Facebook-Fanpages von Firmen: Bundesverwaltungsgericht ruft EuGH an
Eigentlich war heute vom Bundesverwaltungsgericht in Leipzig eine Entscheidung erwartet worden. Nun soll jedoch der EuGH die datenschutzrechtliche Verantwortlichkeit für die beim Aufruf einer Facebook-Fanpage erhobenen Nutzerdaten klären.
Firmen, die eine Facebook-Fanpage betreiben, agieren weiterhin in einem rechtlich nicht gänzlich geklärten Umfeld. Im Streit zwischen einem Unternehmen und dem Unabhängigen Landeszentrum für Datenschutz (ULD) Schleswig-Holstein hat das Bundesverwaltungsgericht in Leipzig heute das Revisionsverfahren bis zur Entscheidung des von ihm angerufenen Europäischen Gerichtshofs (EuGH) ausgesetzt (Aktenzeichen BVerwG 1 C 28.14). Das deutsche Gericht erwartet vom EU-Gericht klärende Worte zur Auslegung der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. Sie soll innerhalb der EU ein gleichwertiges Schutzniveau hinsichtlich Rechten und Freiheiten von Personen bei der Verarbeitung ihrer personenbezogenen Daten gewährleisten.
Ausgangspunkt des Verfahren war die Beanstandung des Betriebs einer Facebook-Fanpage der privatrechtlich organisierten Wirtschaftsakademie Schleswig-Holstein, einem Trägerin der beruflichen Aus- und Weiterbildung, durch das Unabhängige Landeszentrum für Datenschutz (ULD) Schleswig-Holstein. Die Datenschützer hatten die Wirtschaftsakademie im November 2011 aufgefordert, die Facebook-Fanpage zu deaktivieren. Begründet wurde das damit, dass die Nutzungsdaten der Besucher von Facebook über ein beim Aufruf der Fanpage mittels Cookie erhoben und dann von Facebook unter anderem für Werbung sowie eine Nutzerstatistik verwendet werden, obwohl Nutzer darüber weder hinreichend aufgeklärt werden noch dieser Nutzung zugestimmt haben.
Gegen die Anordnung hatte die Wirtschaftsakademie geklagt und sich vor dem Verwaltungsgericht Schleswig zunächst auch durchgesetzt. Das Oberverwaltungsgericht hat die Berufung der Datenschützer zurückgewiesen. Ihm zufolge ist der Fanpage-Betreiber im Hinblick auf die von Facebook erhobenen Daten im Sinne des Bundesdatenschutzgesetztes nicht die verantwortliche Stelle.
Andere Rechtslage beim Like-Button als bei Facebook-Fanpages
Diese Rechtsauffassung hält zum Beispiel auch Anwalt Christian Solmecke von der Kölner Kanzlei Wilde Beuger Solmecke für richtig: “Nutzer, die eine Facebook-Fanpage besuchen, wissen, dass Facebook entsprechend die Daten verarbeitet. Darauf hat das Unternehmen überhaupt keinen Einfluss. Anders sähe die Sache in Bezug auf Facebook-Like-Buttons auf Unternehmenswebseiten aus. Hier ahnt der Nutzer nicht, dass er durch den bloßen Besuch der Website auch Daten an Facebook überträgt”.
Anders verhalte es sich bei den Facebook-Like-Buttons, zu denen eine endgültige Gerichtsentscheidung noch aussteht. Beim Besuch einer Firmenwebsite könnten Verbraucher schließlich nicht automatisch davon ausgehen, dass Daten an Dritte übertragen werden. Unternehmen, die eine gewisse Rechtssicherheit gewährleisten wollen, empfiehlt Solmecke, von ihrer Website auf die Facebook-Fanpage zu verlinken, ohne den Like-Button einzubauen- Alternativ könnten sie den Like-Button zunächst ohne Funktion als Bild auf der Webseite einbinden. Erst nach einem Klick darauf – also nach einer bewussten Entscheidung des Nutzers – wird dann der eigentliche Like-Button mit allen Funktionen nachgeladen.
Was der EuGH nun klären soll
Das Bundesverwaltungsgericht will vom EuGH im Zuge einer sogenannten Vorabentscheidung nun unter anderem wissen, ob in “mehrstufigen Informationsanbieterverhältnissen” eine Stelle die für die Datenverarbeitung nicht verantwortlich ist, möglicherweise bereits bei der Auswahl des Betreibers diesbezüglich Verantwortung übernehmen. Außerdem wollen die Richter wissen, ob daraus, dass bei der Auftragsdatenverarbeitung ein dafür geeigneter Anbieter ausgewählt werden muss im Umkehrschluss folgt, dass bei anderen Nutzungsverhältnissen die Pflicht zur sorgfältigen Auswahl nach EU-Recht nicht besteht und auch nicht durch nationales Recht erzwungen werden kann.
Schließlich soll der EuGH klären, welche Stelle bei Konzernen wie Facebook, deren Mutterkonzern außerhalb der EU ansässig ist und in der EU rechtlich selbständige Tochtergesellschaften agieren denn nun für den Datenschutz genau zuständig ist. Facebook jongliert hier immer damit, dass die Niederlassung in Deutschland lediglich für Verkauf und Marketing zuständig sei und derjenigen in Irland die Verantwortung für Erhebung und Verarbeitung personenbezogener Daten im gesamten Gebiet der Europäischen Union obliegt. Andererseits führt auch die nur Anweisungen aus den USA aus.
Diese Konstruktion bietet jedem Teilbereich jeweils genug Möglichkeiten, die Verantwortungen an andere abzuschieben. Daher hat das deutsche Gericht beim EuGH auch angefragt, ob dann Kontrollstellen zur Durchsetzung des Datenschutzrechts Maßnahmen und Anordnungen auch gegen die Niederlassung durchsetzen könne, die nach der internen Aufgabengabenverteilung gar nicht für die Datenverarbeitung verantwortlich ist oder ob dies nur die Kontrollstelle in dem EU-Land tun darf, in dem die Verantwortung konzernintern angesiedelt ist.
Tipp: Sind Sie ein Facebook-Experte? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.