Betreiber einer Facebook-Fanpage mitverantwortlich für Datenverarbeitung
Der Betreiber einer Facebook-Fanpage ist zusammen mit dem Online-Netzwerk dafür verantwortlich, wie Daten von Besuchern der Seite verarbeitet werden. Das entschied der Europäische Gerichtshof (EuGH) in einem am Dienstag in Luxemburg verkündeten Urteil. Das Gericht stärkte zudem die Rolle nationaler Behörden bei der Durchsetzung des Datenschutzes. Deutsche Datenschützer zeigten sich über die Entscheidung in einem Fall aus Schleswig-Holstein erfreut. (Az. C-210/16)
Anlass für das Urteil war der Rechtsstreit um eine von einem Bildungsunternehmen - der Wirtschaftsakademie Schleswig-Holstein - auf Facebook betriebene Firmenseite. Sogenannte Fanpages können in dem sozialen Netzwerk von Unternehmen und Verbrauchern eingerichtet werden. Die Betreiber können dabei anonymisierte statistische Daten über die Nutzer der Seiten erhalten. Diese werden mithilfe sogenannter Cookies gesammelt.
Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein als zuständige Kontrollstelle ordnete im November 2011 an, die strittige Fanpage zu schließen. Die Datenschützer monierten, dass weder das Unternehmen noch Facebook die Besucher der Seite auf die Erhebung und Verarbeitung von personenbezogenen Daten hinweise. Die Wirtschaftsakademie zog dagegen vor Gericht und machte geltend, dass ihr diese Vorgehensweise durch Facebook nicht zugerechnet werden könne. Das Bundesverwaltungsgericht in Leipzig legte den Fall dem EuGH vor.
Der Gerichtshof entschied nun, dass ein Seitenbetreiber wie die Wirtschaftsakademie gemeinsam mit Facebook für die Datenverarbeitung verantwortlich sei. Die Datenschutzbehörde in Schleswig-Holstein dürfe zudem gegenüber dem Unternehmen und der deutschen Facebook-Tochter von allen in Deutschland geltenden Befugnissen Gebrauch machen.
Die schleswig-holsteinische Landesdatenschutzbeauftragte Marit Hansen begrüßte das Urteil. Es bestätige ihre Einschätzung, "dass es keine Verantwortungslücken im Datenschutz geben kann", erklärte Hansen. Das bedeute für alle Fanpage-Betreiber, dass zwischen ihnen und Facebook geklärt sein müsse, "welche Datenschutzpflichten sie selbst zu erfüllen haben und für welche Facebook zuständig ist". Dies funktioniere nicht ohne Transparenz, wie die Daten der Nutzer verarbeitet würden.
Das Urteil des EuGH basierte auf der bisherigen Datenschutzrichtlinie, die Ende Mai durch die neue Datenschutz-Grundverordnung in der EU ersetzt wurde. Hansen mahnte, Fragen zu der Verordnung müssten dem EuGH künftig früher vorgelegt werden. "Für Rechtssicherheit ist eine schnelle gerichtliche Klärung essentiell", erklärte die Datenschutzbeauftragte.
(L. Andersson--BTZ)