Aktuelles & Veranstaltungen

Müssen wir Facebook jetzt sofort abschalten?

Und schon wieder gab es eine datenschutzrechtliche Entscheidung, die für Aufregung sorgt, diesmal durch den EuGH.

Hintergrund:

Im Bemühen, gegen Facebook und dessen intransparenter Datenverarbeitung vorzugehen, erließ bereits 2011 das ULD (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein) gegen die Wirtschaftsakademie der IHK eine Verfügung, wonach diese ihre Fanpage auf Facebook zu deaktivieren habe. Die Überlegung dabei war, dass die Wirtschaftsakademie selbst zwar keine Daten sammle, durch seine Entscheidung, eine Fanpage zu eröffnen, es jedoch Facebook erst ermöglichte, Cookies, also kleine Dateien auf den Festplatten der Besucher der Fanpage zu platzieren. Cookies erlauben es, Informationen über einen bestimmten Zeitraum vorzuhalten und den Rechner des Besuchers zu identifizieren. Daher nahm das ULD die Wirtschaftsakademie als Verantwortlichen in Anspruch. Nachdem das ULD in den Instanzen vor den unteren nationalen Gerichten unterlegen war, landete die Sache beim BVerwG, das – um eine einheitliche europäische Rechtsprechung zu gewährleisten – die relevanten rechtlichen Entscheidungsgrundlagen vorab durch den EuGH beurteilen ließ. Dabei hatte der EuGH zu insgesamt sechs verschiedenen Fragen Stellung zu beziehen.

Im Fokus dieses Artikels stehen dabei die ersten beiden Fragen. Dabei wollte das BVerwG geklärt haben, ob es im Rahmen der Datenverarbeitung mehr als einen Verantwortlichen geben könne, auch wenn diese nicht auf dieselben Daten Zugriff haben.

Entscheidung:

Mit seiner Entscheidung befand der EuGH, dass der Begriff des Verantwortlichen zum Schutz der Rechte der Bürger weit auszulegen sei. Nicht nur Facebook träfe daher die Verantwortung für die im Rahmen der Fanpages gesammelten Daten, sondern auch der Betreiber der Fanpage, der es insbesondere auch Nicht-Facebook-Mitgliedern erlaube, seine Fanpage zu besuchen. Der Betreiber ermögliche Facebook dadurch, Cookies im Speicher der jeweiligen Benutzer abzulegen und dadurch deren Verhalten zu analysieren. Im Rahmen der Funktion Facebook Insight, die den Betreibern von Fanpages zur Verfügung steht, würden den Betreibern zwar lediglich anonymisierte Auswertungen zur Verfügung gestellt, gleichwohl verfüge Facebook über eine Vielzahl an Einzelinformationen von Betroffenen, aus denen die Statistiken erstellt würden. Über diese Informationen verfüge Facebook ausschließlich aus dem Grund, dass der Betreiber der Fanpage die entsprechende Parametrisierung der gewünschten Informationen vorgenommen habe. Daher sei dieser zumindest mit für die Verarbeitung der Daten verantwortlich. Es komme insbesondere nicht darauf an, dass alle Verantwortlichen Zugriff auf dieselben Daten haben, um eine gemeinsame Verantwortlichkeit zu begründen.

Ausblick:

Was bedeutet das konkret für Fanseiten bei Facebook? Zunächst einmal noch nichts, denn wie dargestellt, handelt es sich bei der Entscheidung des EuGH um eine Auslegungshilfe für die Richter, die die entsprechende Vorschriften nun anwenden müssen. Eine Entscheidung durch das BVerwG steht indes noch aus. Insofern dürften sich die Aufsichtsbehörden im Moment noch zurückhalten und zunächst den Abschluss des Verfahrens abwarten, bevor sie in irgendeiner Weise tätig werden.

Andererseits ist die Entscheidung jedoch ein guter Anlass, den eigenen Einsatz von „Datensammelstellen“ in sozialen Netzwerken oder auf andere Weise (z.B. auch WhatsApp) zu überdenken. Die Unternehmen, als Kunden der Datensammler haben nämlich plötzlich als Verantwortliche ein eigenes Interesse daran, genau zu erfahren, welche Daten von wem gesammelt werden und was mit diesen Daten passiert. Erhalten sie diesbezüglich keine Information von den Mitverantwortlichen, haben sie es in der Hand, ihre Seiten zu schließen und könnten damit den großen Anbietern ihre Geschäftsgrundlage mit dem Datenhandel entziehen. Als Vertragspartner können, nein, müssen die Unternehmen von den Anbietern mehr Transparenz verlangen, wie mit den gesammelten Daten umgegangen wird. Nicht zuletzt sind sie als Verantwortliche dazu verpflichtet, die Besucher ihrer Webseiten entsprechend der DSGVO zu informieren, was sie nur dann können, wenn sie selbst wissen, was mit den Daten passiert.

Insgesamt sollte in dem EuGH Urteil damit keine Bedrohung gesehen werden, sondern vielmehr eine Chance für die Unternehmen. Ihre Auffassung und ihre datenschutzrechtlichen Belange könnten künftig im Rahmen der Vertragsgestaltung mit den „Großen“ eher Beachtung finden. Facebook, WhatsApp & Co. könnten durch die Entscheidung des EuGH gezwungen sein, die Verarbeitung personenbezogener Daten transparenter zu gestalten und es damit auch ihren Kunden nun endlich ermöglichen, ihrer datenschutzrechtlichen Verantwortung nachzukommen, denn gemäß dem ULD bedeutet die Entscheidung des EuGH „dass zwischen [den Unternehmen] und Facebook geklärt sein muss, welche Datenschutzpflichten sie selbst zu erfüllen haben und für welche Facebook zuständig ist. Dies gilt insbesondere für die Informationspflichten“. Damit sollten die Anbieter der Sozialen Netzwerke den Unternehmen, wenn sie diese als Kunden nicht verlieren möchten, auch im Bereich Datenschutz nun weit entgegenkommen.

C. Lürmann
Rechtsanwältin
Consultant Datenschutz

Back To Top