EuGH: Betreiber von Facebook-Fanpages sind für Datenverarbeitung selbst verantwortlich

Der Europäische Gerichtshof (EuGH) hat im Juni 2018 in einem richtungsweisenden Urteil Recht gesprochen. Danach sind Betreiber von Facebook-Fanseiten selbst als „Verantwortliche für die Datenverarbeitung“ im Sinne der Datenschutz-Richtlinie (Richtlinie 95/46/EG) zu qualifizieren.

Das Urteil basiert noch auf der „alten“ Rechtslage vor Inkrafttreten der DSGVO mit 25.5.2018, es ist aber davon auszugehen, dass die wesentlichen Inhalte auch für die derzeitige Rechtslage Relevanz haben. Das Urteil definiert die wesentlichen „juristischen Begriffe“, die in dieser Form auch in der DSGVO übernommen sind.

Cookies und Co

Aufgrund den Ausführungen des EuGH ist der Betreiber einer Fanpage iS des Datenschutzes ein „Verantwortlicher“, da er in Eigenverantwortung insbesondere den Einsatz spezieller Cookies auf seiner Seite, den Rahmen für die Erstellung der Seite und damit verbunden auch die Nutzungsbedingungen von Facebook akzeptiert. Obwohl Facebook die technische Durchführung übernimmt, entscheidet der Fanpage-Betreiber selbst darüber, welche Daten über die Cookies erhoben werden. Zusätzlich werden durch die Cookie-Setzung auch Daten von Netzwerk-fremden Besuchern erhoben, d.h. Personen, die keine aktiven Nutzer des Facebook-Netzwerkes sind.

Rechtlich nicht zu halten, wird voraussichtlich die bisherige Interpretation einer „gemeinsamen Verantwortlichkeit“ von Fanpage-Betreiber und Facebook, wie es derzeit grundsätzlich die deutschen Datenschutzbehörden vertreten. Zwar stimmen die Begriffsdefinitionen „Verantwortlicher“ und „Auftragsverarbeiter“ zwischen DSGVO und „alter“ Richtlinie im Wesentlichen überein, jedoch ist der Begriff der „gemeinsam für die Verarbeitung Verantwortlichen“ erst mit der neuen Rechtslage als neuer, eigenständiger Begriff (mit entsprechenden Konsequenzen) in der DSGVO eingeführt worden (Art 26 DSGVO, vgl EU-Datenschutz-Grundverordnung (DSGVO): Pflichten des Verantwortlichen).

Im Urteil führt der EuGH aus, es käme nicht darauf an, ob jeder der Verantwortlichen für dieselbe Verarbeitung Zugang zu den personenbezogenen Daten hat. Unabhängig von der internen Vereinbarung der gemeinsamen Verantwortlichen, können die betroffenen Personen die Rechte gegen jeden der gemeinsamen Verantwortlichen geltend machen. Ob überhaupt ein Vertrag geschlossen werden muss, ist aus diesen Gründen ebenfalls noch offen.

Was ist für Facebook-Fanseiten Betreiber zu tun?
Unsere Empfehlung, auch auf der Facebook-Fanpage eine Datenschutzerklärung anzubieten (oder zumindest auf jene der eigenen Website direkt zu verlinken um darzulegen, welche personenbezogene Daten vom Betreiber der Fanpage verarbeitet werden, bleibt weiter aufrecht. Hier ist auch über allfällig gesetzte Cookies zu informieren. Es wird empfohlen auf jeden Fall mit Facebook zusammen zu arbeiten, da Facebook tatsächlich, und in der Praxis über sämtliche notwendige Informationen der in Anspruch genommenen Dienste, verfügt.

Die ausdrückliche Einwilligung zur Setzung von Cookies ist in Österreich nicht direkt in der DSGVO, sondern im Telekommunikationsgesetz (TGK) geregelt. Das Abspeichern von Cookies auf dem Endgerät des Kunden, um Daten mit dem Computer des Kunden zu verknüpfen, ist in Österreich zulässig, wenn die Einwilligung des Users eingeholt wurde und der User entsprechend informiert wurde. Diese Information und die Zustimmung können auch durch Facebook selbst in Kombination mit dem Hinweis auf eine entsprechende Browsereinstellung gegeben werden (vgl. Datenverarbeitung im Webshop und auf der Website). Ausnahmen von der Einwilligungs-Verpflichtung bestehen nur für jene „technischen“ Cookies, die unbedingt notwendig sind, damit ein vom User ausdrücklich gewünschter Dienst auch zur Verfügung gestellt werden kann (z.B. technischer Aufbau einer Seite, Spracheinstellungen, etc.).

In einer Erklärung vom 15.6.2018 hat Facebook klargestellt, dass sie die notwendigen Anpassungsschritte vornehmen werden, um es den jeweiligen Seitenbetreibern zu ermöglichen, ihren rechtlichen Verpflichtungen nachzukommen. Facebook bekräftig in diesem Statement seine Rechtsauffassung, dass auch den Seitenbetreibern eine adäquate Verantwortung für - von Facebook durchgeführte – Datenverarbeitungen zukommt. Diese Positionierung habe auch der EuGH eingenommen. In diesem Sinne wird Facebook so rasch wie möglich die Nutzungsbedingungen anpassen bzw. die Richtlinien für Seitenbetreiber im Hinblick auf die datenschutzrechtliche Verantwortung aktualisieren.

*Alle Angaben erfolgen trotz sorgfältigster Bearbeitung ohne Gewähr.
Eine Haftung des Fachverbandes Werbung und
Marktkommunikation ist ausgeschlossen.