (unabhängig davon, ob die Besucher bei dem Social Media Anbieter registriert waren) abgefragt und an den Social Media Anbieter weitergeleitet hat, so dass dieser die Daten der Websitebesucher weiterverarbeiten konnte.
Der EuGH hat die Rechtsfragen zu Social Plugin in dem Zwischenstreit wie folgt entschieden:
Die Verantwortung eines Betreibers einer Website ist begrenzt auf die Vorgänge, auf die er tatsächlich Einfluss hat, d. h. in denen er über Mittel und Zwecke (mit-)entscheidet.
Bindet ein Unternehmen auf seiner Website ein Social Plugin direkt ein, so ist es gemeinsam mit dem Anbieter dieses Social Plugin mitverantwortlich dafür, dass der Anbieter hierüber personenbezogene Daten erhebt und ein Websitebetreiber ihm durch Übermittlung diese Daten weitergibt. Die Mitverantwortung erstreckt sich nicht darauf, was der Social Media Anbieter anschließend mit diesen Daten tut.
  • Mittel: „Gefällt-mir-Button“ von Facebook
  • Zwecke: Optimierung von Werbung und Produktabsatz über Social Media
Jeder, der gemeinsam mit anderen für eine Verarbeitung personenbezogener Daten verantwortlich ist, benötigt eine Rechtsgrundlage, welche die Datenverarbeitung im jeweiligen Einzelfall erlaubt.
  • Mögliche Rechtsgrundlage für die Erhebung der personenbezogenen Daten:
    jeweils ein berechtigtes Interesse an der Datenverarbeitung
  • Mögliche Rechtsgrundlage für Websitebetreiber in eine Weiterleitung der personenbezogenen Daten an den Social Media Anbieter:
    Einwilligung der Besucher (begrenzt auf seinen Verantwortungsbereich, d. h. Erheben und Weiterleiten der Daten) oder eine andere zulässige Rechtsgrundlage (z. B. im überwiegenden Interesse des Besuchers):
    Hier bleibt abzuwarten, wie die Datenschutzaufsichtsbehörden sich hierzu äußern.
Den Betreiber einer Website trifft eine Informationspflicht – allerdings nur bezogen auf seinen Mitverantwortungsbereich. Der Websitebetreiber hat den Besucher seiner Website hierüber sofort zu informieren, d. h. zum Zeitpunkt der Erhebung der personenbezogenen Daten. Es bleibt abzuwarten, welche technischen Lösungen die Datenschutzaufsichtsbehörden hier akzeptieren werden.

Welches Recht lag der Entscheidung des EuGH zugrunde?

Der Sachverhalt beruht auf einem Rechtsstreit aus 2015. Daher hatte der EuGH die Rechtsfragen zu entscheiden anhand der Datenschutzregelungen, die vor der DSGVO maßgebend waren (Richtlinie 95/46/EG). Offen ist, ob diese Rechtsfragen im Lichte der DSGVO ebenso zu entscheiden wären oder ob Begrifflichkeiten der DSGVO in Einzelaspekten anders gesehen werden müssen.

Welche Lösungen gibt es jetzt?

Für die rechtssichere Einbindung der Social Media Plugins sind drei Varianten empfohlen:
  • Die Shariff-Lösung
    Diese Lösung ist eine Weiterentwicklung der 2-Klick-Lösung. Ein Skript ruft ab, wie häufig eine Seite getwittert oder „geliked“ wurde. Dabei erfolgt eine Übertragung der IP-Adresse des Webseiten-Servers und nicht der IP-Adresse des Rechners des Besuchers. Eine Verbindung zwischen den Social-Media-Anbietern und Seitenbesuchern findet erst statt, wenn diese aktiv werden und die Plugins aktiv nutzen (z. B. durch Anklicken). Die Social-Media-Buttons von Shariff schützen die Privatsphäre der Besucher so gut wie das 2-Klick-Verfahren, bei diesen ist jedoch kein zweiter Klick nötig. Bei den Schaltflächen handelt es sich um HTML-Links, die Sie mit CSS individuell gestalten können.
  • Die 2-Klick-Lösung
    Bei dieser Variante muss der Seitenbesucher erst ein Symbol anklicken, um dieses Social Media Plugin zu aktivieren. Um das Social Media Plugin zu nutzen, muss der Webseiten-Besucher ein weiteres Mal darauf klicken. Erst dann werden seine Nutzerdaten an den Social Media-Anbieter übertragen.
  • Vollständiger Verzicht
    Ein Verzicht auf die Social Media Plugins ist die einfache Lösung, für Webseitenbetreiber aufgrund der verminderten Marketing-Möglichkeiten jedoch nicht attraktiv.

Fazit

Social Media Plugins eröffnen Webseiten-Betreibern wertvolle Möglichkeiten des Marketings. Statt auf die Verwendung zu verzichten, ist die Shariff-Lösung für die Einbettung der Social Media Plugins empfohlen und besser als die 2-Klick-Lösung. Die Verwendung von Social Media Plugins ist in der Datenschutzerklärung zu erläutern. Ferner bleibt abzuwarten, wie das OLG Düsseldorf, an das der EuGH den Fall zurückverwiesen hat, den Sachverhalt abschließend entscheiden wird.