Dr. Ronald Kandelhard, Rechtsanwalt, Fachanwalt für Handels- und Gesellschaftsrecht
Lösungen nach dem EuGH-Urteil zu Unternehmensseiten auf Facebook und anderen Social Media Plattformen
Zusammenfassendes Ergebnis: Nach dem neuesten Urteil des EuGH haften Betreiber von Unternehmensseiten auf Social Media Plattformen insbesondere Facebook Fanpages für dort vorkommende Datenschutzverstöße mit. Nutzer müssen überlegen, ob sie deshalb derartige Fanpages schließen. Um eine solche Haftung weniger wahrscheinlich zu machen, sollte die Datenschutzerklärung auf der eigenen Website angepasst und auf dem Social Media Profil verlinkt und möglichst sogar wiederholt werden.
I. Die Haftung für alle Fanpages auf Social Media Plattformen
1. Das Urteil des EuGH
Am 5. Juni 2018 hat der EuGH entschieden, dass der Betreiber einer Facebook Fanpage für Datenschutzverstöße von Facebook mitverantwortlich ist (hier der Link zum Urteil). Da Facebook weder vor Erlass der Datenschutzgrundverordnung noch danach dem europäischen Datenschutz entsprochen hat, drohen jedem Unternehmen allein aufgrund einer Unternehmensseite bei Facebook Untersagungsverfügungen, Buß- und Zwangsgelder sowie Abmahnungen. Anlass war der Betrieb einer Unternehmensseite durch eine Bildungseinrichtung. Das Landesamt für Datenschutz beanstandete diese und forderte den Bildungsträger auf, die Fanpage zu deaktivieren. Die Begründung dafür war, dass Facebook von den Nutzern der Fanpage personenbezogene Daten erhebe und weder Facebook noch der Bildungsträger die Besucher der Fanpage (mittels einer Datenschutzerklärung) darauf hingewiesen habe. Gegen die Untersagungsverfügung und das zu seiner Durchsetzung angedrohte Zwangsgeld legte die Bildungseinrichtung Widerspruch ein. Sie sei für die Datenverarbeitung von Facebook nicht verantwortlich. Das Argument hat der EuGH in konsequenter Auslegung des Verantwortlichen nach der vorherigen Datenschutzrichtlinie zurück gewiesen. Durch die Eröffnung der Fanpage hat die Bildungseinrichtung den Missbrauch der Daten ermöglicht und haftet so auch für die Folgen.
2. Geltung unter der DSGVO
Das Urteil des EuGH gilt auch für die neue Datenschutzgrundverordnung. Zwar ist es noch zu der vorigen Richtlinie ergangen, doch ist der Begriff des Verantwortlichen nach der DSGVO weitgehend gleich geblieben.
3. Einstellung der Social Media Plattformen
Gegen diese Mithaftung lässt sich praktisch nichts unternehmen. Derzeit ist Facebook in vielerlei Hinsicht nicht datenschutzkonform und lässt sich auch kaum derart einstellen. Facebook ist zudem noch nicht einmal hinreichend transparent. Es ist bereits unmöglich, die genaue Verwendung von Daten durch Facebook auch nur fest zu stellen. Damit scheint es nur noch die Alternative zu geben, eine Facebook Fanpage abzustellen.
4. Alle Unternehmensseiten bei Social Media Plattformen betroffen
Das allein würde jedoch nicht reichen. Das Urteil gilt für alle anderen Social Media Auftritte entsprechend. Ob Instagram, Pinterest, LinkedIn, Twitter, Google +, YouTube, Medium, Reddit, Steemit oder Quora, bei jeder Social Media Plattform wäre zuerst zu prüfen, ob sie a) DSGVO konform betrieben wird und b) alle Vorkehrungen möglich sind, die die DSGVO erforderlich macht (Cookie Hinweis, Datenschutzerklärung etc.). Selbst für deutsche oder europäische Social Media Plattformen wie Xing wäre das noch im Einzelnen zu prüfen.
