Zur Navigation springen Zum Inhalt springen Zum Footer springen

Die Haftung von Betreibern einer Facebook-Seite (Fanpage)

(10)

Die Große Kammer des Europäischen Gerichtshofs hat mit Urteil vom 05.06.2018 (Aktenzeichen: C-210/16) eine wichtige Entscheidung getroffen, die jeder Betreiber von Facebook-Seiten („Facebook-Fanpages“) kennen sollte: Facebook-Seiten-Betreiber sind für datenschutzrechtliche Verstöße der Firma Facebook mitverantwortlich. 

Der Sachverhalt

Konkret geht es darum, dass Facebook mittels Cookies personenbezogene Daten über Besucher erhebt und diese Daten verarbeitet. Allerdings weist Facebook weder darauf hin, dass Cookies verwendet werden, noch dass personenbezogene Daten verarbeitet werden. Auch die Betreiber von Facebook-Seiten weisen regelmäßig nicht auf diesen Umstand hin. 

Dies steht im Widerspruch zum europäischen Datenschutzrecht.

Eine Datenschutzbehörde ordnete die Untersagung einer Facebook-Seite an. Der Facebook-Seiten-Betreiber hat daraufhin die Gerichte eingeschaltet und beantragte die Aufhebung des Bescheids der Datenschutzbehörde: Sowohl das erstinstanzliche Verwaltungsgericht als auch das Oberverwaltungsgericht verneinten, dass ein Facebook-Seiten-Betreiber für diesen Datenschutz-Verstoß der Firma Facebook haften müsse – dem Betreiber sei dieser Verstoß nicht zuzurechnen. Sie gaben dem Facebook-Seiten-Betreiber also Recht. Doch die Datenschutzbehörde ging in die letzte nationale Instanz: Auch das Bundesverwaltungsgericht hat sich der Rechtsauffassung der anderen Gerichte angeschlossen, hat die Sache jedoch dem Europäischen Gerichtshof vorgelegt. 

Der Europäische Gerichtshof hat zunächst betont, dass die in Rede stehende europäische Verordnung „darauf abzielt, ein hohes Niveau des Schutzes der Grundfreiheiten und Grundrechte natürlicher Personen, insbesondere ihrer Privatsphäre, bei der Verarbeitung personenbezogener Daten zu gewährleisten“ (EuGH, Urteil vom 5.6.2018, C-210/16, Randnummer 26). 

Weiter führte der Europäische Gerichtshof aus, dass wegen des hohen Schutzniveaus eine „weite Definition des Begriffs des „Verantwortlichen“ erforderlich sei, um „einen wirksamen und umfassenden Schutz der betroffenen Personen zu gewährleisten“ (EuGH, Urteil vom 5.6.2018, C-210/16, Randnummer 28). 

Schließlich die entscheidende Begründung des Europäischen Gerichtshofs: 

Ein Facebook-Seiten-Betreiber schaffe mit der Einrichtung einer solchen Facebook-Seiten die Möglichkeit, dass Facebook „auf dem Computer oder jedem anderen Gerät der Person, die seine Fanpage besucht hat“ Cookies platzieren könne, und zwar „unabhängig davon, ob diese Person über ein Facebook-Konto verfügt“ (EuGH, Urteil vom 5.6.2018, C-210/16, Randnummer 35).

Weil der Facebook-Seiten-Betreiber mit der Hilfe „von durch Facebook zur Verfügung gestellten Filtern“ Kriterien festlegen könne, „nach denen diese Statistiken erstellt werden sollen, und sogar die Kategorien von Personen bezeichnen, deren personenbezogene Daten von Facebook ausgewertet werden“, „trägt der Betreiber einer auf Facebook unterhaltenen Fanpage zur Verarbeitung der personenbezogenen Daten der Besucher seiner Seite bei“ (EuGH, Urteil vom 5.6.2018, C-210/16, Randnummer 36). 

Die in Rede stehende Vorschrift ist mittlerweile nicht mehr in Kraft, wurde allerdings nun durch Artikel 4 Ziff. 7 DSGVO ersetzt, sodass dieses Urteil nach wie vor große Bedeutung hat. 

Die Aussage des Europäischen Gerichtshofs: Die Firma Facebook sowie Betreiber von Facebook-Seiten sind gemeinsam verantwortlich für datenschutzrechtliche Verletzungen. 

Doch was heißt das nun für Betreiber von Facebook-Seiten?

Sie können, wenn Sie ganz auf Nummer sicher gehen wollen, Ihre Seite deaktivieren. Allerdings muss zunächst abgewartet werden, was das Bundesverwaltungsgericht aus dieser Entscheidung macht, das basierend auf den „Antworten des Europäischen Gerichtshofs“ seine Entscheidung trifft. 

Praktisch bedeutet dieses Urteil, dass die Datenschutzbehörden möglicherweise berechtigt sind, die Schließung von Facebook-Seiten anzuordnen. Wegen des Rechtsverstoßes durch Facebook und der Mitverantwortlichkeit besteht auch die Gefahr einer Abmahnung. 

Ob die Datenschutzbehörden auch tatsächlich die Schließung der Facebook-Seiten anordnen werden oder ob Mitbewerber abmahnen werden, bleibt abzuwarten. 

Was ist zu tun?

Sie als Betreiber einer Facebook-Seite müssten eigentlich darüber informieren, welche konkreten Daten Facebook von den Besuchern erfasst und wie Facebook diese Daten anschließend verarbeitet. Allerdings werden Betreiber solcher Facebook Seiten diese Informationen im Detail gar nicht wissen und können dementsprechend nicht darüber belehren. 

Ich kann Ihnen nur den Rechtstipp erteilen, sofern eine Schließung für Sie nicht in Betracht kommt, eine Datenschutzerklärung in Ihre Facebook-Seiten einzubinden und darüber zu informieren, dass Facebook Cookies verwendet und personenbezogenen Daten speichert und verarbeitet und explizit auf die Datenschutzerklärungen der Firma Facebook zu verweisen. Facebook selbst behauptet immerhin, dass ihre Datenschutzerklärung die Voraussetzungen der DSGVO erfülle. 

Die Gefahr von Abmahnungen besteht dann zwar weiterhin, allerdings ist zu verzeichnen, dass der Gesetzgeber dafür sorgen will, dass DSGVO-Abmahnungen nicht fruchten können. Es existieren auch rechtliche Möglichkeiten, solche Abmahnungen abzuwehren. 

Letztlich besteht eine unklare Rechtslage und wenn Sie ohnehin nicht viel Nutzen durch eine Facebook-Seite haben, empfehle ich, diese (vorerst) zu deaktivieren, bis die Firma Facebook selbst tätig wird und die datenschutzrechtlichen Verstöße beseitigt. 

Bei datenschutzrechtlichen und wettbewerbsrechtlichen Fragen stehe ich Ihnen gerne zur Verfügung.


Rechtstipp vom 10.06.2018
Aktualisiert am 11.06.2018
aus der Themenwelt Haftung für Inhalte und dem Rechtsgebiet IT-Recht

Sie haben Fragen? Gleich Kontakt aufnehmen!

Rechtstipps zum Thema

Rechtstipps des Autors

Damit Sie wissen, wann Sie im Recht sind

Informationen über aktuelle Gesetzesänderungen, neue Urteile, hilfreiche Tipps und Kurioses im wöchentlichen anwalt.de-Newsletter

Ihre E-Mail-Adresse wird nur für den anwalt.de-Newsletter verwendet und nicht an Dritte weitergegeben. Sie können den anwalt.de-Newsletter jederzeit wieder abbestellen.