Der Europäische Gerichtshof hat am 05.06.2018 entschieden, dass Betreiber von Facebook-Seiten für mögliche Datenschutzverstöße von Facebook mithaften (EuGH, Urteil vom 05.06.2018, Az.: C-210/16).
Der EuGH musste über eine Vorlagefrage in einem derzeit beim Bundesverwaltungsgericht anhängigen Rechtsstreit entscheiden. In dieser Vorlagefrage ging es um die grundsätzliche (Mit-)Verantwortlichkeit des Betreibers einer Facebook-Seite (im Urteil des EuGH wird eine Facebook-Seite als „Fanpage“ bezeichnet) für mögliche Datenschutzverstöße, die von Facebook selbst begangen werden.
Das Verfahren, mit dem sich das Bundesverwaltungsgericht beschäftigt hatte, ist schon seit etlichen Jahren anhängig und betrifft (eigentlich) Rechtsvorschriften, die nicht mehr in Kraft sind und durch die seit kurzem geltende DSGVO ersetzt worden sind.
Um es kurz zu machen:
Der EuGH hat entschieden, dass der Betreiber einer Facebook-Seite oder „Fanpage“ auf Facebook für Datenschutzverstöße mithaftet, die von Facebook begangen werden.
Der EuGH hat seine Entscheidung ausführlich begründet. Und unter juristischen – in diesem Fall vor allem theoretischen – datenschutzrechtlichen Aspekten lässt sich eine solche Mithaftung sicherlich begründen.
Unter praktischen Aspekten ist diese Entscheidung natürlich – man muss es so sagen – katastrophal. Das aus meiner Sicht Schlimme daran ist, dass die deutschen Datenschutzbehörden, die das Verfahren vor dem Bundesverwaltungsgericht in Gang gesetzt haben, mit ihrem Vorgehen eigentlich Facebook dazu zwingen wollten, sich an die deutschen bzw. jetzt europäischen Datenschutzvorschriften zu halten und ihr Geschäftsmodell entsprechend anzupassen. Weil es seinerzeit, als das Verfahren in Gang gesetzt wurde, keine oder nur wenige Möglichkeiten gab, gegen Facebook direkt vorzugehen, hat sich die Datenschutzbehörde des Bundeslandes Schleswig-Holstein, die das Verfahren in Gang gesetzt hatte, entschieden, ein Unternehmen wegen des Betriebs seiner Facebook-Seite anzugehen und hatte eine entsprechende Verfügung erlassen, gegen die das betroffene Unternehmen dann vor einem Verwaltungsgericht geklagt hatte. Der Instanzenzug hat beide Seiten vor das Bundesverwaltungsgericht geführt, welches die grundlegende Frage der Mithaftung des Betreibers einer Facebook-Seite dem Europäischen Gerichtshof zur Entscheidung vorgelegt hatte.
Der schon seit Jahren bestehende Streit zwischen den deutschen und europäischen Datenschutzbehörden sowie Facebook wurde und wird also damit nun auf dem Rücken von Unternehmen, Vereinen und sonstigen Personen, die Facebook-Seiten nicht nur ausschließlich zu privaten Zwecken betreiben, ausgetragen.
Egal, ob man nun die Schuld dafür bei den Datenschutzbehörden oder bei Facebook oder bei beiden sucht: Es stellt sich die Frage, welche Auswirkungen diese Entscheidung hat.
Auch wenn derzeit die konkreten Folgen noch nicht vollkommen absehbar sind, können diese Auswirkungen immens sein.
Zunächst stellt sich natürlich die Frage, ob sich die Rechtslage zur Frage der Mithaftung durch das Inkrafttreten der neuen DSGVO geändert hat. Diese Frage ist aus meiner Sicht mit einem klaren „Nein“ zu beantworten. Wie das „alte“ Bundesdatenschutzgesetz sieht auch die DSGVO jedenfalls die generelle Möglichkeit einer solchen Mithaftung vor. Insoweit hat sich die Rechtslage nicht geändert.
Des Weiteren stellt sich jetzt die Frage, ob diese Entscheidung ausschließlich ein „Facebook-Problem“ ist oder ob man die Entscheidungsgründe auch auf andere soziale Netzwerke ausdehnen kann. Diese Frage wird man auch meiner Meinung nach mit einem „wahrscheinlich“ beantworten müssen. Man kann es letztendlich so zusammenfassen: Derjenige, der in einem sozialen Netzwerk eine Seite betreibt – egal ob auf Facebook, Instagram, YouTube, XING, Linkedin etc. -, haftet für mögliche Datenschutzverstöße, die vom Plattformbetreiber selbst begangen werden, jedenfalls mit.
