Datenschutz Mitverantwortung für Facebook Seitenbetreiber

Sind Facebook Pages jetzt illegal? Das EuGH-Urteil zur geteilten Datenschutz-Haftung in der Praxis

Heute hat der europäische Gerichtshof in Luxemburg in der Rechtssache C-210/16 entschieden. Am 3. November 2011 forderte das Unabhängige Landeszentrums für Datenschutz Schleswig-Holstein die Wirtschaftsakademie Schleswig-Holstein auf, ihre Facebook Page (damals übrigens noch Fanpage genannt) zu deaktivieren. Begründung: „Weder die Wirtschaftsakademie noch Facebook wiesen die Besucher der Fanpage darauf hin, dass Facebook mittels Cookies sie betreffende personenbezogene Daten erhebt und diese Daten danach verarbeitet.“ Und heute der Paukenschlag: Der EuGH gibt dem Landeszentrum recht:

Sodann befindet der Gerichtshof, dass ein Betreiber wie die Wirtschaftsakademie als in der Union gemeinsam mit Facebook Ireland für die fragliche Datenverarbeitung verantwortlich anzusehen ist.

Das ist schon allein deshalb eine krasse Fehlentscheidung, weil Facebook genau wie Amazon, Google und andere große Internetunternehmen alles andere als transparent agieren. Trotzdem argumentierte die Richter ganz explizit mit der Co-Verantwortung von Plattform und Seitenbetreiber:

Nach Ansicht des Gerichtshofs kann der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, diesen nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien.

Zum Glück für alle Volkswagen-Besitzer urteilten dieselben Richter nicht in der Dieselskandal-Causa, sonst wär wohl jeder einzelne Kunde für die erhöhten Abgaswerte haftungspflichtig. Den folgenden Absatz musste ich mehrfach lesen – nein, er ist keine Realsatire, sondern stammt wörtlich so aus dem Urteil:

Der Gerichtshof betont, dass die Anerkennung einer gemeinsamen Verantwortlichkeit des Betreibers des sozialen Netzwerks und des Betreibers einer bei diesem Netzwerk unterhaltenen Fanpage im Zusammenhang mit der Verarbeitung personenbezogener Daten der Besucher dieser Fanpage dazu beiträgt, entsprechend den Anforderungen der Richtlinie 95/46 einen umfassenderen Schutz der Rechte sicherzustellen, über die die Personen verfügen, die eine Fanpage besuchen.

Das Originalurteil im Volltext (pdf)

Keine Cookie-Notification für die Facebook Page

Als Facebook-Seitenbetreiber hat man keinerlei technische Eingriffsmöglichkeiten, die über die angebotenen Funktionen hinausgehen: Eine Checkbox oder einen Cookie-Hinweis einbauen spielt’s nicht. Wie soll man also seiner schweren Verpflichtung nachkommen? Eigentlich gibt’s nur zwei Möglichkeiten:

  1. Die Facebook-Seite deaktivieren: Wo keine Facebook-Page, da auch keine gemeinsame Verpflichtung. Ich vermute aber, dass die wenigsten Unternehmen völlig auf ihre Präsenz (und damit auch auf FB Werbung) verzichten werden wollen.
  2. Esoterische Lösungen bemühen: Wenn Energetiker Schutzringe um Krankenhäuser legen, könnte man vielleicht Wahrsager in die Glaskugel schauen lassen und so herausfinden, was Facebook denn da wirklich mit den Kundendaten aufführt.
  3. Eine schwindlige Datenschutz-Erklärung einbauen: Und dort steht dann drinnen, dass wir nur sicher wissen, dass wir nichts wissen. So hab ich das jetzt mal auf die Schnelle gemacht.
Facebook Page Datenschutz Erklärung

Die Datenschutz-Erklärung meiner Facebook-Page. Copy-Pasten Sie ruhig! (…) Haha, reingelegt: Ist ein Screenshot. Wegen der DSGVO soll man ja keine Facebook Embeds mehr anbieten.



Der bekannte Medienrechts-Experte und Rechtsanwalt Dr. Thomas Schwenke schätzt die Auswirkungen des Urteils als durchwegs gravierend ein:

Breaking News: Laut EuGH führt schon der Betrieb einer Facebook-Seite zur (Mit)Verantwortlichkeit für Facebooks (potentielle) Datenschutzverstöße. Diese Entscheidung dürfte so auf Facebook-Pixel, Google-Dienste, Instagram etc. übertragbar sein und wird das Internet maßgeblich verändern (Genauere Einschätzung mit Handlungsvorschlägen folgt).

Sie sehen also: Kaum haben wir die Einführung der DSGVO überstanden, hält die europäische Gesetzgebung den nächsten Fallstrick bereit. Gleiche Rechte, gleiche Pflichten? Mitnichten – den Betreiber einer Facebook Seite eine Mithaftung für diese Black- bzw. Bluebox unterzujubeln, ist durchaus realitätsfremd. Ob in der nächsten Zeit ebenso viele Facebook Seiten abgedreht werden wie Blogs vor dem 25. Mai, werden die kommenden Wochen zeigen. Mehr dazu in der ausführlichen Analyse von Dr. Schwenke.


Titelbild: ra2 studio/Fotolia

0 Kommentare
  1. Thomas
    Thomas sagte:

    Wieder ein Urteil, welches weit von der gelebten Praxis engfernt ist und von wenig Sachverstand geprägt ist.

    Dieses Urteil lässt für kommende Verfahren, die im Rahmen der DSGVO kommen müssen, böses ahnen.

    LG Thomas

    • Ritchie Pettauer
      Ritchie Pettauer sagte:

      Ja, das war ein Griff in den Gatschtopf. Nicht zuletzt, weil sich diese Argumentation ja auf alle möglichen anderen Plattformen übertragen lässt (nicht zuletzt WordPress.com oder Blogger). Eine wenig überlegte Feigenblatt-Aktion. Dafür bräuchte man eigentlich einen neuen Begriff: Scheintransparenz.

  2. Jannis
    Jannis sagte:

    Wieder einmal wird man leider mit Rechtsunsicherheit zurückgelassen. Ich bin mir nicht sicher, ob sich die Richter in dieser Entscheidung der Folgen bewusst sind – allem Anschein nach nicht. Leider hat sich meiner Meinung nach da Internetrecht in der EU innerhalb der letzten Jahre deutlich verschlechtert.

Hinterlasse einen Kommentar

Schreibe einen Kommentar