5. Der Grund für die Haftung bei Fanpages
Im Ergebnis haftet damit jedes Unternehmen für Datenschutzverstöße jeder von ihm verwendeten Social Media Plattform. Aus datenschutzrechtlicher Sicht bleibt das konsequent. Jedes Unternehmen muss seine Software und Partner so auswählen, dass der Datenschutz gewährleistet ist. In Zeile 40 stellt der Gerichtshof dementsprechend fest:
„Der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, kann diesen nämlich nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien.“
II. Ungerechtes Ergebnis
1. Bauernopfer: Nutzer von Facebook Fanpages?
Damit bleibt aber die berechtigte Frage: Kann es sein, dass die Datenschutzverstöße der großen Social Media Plattformen wirklich auf dem Rücken von deren Nutzern ausgetragen wird? Sollen diese tatsächlich das Bauernopfer sein, um die Social Media Plattformen zum Datenschutz zu verpflichten? Um es auf die Spitze zu treiben, soll jetzt wirklich eine alte Dame, die Strickanleitungen auf Facebook darstellt, für die Verfehlungen von Facebook zahlen? Hat der EuGH also unrichtig entschieden? Ich glaube erst mal nicht. Die Auslegung des Verantwortlichen ist datenschutzrechtlich konsequent. Bleibt man aber bei dem Urteil und der reinen Verantwortlichkeit stehen, sind viele kleine Unternehmen praktisch erledigt. Anders als Großkonzerne haben sie nicht die finanziellen Ressourcen, sich teure Werbung in den Medien zu leisten und auf engen Kontakt zu ihren Kunden auf den Social Media Plattformen angewiesen. Das unmöglich zu machen, war und ist sicher nicht der politische Wille der Kommission oder des europäischen Parlaments. Daher bleibt es primäre Aufgabe der Rechtsanwender, die allgemeinen Rechtsgedanken zu untersuchen, ob sich daraus nicht doch Grenzen dieser Verantwortlichkeit der Fanpage-Betreiber ergeben. Um es vorweg zu nehmen, das ist nach diesseitiger Auffassung durchaus der Fall.
2. Rechtsfolgen
Konsequenz des Urteils ist, dass jedes Unternehmen, welches eine Facebook Fanpage oder einen Account auf einer anderen Social Media Plattform hat, mit in der Haftung steht. Diese Haftung kann sich vor allem in drei Hinsichten auswirken:
- a) Untersagungsverfügung und Bußgeld Zunächst einmal kann die zuständige Behörde das Unternehmen auffordern, die Social Media Präsenz zu schließen und ein Zwangs- oder ein Bußgeld verhängen.
- b) Abmahnung von Nutzern Weiter können Nutzer der Fanpage die Rechte aus der DSGVO gegen das Unternehmen geltend machen, von Abmahnung über Auskunft bis Schadensersatz.
- c) Abmahnung von Konkurrenten oder Abmahnvereinen Abmahnvereine oder Konkurrenten könnten beanstanden, dass die Nutzung einer Social Media Präsenz mit Datenschutzverstößen ein ungerechtfertigter Vorteil im Wettbewerb ist, die rechtstreue Konkurrenten wettbewerbswidrig benachteiligt. Konsequenz wäre dann ebenfalls vor allem eine (kostenpflichtige) Abmahnung.
3. Argumente gegen ein Bußgeld
Eine Behörde kann nicht einfach ein Bußgeld verhängen. Die Entscheidung darüber muss vielmehr ermessensgerecht erfolgen. Das bedeutet im Verhältnis zu der Social Media Plattform vor allem, dass die Behörde prüfen muss, ob sich der Datenschutz nicht besser durch Inanspruchnahme der Social Media Plattform erreichen lässt. Dafür spricht grade seit der DSGVO vieles. Zu beachten ist, dass das Landesamt für Datenschutz damals gegen die Bildungseinrichtung vorgegangen ist, weil sie nach dem damaligen Recht kaum erfolgversprechend gegen Facebook vorgehen konnte. Genau das hat sich durch die Datenschutzgrundverordnung aber deutlich verbessert. Die DSGVO ist grade erlassen worden, um (auch) die großen Internetunternehmen (faktisch häufig aus den USA) zum Datenschutz zu verpflichten. Deshalb ist sie gem. Art. 3 Abs. 2 DSGVO auch für jede Datenverarbeitung anwendbar, die außerhalb der EU erfolgt, wenn sie sich nur auf Daten von EU-Bürgern bezieht (oder gar nur Daten, die in der EU gewonnen wurden). Die rechtlichen Instrumentarien, auch die großen Internet-Unternehmen zu erreichen, sind spätestens jetzt vorhanden. Eine Strafe von bis zu 20 Mio. Euro oder gar 4 % des weltweiten Jahresumsatzes wie in Art. 83 Abs. 5 DSGVO vorgesehen, ist ausreichend, um jedes Unternehmen zum Datenschutz zu bewegen. Dementsprechend stellt auch der EuGH in Zeile 43 fest, dass die Social Media Plattformen stärker in der Verantwortung stehen können:
„Klarzustellen ist, dass …. die Akteure in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß in der Weise einbezogen sein“ können, „dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist.“
Von daher läßt sich gegen jede Inanspruchnahme einer Behörde einwenden, dass diese sich zuerst an den Social Media Anbieter zu wenden hat. Ob das Argument wirklich sticht, bleibt abzuwarten. Nach dem EuGH wird nunmehr das deutsche Bundesverwaltungsgericht abschließend über den Fall entscheiden. Es wird Gelegenheit haben, sich mit diesem Argument auseinanderzusetzen. Es ist anzunehmen, dass die Behörden wenigstens dieses Urteil abwarten werden, ehe gegen Unternehmen mit einer Fanpage vorgegangen wird.