Das einzig Gute an der Entscheidung des EuGH ist, dass es sich hier nur um eine Vorabentscheidung handelt, die noch keine allgemein bindende Wirkung dergestalt hat, dass damit die Betreiber einer Facebook-Seite quasi automatisch sofort haften. Denn das Verfahren geht nun zurück ans Bundesverwaltungsgericht und das Bundesverwaltungsgericht muss noch über zwei Fragen entscheiden: Zum einen, ob Facebook überhaupt Datenschutzverstöße begeht (dafür spricht aber Einiges). Zum anderen, ob jedenfalls eine Datenschutzbehörde aufgrund eines von einer Behörde auszuübenden Ermessens gehalten ist, sich nicht sofort an den Betreiber einer Facebook-Seite zu wenden, sondern quasi gezwungen ist, diese Verstöße direkt bei Facebook geltend zu machen. Die Antwort auf diese Frage dürfte offen sein.
Trotz der gerade eben beschriebenen noch offenen Punkte treffen bereits jetzt jeden Betreiber einer Facebook-Seite Unsicherheiten.
Aus meiner Sicht ist dabei noch nicht einmal die größte Gefahr, dass jetzt die Datenschutzbehörden der Bundesländer quasi alle Unternehmen, die Facebook-Seiten betreiben, anschreiben oder sogar mit Bußgeldbescheiden überziehen. Sofern es den Datenschutzbehörden, wie von mir oben vermutet, vor allem darum geht, dass sie Facebook zwingen wollen, sich an die europäischen Datenschutznormen zu halten, setzen die Datenschutzbehörden vermutlich eher darauf, dass Unternehmen nun ihre Facebook-Seiten freiwillig deaktivieren. Und dass Facebook deswegen handeln muss, damit Facebook nicht die Nutzer verliert.
Der aus meiner Sich größere Unsicherheitsfaktor ist der, ob nicht durch das EuGH-Urteil nun wieder versucht wird, über Abmahnungen Geld zu verdienen.
Die größte Gefahr wäre dann gegeben, wenn ein möglicher Mitbewerber oder ein Wettbewerbsverband einen entsprechenden Datenschutzverstoß, der von Facebook begangen wird, abmahnt, und zwar beim Betreiber der Facebook-Seite selbst, der z.B. Mitbewerber des Abmahners ist. Auch wenn noch nicht entschieden ist, ob bei einem Verstoß gegen Vorschriften aus der DSGVO auch zugleich ein wettbewerbsrechtlich relevanter sog. Rechtsbruch vorliegt, so ist dies ein durchaus realistisches Szenario: Denn auch bereits vor Inkrafttreten der DSGVO gab es Gerichte, die bei Verstößen gegen Datenschutzrecht zugleich Wettbewerbsverstöße angenommen haben. Da die DSGVO vor allem auch den Verbraucherschutz im Auge hat, dürfte es aus meiner Sicht wahrscheinlicher sein, dass Gerichte künftig bei Verstößen gegen die DSGVO auch gleichzeitig einen Wettbewerbsverstoß annehmen. Zudem stellt sich bei einem Vorgehen eines Wettbewerbers oder eines Verbandes auch nicht die noch offene Frage, ob eine Behörde gezwungen ist, direkt gegen Facebook vorzugehen; denn ein Wettbewerber oder ein Verband muss ein solches Ermessen nicht ausüben oder gar eine Ermessensentscheidung begründen. Das Szenario einer neuen „Abmahnwelle“ ist also nicht unrealistisch.
Zudem gibt es natürlich ebenfalls die zumindest theoretische Möglichkeit, dass ein einzelner Verbraucher auf ein Unternehmen „losgeht“, welches eine Facebook-Seite betreibt, etwa mit der Argumentation, dass der Verbraucher die Facebook-Seite des Unternehmens besucht hat und dadurch von einem Datenschutzverstoß von Facebook betroffen ist, weswegen nun der Verbraucher Unterlassungs- und Schadenersatzansprüche direkt beim Unternehmen geltend macht. Auch dies erscheint nicht ausgeschlossen, wenngleich das Risiko in einem solchen Fall aus meiner Sicht deutlich geringer ist, als bei Abmahnungen von Wettbewerbern oder von Wettbewerbsverbänden.
