Es wird enger für Facebook. Nach einer Entscheidung des EuGH (05.06.2018 – C-210/16) ist der Betreiber einer Facebook–Fanpage gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten eines Besuchers seiner Seite verantwortlich. Konkret bedeutet dies, dass eine deutsche Datenschutzbehörde, in dem der Betreiber seinen Sitz hat – hier in Deutschland – gegen
- den Betreiber
- und auch gegen die in Deutschland niedergelassene Tochtergesellschaft von Facebook (Facebook-Germany)nach der EG Richtlinie 95/461 vorgehen darf.
Eine Facebook Fanpage ist ein öffentliches Unternehmensprofil auf dem Social Network Facebook. Als Fans erhalten die User die neuesten Informationen, News oder Meldungen des Profils direkt in ihrem Newsstream. Auf diese Weise können Unternehmen mit ihren Kunden aktiv in Kontakt treten und umgekehrt. Damit kann der Fanpage-Betreiber insbesondere
- demografische Daten über seine Zielgruppe
- Informationen über den Lebensstil
- geografische Daten, die ihn darüber informieren, wo spezielle Werbeaktionen durchzuführen oder Veranstaltungen zu organisieren sind erhalten.
Ganz allgemein ist es dem Betreiber möglich, sein Informationsangebot so zielgerichtet wie möglich auf den Besucher hin zu gestalten.
Der EuGH sah Facebook wie auch den Betreiber als „Verantwortlichen“ im Sinne des Datenschutzrechts an. Weder der Betreiber der Fanpage noch Facebook haben aber durch Cookies darauf hingewiesen, dass dadurch personenbezogene Daten erhoben und verarbeitet werden. Dabei kommt es nicht darauf an, welchen Einfluss der Betreiber auf diese Nutzung hat. Es kommt auch nicht darauf an, dass Facebook eine amerikanische Gesellschaft ist, die ihren Sitz in Irland hat (Facebook Ireland). Die deutsche Datenschutzbehörde muss nicht von der irischen Datenschutzbehörde ersucht werden, ihre Befugnisse in Deutschland auszuüben.
Im Ergebnis war die Anordnung der Deaktivierung der Fanpage wirksam. Die Entscheidung erging noch zum alten Recht. Seit dem 25.05.2018 gilt die neue Datenschutzgrundverordnung. Der Begriff des „Verantwortlichen“ ist jedoch geblieben..
Die Entscheidung wird auch vor dem der neuen Datenschutzgrundverordnung Bestand haben. Auch Fanseiten bei anderen Social Media-Unternehmen sollten daher entsprechende Cookies setzen.
In einem anderen Verfahren muss sich der EuGH mit der Frage beschäftigen, ob Seitenbetreiber, die Like-Buttons einbetten, ebenfalls für die Datenverarbeitung durch Facebook mitverantwortlich sind (Rechtssache C-40/17/Quelle: curia.Europa.eu).
Produktempfehlung:
Im NWB Verlag ist ein auf die Tätigkeit von Steuerberatern zugeschnittener Praxisleitfaden zur Umsetzung der DSGVO erschienen: