EuGH: Fanpages-Betreiber gemeinsam mit Facebook verantwortlich

„Der Betreiber einer Facebook-Fanpage ist gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich.“

Mit diesem lapidaren Satz überscheibt der Europäische Gerichtshof (EuGH) seine Pressemitteilung vom 05.06.2018, in der über eine Entscheidung vom selben Tag berichtet wird.

Den Sprengstoff, den diese Entscheidung enthält, erfasst jedoch wohl nur der Datenschutz-Fachmann. Denn damit wird letztlich eine Mithaftung für die Datenverarbeitung von Facebook eingeführt.

Die ganze Pressemeldung können Sie hier nachlesen:

https://curia.europa.eu/jcms/upload/docs/application/pdf/2018-06/cp180081de.pdf

Die Panik wird jetzt im Netz sicherlich um sich greifen. Ist sie berechtigt?

Nun, zunächst ist absolut unklar, was die Entscheidung in der Praxis konkret bedeutet. Panik ist grundsätzlich nie weiterführend.
Aber die Entscheidung ist ernst zu nehmen und in einer ersten Analyse kann man zu dem sehr gefährlichen Ergebnis kommen, dass die Haftung für Fehler von Facebook nun auch die Nutzer treffen kann.

Denn Artikel 82 Absatz 2 Satz 1 der neuen Datenschutzgrundverordnung (DSGVO) besagt:

Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde.“

Und in Artikel 82 Absatz 4 DSGVO heißt es:

„Ist mehr als ein Verantwortlicher (…) an derselben Verarbeitung beteiligt und sind sie gemäß den Absätzen 2 und 3 für einen durch die Verarbeitung verursachten Schaden verantwortlich, so haftet jeder Verantwortliche (…) für den gesamten Schaden, damit ein wirksamer Schadensersatz für die betroffene Person sichergestellt ist.“

Wenn ich also zusammen mit Facebook verantwortlich bin, dann kann ich auch statt Facebook wegen Datenschutzverstößen in Anspruch genommen werden.

Der erste Ratschlag kann daher eigentlich zum jetzigen Zeitpunkt nur lauten die eigene Facebook-Fanseite vom Netz zu nehmen, bis wir mehr Klarheit über die Konsequenzen haben. Das kann man Panik nennen oder auch vorausschauendes Handeln.

Auf jeden Fall aber sollte der Betreiber der Fanpage eine eigene Datenschutzerklärung auf der Fanseite vorhalten, in der er über die Datenverarbeitungen, für die er mitverantwortlich ist (oder sein kann) informiert (Artt. 12 ff. DSGVO).

Wir werden weiter über die Sache berichten.

Timo Schutt
Rechtsanwalt
Fachanwalt für IT-Recht

UPDATE, 12.28 Uhr:

Interessant könnte m.E. diese Passage der Pressemitteilung werden:

„Ein solcher Betreiber ist nämlich durch die von ihm vorgenommene Parametrierung (u.a. entsprechend seinem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten) an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt. Der Gerichtshof weist insoweit darauf hin, dass der Fanpage-Betreiber insbesondere demografische Daten über seine Zielgruppe – und damit die Verarbeitung dieser Daten – verlangen kann (u.a. Tendenzen in den Bereichen Alter, Geschlecht, Beziehungsstatus und berufliche Situation), Informationen über den Lebensstil und die Interessen seiner Zielgruppe (einschließlich Informationen über die Käufe und das Online-Kaufverhalten der Besucher seiner Seite sowie über die Kategorien von Waren oder Dienstleistungen, die sie am meisten interessieren) und geografische Daten, die ihn darüber informieren, wo spezielle Werbeaktionen durchzuführen oder Veranstaltungen zu organisieren sind und ihm ganz allgemein ermöglichen, sein Informationsangebot so zielgerichtet wie möglich zu gestalten.“

Man könnte also auch der Meinung sein, dass der Betreiber die Verantwortlichkeit dann nicht hat, wenn er kein „solcher“ Betreiber ist, der eine Parametrierung seiner Zielgruppe vornimmt, da er dann nicht an den  Zwecken und Mitteln der Datenverarbeitung beteiligt ist.

Urheberangabe für das Foto für diesen Beitrag:

  • Schild Europischer Gerichtshof Luxemburg: © kamasigns – Fotolia.com