4. Argumente gegen eine Abmahnung von Nutzern
Soweit Nutzer eine Abmahnung oder Schadensersatz geltend machen, weil bei dem Besuch der Fanpage ihr Recht auf Privatsphäre verletzt wurde, liegt das Gegenargument auf der Hand. Zumindest Personen, die zuvor Nutzer der Social Media Plattform waren, haben sich (bewusst) bereits selbst in die Gefahr von Datenschutzverletzungen begeben. Sie könnten unter dem Gesichtspunkt des Widerspruchs gegen das eigene Verhalten (venire contra factum proprium) an einer Abmahnung gehindert sein. Es erscheint nicht gerechtfertigt, einerseits seine Daten der gesamten Social Media Plattform auszusetzen und andererseits einen Betreiber einer Fanpage für die damit zusammenhängenden (viel geringeren) Datenschutzverstöße verantwortlich zu machen. Auch Schadensersatzansprüche von Nutzern können nach § 254 BGB aufgrund eigenem Mitverschulden eingeschränkt oder ganz ausgeschlossen sein. Diese Argumente verfangen aber nicht gleichermassen, wenn es um Nutzer geht, die noch gar nicht Kunden der Social Media Plattform sind, die also erstmals diese Plattform nutzen, nur weil sie auf die Fanpage eines Unternehmens gelangen wollen. In Zeile 41 betont das europäische Gericht besonders den Schutz des noch nicht bei Facebook angemeldeten Nutzers:
„Im Übrigen ist hervorzuheben, dass die bei Facebook unterhaltenen Fanpages auch von Personen besucht werden können, die keine Facebook-Nutzer sind und somit nicht über ein Benutzerkonto bei diesem sozialen Netzwerk verfügen. In diesem Fall erscheint die Verantwortlichkeit des Betreibers der Fanpage hinsichtlich der Verarbeitung der personenbezogenen Daten dieser Personen noch höher, da das bloße Aufrufen der Fanpage durch Besucher automatisch die Verarbeitung ihrer personenbezogenen Daten auslöst.“
Im Normalfall werden natürlich nur solche Nutzer einem Link zu einer Social Media Plattform folgen, die bereits selbst Kunde dieser Plattform sind. Auszuschließen ist der Fall eines neuen Nutzers aber nicht. Dieser neue Nutzer kommt aber wenigstens vornehmlich dann über die Website des Unternehmens zu der Social Media Plattform, für das er sich interessiert (sofern er es nicht über eine Suchmaschine findet). Daher empfiehlt es sich im Grundsatz, auch bei einer an sich freien Verlinkung auf den eigenen Social Media Auftritt, einen zugehörigen Text in die Datenschutzerklärung aufzunehmen. Das ist auch eine der ersten Handlungsempfehlungen nach dem Urteil des EuGH. Bei easyRechtssicher war dies bereits vor dem Urteil vorgesehen. Wir haben aber als Reaktion auf das Urteil den Text nochmals deutlicher geschrieben. Mit dem easyRechtssicher Plugin zur Datenschutzerklärung lässt sich der neue Text jetzt ganz einfach generieren.
5. Argumente gegen eine Abmahnung von Konkurrenten
Daneben kommt auch eine Abmahnung von Konkurrenten oder Abmahnvereinen wegen Vorteilen im Wettbewerb durch Rechtsbruch in Betracht. Der Verstoß, um den es geht, ist jedoch primär ein Verstoß gegen die Datenschutzvorschriften. Diese dienen jedoch nicht in erster Linie dem Schutz des Wettbewerbs, sondern vielmehr dem Schutz einer individuellen Privatsphäre. Es ist bis heute ungeklärt, ob solche Verstöße tatsächlich von Konkurrenten abgemahnt werden können. Das und die noch einigermaßen ungeklärte Rechtslage sollte übermäßige Abmahnungen also verhindern.
III. Lösungen auf der Social Media Plattform
Auf der eigenen Website kann man also bereits versuchen, durch eine entsprechende Anpassung der Datenschutzerklärung für eine bessere Aufklärung zu sorgen. Hierbei stehen insbesondere solche Nutzer im Vordergrund, die noch nicht auf der entsprechenden Social Media Plattform angemeldet sind. Man kann jedoch noch mehr unternehmen. Kurz nach dem Urteil hat die Datenschutzkonferenz (der Zusammenschluss der deutschen Datenschutzbehörden) getagt und dazu eine Einschätzung unter dem vielversprechenden Titel: „Die Zeit der Verantwortungslosigkeit ist vorbei“ veröffentlicht. Darin werden vor allem drei Punkte angesprochen, um einen rechtmäßigen Betrieb einer Social Media Seite sicher zu stellen:
- „Wer eine Fanpage besucht, muss transparent und in verständlicher Form … informiert werden ….
- Soweit Facebook …. trackt …. ist … eine Einwilligung der Nutzenden erforderlich, die die Anforderung der DSGVO erfüllt
- … Facebook und Fanpage- Betreiber (haben)… eine …. Vereinbarung festzulegen“
Davon lässt sich eine Anforderung einigermassen erfüllen, eine nicht ohne Facebook erfüllen und die dritte ist tatsächlich streitig, von hinten nach vorne:
a) Eine gemeinsame Vereinbarung
Mit der gemeinsamen Vereinbarung ist ein Dokument ähnlich dem Auftragsverarbeitungsvertrg gemeint, in dem zwischen Facebook und Nutzer festgelegt wird, wer von beiden welche der Verpflichtungen aus der DSGVO übernimmt. Diesen Vertrag kann faktisch nur Facebook anbieten. Ob ein solcher kommt, bleibt abzuwarten.
b) Eine Einwilligung der Nutzer
Ob es wie die Datenschutzkonferenz meint, wirklich einem Opt In Bedarf, um rechtswirksam trocken zu dürfen, ist deutlich streitig. Die Datenschutzkonferenz ist in keiner Weise bindend für die Gerichte und in der Rechtswissenschaft ist durchaus umstritten, ob sich nicht auch ein Tracking auf die berechtigten Interessen nach Art. 6 Abs. 1 lit. f) DSGVO stützen lässt und damit grade kein Opt In benötigt. Hier ist nach wie vor große Rechtsunsicherheit, die erst durch ein höchstrichterliches Urteil ausgeräumt werden dürfte. Aber auch hier bestehen jedenfalls Argumente, warum auch ohne Opt In (möglichst aber unter Angebot eines Opt Out aus dem Tracking) ein Tracking möglich ist. Eine eindeutige Abmahnung ergibt sich jedenfalls durch das Fehlen eines Opt In erneut nicht. Aus höchster anwaltlicher Vorsorge bleibt aber auch hier nur der Rat, ein Opt In zu installieren. Risikofreudigere Naturen können mit diesem Tool ein Opt Out* generieren.
c) transparente Information
Am ehesten umzusetzen dürfte die Forderung nach einer transparenten Aufklärung zu erfüllen sein. Gefordert ist damit für jede Unternehmensseite eine Datenschutzerklärung. Hier hängt es natürlich von der jeweiligen Social Media Plattform ab, wie gut und sinnvoll die platziert werden kann. Bei Facebook, kann etwa unter Informationen auf die Datenrichtlinie verwiesen werden. Weiter kann man in der Story noch auf Datenschutzbestimmungen hinweisen, ersatzweise kommt auch ein angepinnter Post ganz oben auf der Seite in Betracht. Für alle anderen Social Media Plattformen sind entsprechend sinnvolle Darstellungen zu suchen und umzusetzen. Als Text sollte man die Datenverwendung auf der Plattform möglichst sinnvoll beschreiben, auf die jeweiligen Datenschutzerklärungen der Social Media Plattform verweisen und möglichst noch ein Opt Out anbieten. Muster hierzu sind in den easyRechtssicher Kursen enthalten, entweder kann man den Zugang direkt über unser WordPress Plugin erhalten oder auch – wer etwa kein WordPress nutzt – durch den Erwerb des Datenschutz-Generators.
