Spezialisten im Bereich Gesellschaftsrecht, Immobilienrecht, Kapitalmarktrecht, Pharma- und Arzneimittelrecht und Private Equity / Venture Capital.

Ist die Verwendung von Fanpages auf Facebook für Unternehmen nun verboten? Der EuGH hat (nicht) entschieden

Jun 25, 2018 | Aktuelles |

ATU67471014

Der EuGH hat in der Rechtssache ULD Schleswig-Holstein vs. Wirtschaftsakademie Schleswig-Holstein publikumstauglich über die Verwendung von Fanpages auf der social media-Plattform „Facebook“ durch Unternehmen ein Urteil gefällt, das Unternehmen nun vor die Frage stellt, ob das Betreiben derselben nun datenschutzkonform ist oder nicht. Entschieden hat der EuGH dabei noch nach der „alten“ Rechtsgrundlage, nämlich der Datenschutzrichtlinie 95/46, die durch die DSGVO mit 25. Mai 2018 ersetzt wurde.

Zum Sachverhalt

  • Ausgangspunkt sind so genannte „Fanpages“, die von Unternehmen bei Facebook erstellt werden können; die Unternehmen sind diesfalls Betreiber derselben. Als unabdingbaren Leistungsteil, auf den die Betreiber auch nicht freiwillig verzichten können, stellt Facebook dabei die Funktion „Facebook Insight“ zur Verfügung; unter Verwendung dieser Funktion erhalten die Betreiber anonymisierte statische Daten über die Nutzer der Fanpages.
  • Gesammelt werden diese Daten unter Verwendung von „Cookies“, die jeweils einen zwei Jahre aktiven, eindeutigen Benutzercode enthalten. Facebook speichert diesen im jeweiligen Cookie enthaltenen Benutzercode auf der Festplatte des vom Benutzer verwendeten Computers/Datenträgers. Weiters kann dieser Benutzercode mit dem Benutzercode mit den Anmeldungsdaten jener Nutzer, die auch bei Facebook registriert sind, verknüpft werden, sodass derselbe bei Abruf einer Fanpage erhoben und verarbeitet wird.

Aus den Entscheidungsgründen

  • In einem ersten Schritt hat der EuGH festgestellt, dass Facebook (bzw. im Hinblick auf den territorialen Anwendungsbereich deren irische Tochtergesellschaft Facebook Ireland) als für die Verarbeitung der personenbezogenen Daten der Facebook-Nutzer und der Personen, die die auf Facebook unterhaltenen Fanpages besucht haben, als „Verantwortliche“ anzusehen sind. Die Definition eines Verantwortlichen sind nach dem Regime der Datenschutzrichtlinie 95/46 und der DSGVO ident.
  • Sodann hat der EuGH befunden, dass auch ein Betreiber einer Fanpage gemeinsam mit Facebook Ireland für die jeweilige Datenverarbeitung als verantwortlich anzusehen ist. Entscheidend für diese Beurteilung ist dabei nach Ansicht des EuGH, dass ein solcher Betreiber einer Fanpage durch die von ihm gewählte Parametrierung (Zielpublikum, Auswahl der Ziele der Steuerung oder Förderung seiner Tätigkeit) in die Lage versetzt, sich an der Entscheidung über die Zwecke und mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage zu beteiligen. Dabei betont der EuGH unter einem auch, dass der Betreiber insbesondere demografische Daten über seine Zielgruppe (so ua Tendenzen in der Bereichen Alter, Geschlecht, Beziehungsstatus und berufliche Situation, Informationen über der Lebensstil und die Interessen seiner Zielgruppe und Informationen über die Käufe und das online-Kaufverhalten etc.) und damit auch die Verarbeitung dieser Daten verlangen kann. Letztlich wird der Betreiber damit in die Situation versetzt, den Inhalt seiner Fanpage und sein Informationsangebot so zielgerecht wie möglich zu gestalten.
  • Der Umstand, dass der Betreiber dabei „lediglich“ die von Facebook eingerichtete Plattform nutzt, vermag ihn nicht – so der EuGH – von der Beachtung seiner Verpflichtung im Bereich des Schutzes von personenbezogenen Daten zu befreien.

Zusammengefasst kann festgehalten werden, dass der EuGH in gegenständlicher Entscheidung inhaltlich noch nicht entschieden hat, ob bzw. unter welchen Voraussetzung die Verwendung von Facebook-Fanpages den datenschutzrechtlichen Bestimmungen widerspricht, sondern eine grundsätzliche Verantwortung der Unternehmen, die auf Facebook aktiv werden, anerkannt hat. Der EuGH lässt dabei nicht gelten, dass der Betreiber einer Fanpage die Daten nur „anonymisert“ (und damit nicht einer spezifischen Person zuordnungsbar) erhält, sondern betont, dass für die Verantwortlichkeit bereits der Umstand ausreichend ist, dass die Erstellung dieser (anonymisierten) Statistiken auf der vorherergehenden Erhebung – durch die von Facebook auf dem Computer oder jedem anderen Gerät der Personen, die die Seite besucht haben, gesetzten Cookies, beruht. Wenn der EuGH in seinem Urteil ausspricht, der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, diesen nämlich nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien könne, wird auch die Intention des EuGH klar: Facebook soll für die Datenschutzkonformität zur Verantwortung gezogen werden können und werden Unternehmen dabei als Vehikel eingesetzt; um zu vermeiden, dass Unternehmen nun in Reaktion auf die höchstgerichtliche Rechtsprechung ihre Fanpages „nicht sichtbar“ schalten, steht Facebook nun unter Zugzwang und wird auf die Entscheidung reagieren (müssen). Die grundsätzliche gemeinsame Verantwortlichkeit relativierend, unterscheidet der EuGH einem weiteren Schritt hinsichtlich des Grades der Verantwortlichkeit und führt aus, dass diese Bejahung einer gemeinsamen Verantwortlichkeit nicht zwangsläufig auch eine gleichwertige Verantwortlichkeit zur Folge hat; vielmehr können die Betreiber in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß in der Weise einbezogen sind, dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist. Das Bundesverwaltungsgericht Leipzig muss nun in der Sache entscheiden.