Auswirkungen der EuGH-Entscheidung vom 05.06.2018, nach welcher der Fanpage-Betreiber für Datenschutzverstöße seitens Facebook mit verantwortlich ist.

Stefan Maas, Fachanwalt für gewerblichen Rechtsschutz, selbstständiger Spezialist für Datenschutzrecht in der Kreditwirtschaft, Köln

Wer nutzt soziale Medien nicht, um sein Unternehmen und seine Produkte bestehenden Kunden, vor allem potentiellen Neukunden, näher zu bringen? Agenturen haben sich darauf spezialisiert, eine Vielzahl von Mitarbeitern wurde zum Social-Media-Manager ausgebildet.

 

Die Nutzung von Facebook birgt Haftungsrisiken für die Fanpage Betreiber?

So allgemein gefragt, ist diese Erkenntnis nicht neu. Ein beleidigendes oder sachlich falsches Posting führte schon lange zu einer juristischen Verantwortlichkeit. Die Nutzung von Fotos, ohne Zustimmung der Fotografen oder der abgebildeten Personen, war auch schon seit längerem Gegenstand von gerichtlichen Verfahren. In der jüngeren Vergangenheit kamen Urteile hinzu, dass auch gesharter Content, etwa Bilder, Texte, Zitate, sofern diese z. B. urheberrechtlich geschützt und als Kopie in die Timeline von Facebook gestellt wurden, zur Haftungsfalle werden konnten.

 

Haftung für die Datenverarbeitung durch Facebook?

Nun hat der EuGH jedoch entschieden, dass der Fanpagebetreiber auch eine Mitverantwortung für die Technik „dahinter” trägt. Durch Einstellungsoptionen, die aktiviert, oder durch spezifischen Funktionen, die gegenüber Facebook seitens der Fanpagebetreiber angefordert werden können, würde eine Einflussnahme auf den Umfang und die Art und Weise der Datenerhebung begründet. Die Datenschutzgesetze nennen dies „über die Zwecke und Mittel” der Daten mit zu entscheiden. Und daher treffe auch den Fanpage Betreiber eine datenschutzrechtliche Haftung für den Fall, dass sein Nutzer die datenschutzrechtswidrige Verarbeitung seitens Facebook beanstande. Solche Praktiken wurden übrigens durch eine Reihe von deutschen Gerichten wiederholt gegenüber Facebook festgestellt und ausgeurteilt.

 

Konsequenzen für das Unternehmen?

Zunächst einmal ist diese Auffassung, mehrere Unternehmungen seien nebeneinander für die Gestaltung datenverarbeitender Prozesse i. S. d. Datenschutzrechts verantwortlich, vollkommen neu.

Fanpage-Betreiber treffen nunmehr u. a. die Betroffenenrechte, wie Auskunft oder auch Information und Belehrung oder das Auskunftsrecht, ohne dass die erforderlichen Informationen tatsächlich seitens Facebook bereitgestellt werden. Hier besteht Handlungsbedarf, d. h. Facebook sollte angeschrieben und um Mitwirkung und Stellungnahme gebeten werden.

Natürlich ist diese neue Beurteilung gerade nicht allein auf die Fanpage bei Facebook zu beschränken. Das führt zu der interessanten Frage, welche Kooperationen bzw. gemeinsamen Verarbeitungsvorgänge gleichfalls in dieser Form „horizontaler“ Zusammenarbeit gleichermaßen haftungsbegründend sein könnten. Etwa verbindliche Vorgaben eines Berufsverbandes oder technische Empfehlungen von Aufsichtsbehörden?

Entscheidendes Kriterium ist nach Auffassung des Gerichts allein die Mitentscheidung über die Zwecke und Mittel der Verarbeitung.

Praxistipps
  • Stellen Sie fest, in welchem Umfange Facebook in Ihrem Unternehmen genutzt wird.
  • Kontrollieren Sie den Umfang laufender Marketingmaßnahmen in der Zusammenarbeit mit Facebook.
  • Dokumentieren Sie die dort vorgenommenen datenschutzrechtlichen Einstellungen.
  • Hinterfragen Sie die Einstellungen und reduzieren Sie den Datenfluss über Facebook.
  • Bitten Sie Facebook nachweislich um Mitwirkung, die Feststellungen des EuGHs zu beseitigen.
  • Stellen Sie weiter fest, für welche Social-Media-Angebote die o. g. Aspekte der Einflussnahme auf den Umfang der Datenerhebungen in gleichem Maße zutreffen.