IV. Resultat
Insgesamt kommen Betreiber einer Website grade kaum zur Ruhe. Nach der DSGVO der nächste Schock. Die Konsequenzen des Urteils können für Fanpages durchaus erheblich sein und aus höchster anwaltlicher Vorsorge muss man jetzt empfehlen, solche Seiten (über alle nicht DSGVO konformen Social Media Plattformen hinweg) zu schließen. Dennoch, es gibt einige Argumente, warum die Rechtsfolgen vielleicht weniger dramatisch ausfallen. Gegen jede Rechtsfolge kann man sich zumindest mit guten Gründen verteidigen, ohne dass klar ist, wie die Rechtsfrage im konkreten Fall dann entschieden wird. Man kann jedenfalls versuchen, sich weniger angreifbar zu machen. Das betrifft klare Hinweise in der Datenschutzerklärung zu den Gefahren der Social Media Plattformen und eine soweit als möglich datenschutzkonforme Einstellung von Social Media Auftritten. Sinn macht natürlich auch, die eigenen Social Media Profile auf Ihren Nutzen hin zu untersuchen und wenig genutzte Profile zu löschen. Der einfachste Datenschutz ist immer noch, keine Daten zu haben. Mit unserem Social Media Generator im Mitgliederbereich für den Komplett Schutz findest Du das perfekte Werkzeug, um Deine Social Media Fanpage jetzt abzusichern. Zum Komplett Schutz
Eine genaue Anleitung, was Du unternehmen kannst, findest Du in diesem Beitrag.
Dr. Ronald Kandelhard, Rechtsanwalt und Mediator, Fachanwalt für Handels- und Gesellschaftsrecht. Ronald war lange Zeit an der Universität, in der Rechtsberatung von Staaten und als Rechtsanwalt tätig. Jetzt entwickelt er mit seinem Startup Paragraf7 automatisierte Lösungen für rechtliche Probleme von Unternehmen.
*Affiliate Link
Hallo liebes easy Rechtssicher-Team,
danke für den hilfreichen Artikel.
Betr. Punkt III (Lösungen). bzgl. Punkt b.) der Einwilligung, die von jedem Nutzer auf der jeweiligen Fanpage einzuholen wäre – müsste dies von Facebook selbst geschehen oder vom jeweiligen Fanpage-Betreiber vorgenommen werden?
Impliziert die Bestätigung einer Datenschutzerklärung schon eine Einwilligung in die Datenverarbeitung?
Vielen Dank!
Hallo Zana,
freut mich, wenn Dir der Artikel geholfen hat.
Wir veröffentlichen auch noch diese Woche in unserem Komplett Schutz ein Update mit ganz aktuellen
Datenschutzerklärungen für Facebook, Google+, Twitter, LinkedIn, Xing, YouTube, Instagram und Pinterest.
Die Einwilligung kann man leider nicht selbst vornehmen, das müsste Facebook anbieten. Du kannst nur eben eine Datenschutzerklärung bei Facebook und Co. einbinden und in Deiner Datenschutzerklärung auf die Weitergabe der Daten an die Social Media Plattform hinweisen. Damit kannst Du den Nutzer aufklären. Mehr kannst Du nicht machen.
Eine Einwilligung ist immer nur konkret für bestimmte Datenverarbeitungen möglich. Daher reicht die Bestätigung der Datenschutzerklärung nicht aus.
Hallo Ronald,
danke für die schnelle und hilfreiche Antwort. Dann bin ich mal gespannt auf das Update mit aktuellen DS-Erklärungen.
Drei Fragen hätte ich allerdings noch vorab:
1.) Kann man die Datenschutzerklärung bereits jetzt auf dem eigenen Fanpage-Auftritt einbinden oder muss das noch von Facebook angeboten werden? Momentan werden einem ja nur die von Facebook selbst angezeigt.
2.) Impliziert die von Facebook vorgenommene Aktualisierung der Datenschutzrichtlinie bereits eine Vereinbarung gem. Art. 26 DSGVO oder müsste diese dann gesondert mit jedem Fanpage-Betreiber vorgenommen werden? Das wäre ja ein großer Aufwand!
3.) Wenn Facebook nun i.R.d. neuen Richtlinien entscheidet, dass der Fanpage-Betreiber für die Einholung einer Einwilligung verantwortlich ist und diese bspw. durch ein Opt-In Verfahren von Facebook angeboten wird, ist der Fanpage-Betreiber dann in der Pflicht dies einzuhalten?
Danke und viele Grüße,
Zana
Pingback: Abmahnfalle Social Media Fanpage - easyRechtssicher
Pingback: Social Media Fanpages: Behörden schreiten ein - easyRechtssicher
Pingback: 29.7.2019, EuGH: Like Button unzulässig und Cookie Opt In erforderlich - easyRechtssicher