EuGH: Betreiber von Facebook-Seiten für Datenschutz mitverantwortlich
Unternehmen, die eine Seite bei Facebook betreiben, können die Verantwortung für die Datenverarbeitung nicht komplett auf das Online-Netzwerk abwälzen. Der Europäische Gerichtshof (EuGH) gab mit dieser Entscheidung deutschen Datenschützern nach einem über sechs Jahre langen Streit Recht.
Rechtlich gesehen ist das Urteil von Dienstag für sie aber eher ein symbolischer Sieg - wenn auch mit klarer Signalwirkung für die Zukunft. Da die damalige Datenschutz-Richtlinie von der neuen EU-Verordnung abgelöst wurde, müsste jedes Verfahren neu aufgerollt werden.
Der Streit begann, als das schleswig-holsteinische Landeszentrum für Datenschutz 2011 die Wirtschaftsakademie Schleswig-Holstein aufforderte, ihre Facebook-Fanpage zu deaktivieren. Die Begründung: Weder die Akademie, noch Facebook hätten die Besucher der Seite darauf hingewiesen, dass ihre Daten erhoben und zur Verbreitung zielgerichteter Werbung genutzt werden. Die Wirtschaftsakademie hatte argumentiert, sie sei für die Datenverarbeitung durch Facebook nicht verantwortlich. Das Bundesverwaltungsgericht hatte den Fall nach Luxemburg verwiesen.
Signalwirkung
Der Europäische Gerichtshof stellte nun fest, dass Betreiber von Facebook-Fanseiten nach der alten EU-Datenschutzrichtlinie gemeinsam mit dem Online-Netzwerk für die Verarbeitung der personenbezogenen Nutzerdaten verantwortlich waren. Die Richtlinie ist seit Inkrafttreten der neuen Grundverordnung (DSGVO) am 25. Mai aufgehoben. „Es betrifft vom Recht her tatsächlich noch die alte Datenschutz-Richtlinie“, sagte Rechtsanwalt Günter Roland Barth von der Kanzlei Clifford Chance. „Aber die Definition der Verantwortlichkeit in der alten Richtlinie und in der neuen Grundverordnung ist nahezu wortgleich, so dass hiervon eine deutliche Signalwirkung für die Zukunft ausgeht.“
Da es die damalige Richtlinie nicht mehr gibt, können Datenschützer die EuGH-Entscheidung allerdings nicht in den bisherigen Verfahren anwenden. „Was wir jetzt geklärt haben, ist, dass man auch verantwortlich ist, wenn man auf einer fremden Plattform Inhalte hostet. Alles Weitere bedarf jetzt unter dem neuen Rechtsrahmen einer neuen Prüfung“, sagte Barth.
In der neuen Datenschutzgrundverordnung wird im Kern die Verarbeitung personenbezogener Daten durch Unternehmen oder Vereine neu geregelt. Nutzer müssen informiert werden, wenn ihre Daten erhoben werden - und auch zu welchem Zweck.
„Kein Grund für Panikmache“
Auch Rechtsanwalt Christian Runte von der Kanzlei CMS betonte, das Urteil beruhe auf einem Sachverhalt aus dem Jahr 2011 und beziehe sich auf eine inzwischen durch die DSGVO überholte Rechtslage. „Das Urteil lässt nicht den Schluss zu, dass die Einbindung von Facebook oder vergleichbaren Diensten heute unzulässig sei und ist daher kein Grund für Panikmache.“ Aber wer Facebook oder einen vergleichbaren Dienst in sein Angebot einbinde, bleibe nach dem heutigen Urteil auch selbst in der Verantwortung. Wie diese gemeinsame Verantwortung konkret aussehe, werde sich entscheidend auch nach den entsprechenden Nutzungsbedingungen richten.