Sind Facebook Pages jetzt illegal? Das EuGH-Urteil zur geteilten Datenschutz-Haftung in der Praxis

Sodann befindet der Gerichtshof, dass ein Betreiber wie die Wirtschaftsakademie als in der Union gemeinsam mit Facebook Ireland für die fragliche Datenverarbeitung verantwortlich anzusehen ist.

Das ist schon allein deshalb eine krasse Fehlentscheidung, weil Facebook genau wie Amazon, Google und andere große Internetunternehmen alles andere als transparent agieren. Trotzdem argumentierte die Richter ganz explizit mit der Co-Verantwortung von Plattform und Seitenbetreiber:

Nach Ansicht des Gerichtshofs kann der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, diesen nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien.

Zum Glück für alle Volkswagen-Besitzer urteilten dieselben Richter nicht in der Dieselskandal-Causa, sonst wär wohl jeder einzelne Kunde für die erhöhten Abgaswerte haftungspflichtig. Den folgenden Absatz musste ich mehrfach lesen – nein, er ist keine Realsatire, sondern stammt wörtlich so aus dem Urteil:

Der Gerichtshof betont, dass die Anerkennung einer gemeinsamen Verantwortlichkeit des Betreibers des sozialen Netzwerks und des Betreibers einer bei diesem Netzwerk unterhaltenen Fanpage im Zusammenhang mit der Verarbeitung personenbezogener Daten der Besucher dieser Fanpage dazu beiträgt, entsprechend den Anforderungen der Richtlinie 95/46 einen umfassenderen Schutz der Rechte sicherzustellen, über die die Personen verfügen, die eine Fanpage besuchen.

Das Originalurteil im Volltext (pdf)

Keine Cookie-Notification für die Facebook Page

Als Facebook-Seitenbetreiber hat man keinerlei technische Eingriffsmöglichkeiten, die über die angebotenen Funktionen hinausgehen: Eine Checkbox oder einen Cookie-Hinweis einbauen spielt’s nicht. Wie soll man also seiner schweren Verpflichtung nachkommen? Eigentlich gibt’s nur zwei Möglichkeiten:

1. Die Facebook-Seite deaktivieren: Wo keine Facebook-Page, da auch keine gemeinsame Verpflichtung. Ich vermute aber, dass die wenigsten Unternehmen völlig auf ihre Präsenz (und damit auch auf FB Werbung) verzichten werden wollen.
2. Esoterische Lösungen bemühen: Wenn Energetiker Schutzringe um Krankenhäuser legen, könnte man vielleicht Wahrsager in die Glaskugel schauen lassen und so herausfinden, was Facebook denn da wirklich mit den Kundendaten aufführt.
3. Eine schwindlige Datenschutz-Erklärung einbauen: Und dort steht dann drinnen, dass wir nur sicher wissen, dass wir nichts wissen. So hab ich das jetzt mal auf die Schnelle gemacht.

Die Datenschutz-Erklärung meiner Facebook-Page. Copy-Pasten Sie ruhig! (…) Haha, reingelegt: Ist ein Screenshot. Wegen der DSGVO soll man ja keine Facebook Embeds mehr anbieten.

Der bekannte Medienrechts-Experte und Rechtsanwalt Dr. Thomas Schwenke schätzt die Auswirkungen des Urteils als durchwegs gravierend ein:

Sie sehen also: Kaum haben wir die Einführung der DSGVO überstanden, hält die europäische Gesetzgebung den nächsten Fallstrick bereit. Gleiche Rechte, gleiche Pflichten? Mitnichten – den Betreiber einer Facebook Seite eine Mithaftung für diese Black- bzw. Bluebox unterzujubeln, ist durchaus realitätsfremd. Ob in der nächsten Zeit ebenso viele Facebook Seiten abgedreht werden wie Blogs vor dem 25. Mai, werden die kommenden Wochen zeigen. Mehr dazu in der ausführlichen Analyse von Dr. Schwenke.

Titelbild: ra2 studio/Fotolia