Das neue EuGH-Urteil zum Thema Facebook-Fanpages verursacht Panik bei Betreibern von Fanpages

Am 05. Juni 2018 entschied der EuGH auf Vorlage von verschiedenen datenschutzrechtlichen Fragen des Bundesverwaltungsgerichts, dass die Betreiber neben Facebook Verantwortliche im Sinne der Datenschutznormen sind. Hintergrund des Urteils war ein Verfahren des unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein gegen die Wirtschaftsakademie Schleswig-Holstein GmbH. Die Wirtschaftsakademie hat eine Fanpage bei Facebook betrieben. Weder Facebook noch die Wirtschaftsakademie haben aber über das Tracking durch Cookies aufgeklärt. Die Vorlagefrage beim EuGH richtet sich darauf, wer Verantwortlicher im Sinne des Datenschutzrechts ist. Die Wirtschaftsakademie war der Auffassung, dass nur der Betreiber des sozialen Netzwerks Verantwortlicher ist. Diese Rechtsauffassung lehnte der EuGH mit dem gestrigen Urteil ab. Er konstruiert über einen konkludenten Nutzungsvertrag eine Mitverantwortung desjenigen, der die Fanpage „betreibt“ also online stellt (vgl. Rn 32 des Urteils. Der Betreiber gibt Facebook – so der EuGH – die Möglichkeit, auf dem Computer oder anderen Geräten der betroffenen Personen Cookies zu platzieren. Unabhängig davon, ob diese Person über einen Facebook-Account verfügt oder nicht (weil die Fanpages auch ohne Facebook-Zugang sichtbar sind) (vgl. Rn 35 des Urteils).

Direkte Konsequenzen ergeben sich aus dem EuGH-Urteil zunächst nicht. Es bedeutet lediglich, dass bei einem Verstoß grundsätzlich die Möglichkeit besteht, dass der Betreiber der Fanpage auf Schadensersatz verklagt werden kann, wenn Facebook einen Datenschutzverstoß verursacht. Sofern man auf seiner Datenschutzerklärung auf das Tracking hinweist und diese auch bei Facebook verlinkt, besteht keine Gefahr für eine Abmahnung durch Wettbewerber. Man geht jedoch das Risiko bewusst sein, dass man zumindest Mitverschulden an Datenschutzverstößen von Facebook trägt.

Hier besteht also das Risiko von Schadensersatzforderungen. Es ist also eine Risikoabwägung von Nutzen und Gefahren vorzunehmen, ob man das Risiko von Schadensersatzforderungen im Einzelfall eingehen möchte. Es ist jedoch ganz klar zu sagen, dass der EuGH nicht entschieden hat, ob wirklich ein datenschutzrechtlicher Verstoß durch den mitverantwortlichen Betreiber, die Wirtschaftsakademie, vorliegt. Dies obliegt jetzt dem Bundesverwaltungsgericht. Dessen Urteil sollte jedenfalls noch abgewartet werden, bevor man (vorschnell) handelt. Alleine die Mitverantwortung macht noch keinen Datenschutzverstoß. Man sollte sich aufgrund des EuGH-Urteils jedoch nicht aus Panik zwangsläufig von Facebook verabschieden, wenn man zumindest nicht unerheblichen Nutzen von seiner Fanpage hat.

Handlungsbedarf besteht allerdings trotzdem: Sie sollten Ihre Datenschutzerklärung anpassen und diese bei Facebook verlinken. Das ist das Mindeste! Frei von Risiko macht Sie das jedoch nicht, dessen müssen Sie sich bewusst sein.