Es stellt sich natürlich nun die Frage, was ein Unternehmen tun kann.
Wer auf „Nummer Sicher“ gehen will, der deaktiviert seine Unternehmens-Facebook-Seite und beschränkt sich bei der Nutzung von Facebook auf eine rein private Nutzung. Oder er nutzt Facebook künftig gar nicht mehr.
Die zweite Alternative ist, dass ein Unternehmen die Ruhe bewahrt und abwartet, wie sich die Sache künftig weiterentwickelt und letztlich auch darauf hofft, dass weder Behörden, noch Wettbewerber, noch Verbände oder gar irgendwelche Verbraucher gerade gegen ihn Ansprüche geltend machen.
Betreibt man weiter seine Facebook-Seite ist das Einzige, was man in einem solchen Fall vielleicht tun könnte, Folgendes:
Zum einen könnte man in der Datenschutzerklärung seiner eigenen Webseite unter dem Punkt „Onlinepräsenz auf sozialen Netzwerken“ (oder ähnlichen Überschriften) darauf hinweisen, dass man eine Seite bei Facebook betreibt und dass man selbst nicht so genau weiß, was Facebook mit den personenbezogenen Daten von Nutzern macht, die die Facebook-Seite besuchen, quasi nach dem Motto „Betreten auf eigene Gefahr“. Ob das in einem möglichen Rechtsstreit wirklich hilft, ist allerdings stark zu bezweifeln. Aber möglicherweise gilt hier das Motto „Besser als nichts“.
Zum anderen könnte man in Fällen, in denen man von der eigenen Webseite zur eigenen Facebook-Seite mithilfe einer Verlinkung arbeitet, bei Anklicken des „Facebook-Symbols“ auf der eigenen Webseite eine Art „Disclaimer“ öffnen lassen, in dem der Nutzer (wie oben beschrieben) darauf hingewiesen wird, dass das Unternehmen eine Facebook-Seite betreibt, allerdings dem Nutzer nicht mitteilen kann, welche konkreten personenbezogenen Daten Facebook erhebt, verarbeitet und in welcher Weise Facebook diese personenbezogenen Daten eventuell selbst zu eigenen Werbezwecken oder zu Werbezwecken Dritter nutzt. Zugleich könnte man den Nutzer im Disclaimer darauf hinweisen, dass er in Fällen, in denen er das nicht möchte, nicht die Facebook-Seite des Unternehmens besuchen soll, sondern alle Informationen von der eigenen Webseite des Unternehmens holen sollte.
Es stellt sich natürlich die Frage, ob ein solcher Disclaimer tatsächlich rechtliche Relevanz haben wird. Auch dies ist nicht klar und es bestehen gewisse Zweifel, insbesondere dann, wenn man nicht nachweisen kann, dass der Nutzer über die Verlinkung auf der eigenen Webseite zur Facebook-Seite des Unternehmens gelangt und damit den Disclaimer zur Kenntnis nehmen konnte.
Fazit:
Leider eine Entscheidung des EuGH mit möglicherweise sehr weitreichenden Folgen für Unternehmen mit Facebook-Seiten.
Es muss nun jedes Unternehmen die Entscheidung treffen, ob es die eigene Facebook-Seite Wert ist, das oben beschriebene mögliche Risiko einzugehen oder ob man auf „Nummer Sicher“ gehen möchte und die Facebook-Seite deaktiviert.
Update am 07.06.2018:
Es liegt nun eine Stellungnahme der der Konferenz der unabhängigen Datenschutzbehörden
des Bundes und der Länder vor:
Zum Abschluss heißt es:
„Die deutschen Aufsichtsbehörden weisen darauf hin, dass nach dem Urteil des EuGH dringender Handlungsbedarf für die Betreiber von Fanpages besteht. Dabei ist nicht zu verkennen, dass die Fanpage-Betreiber ihre datenschutzrechtlichen Verantwortung nur erfüllen können, wenn Facebook selbst an der Lösung mitwirkt und ein datenschutzkonformes Produkt anbietet, das die Rechte der Betroffenen wahrt und einen ordnungsgemäßen Betrieb in Europa ermöglicht.“
Was folgt daraus?
Leider nichts, was einem wriklich weiterhilft. Außer das es die Datenschützer tatsächlich auf Facebook abgesehen haben. Aber auch kein eindeutiger Hinweis darauf, dass die Behörden die Facebookseitenbetreiber nicht angehen werden.