Der Auftritt von Unternehmen bei sozialen Netzwerken wie Facebook, Xing, Linkedin oder Youtube wurde bereits seit geraumer Zeit datenschutzrechtlich kritisch gesehen. Datenschutz war für die meisten Unternehmer kein Thema, da sie davon ausgingen, dass Datenverarbeitungen nur bei den Betreibern der Dienste vorgenommen werden, denn diese erheben und verarbeiten schließlich die Daten. Dieser Sichtweise hat der Europäische Gerichtshof (EuGH) eine Absage erteilt (C-210/16), mit erheblichen Folgen:
Gegenstand des Streits war die an eine private Wirtschaftsakademie gerichtete Aufforderung des schleswig-holsteinischen Unabhängigen Zentrums für Datenschutz, den Auftritt bei Facebook in Gestalt einer so genannten Fanpage zu beseitigen. Die Datenschützer störten sich daran, dass die Akademie die Nutzer nicht über die durch Facebook vorgenommene Verarbeitung von Daten informiert hat. Beim Besuch der Seite hinterlegt Facebook nämlich so genannte Cookies auf den Geräten der Nutzer, um das Nutzerverhalten auswerten zu können. Die Akademie hatte eingewandt, nicht selbst für die Datenverarbeitung verantwortlich zu sein. Verantwortlich sei vielmehr Facebook, sodass sich die Untersagungsverfügung gegen Facebook richten müsse. Die Luxemburger Richter sahen das anders: Zwar sei Facebook als „Verantwortlicher“ zu behandeln. Derjenige, der einen Facebook-Auftritt unterhält, ist aber ebenso „Verantwortlicher“ im Sinne der Richtlinie 95/46. Damit richten sich die datenschutzrechtlichen Verpflichtungen nicht bloß an Facebook, sondern auch an diejenigen, die auf der Plattform einen Auftritt haben. Zu den Pflichten gehört vor allem die Erteilung von Informationen darüber, zu welchen Zwecken die Daten erhoben, wie diese verarbeitet, an wen sie weitergegeben und nach welchen Maßgaben und Fristen die Daten gelöscht werden. Außerdem befasste sich der EuGH auch mit den Voraussetzungen eines Vorgehens gegen Facebook mit Sitz in Irland: Als zuständige Aufsichtsbehörde sei das Unabhängige Zentrum für Datenschutz S-H zuständig für die Verfolgung der Verstöße gewesen und darf, so der EuGH, auch eine in Deutschland ansässige Niederlassung eines im Ausland ansässigen Unternehmens in Anspruch nehmen. Dass nach der internen Aufgabenteilung die deutsche Gesellschaft (Facebook Germany) allein mit der Vermarktung von Werbung befasst sei, spiele keine Rolle. Insbesondere hätten die deutschen Datenschützer nicht erst die ausländische Aufsichtsbehörde um ein Einschreiten ersuchen müssen.
Hintergrund: Die Entscheidung geht auf eine Vorlage des Bundesverwaltungsgerichts (BVerwG) zurück, welches Fragen zur Auslegung der Richtlinie 95/46 an den EuGH gerichtet hat. Kurz nach Wirksamwerden der DSGVO am 25.05.2018 kommt die Entscheidung wie gerufen, denn die Frage, ob und gegebenenfalls welche Informations- und Aufklärungspflichten bei der Unterhaltung von Internetauftritten auf sozialen Plattformen gelten, hat nun eine dringend erforderliche Präzisierung erfahren, die ernüchternd deutlich ausfällt: Wer einen solchen Auftritt unterhält, ist voll mitverantwortlich für das, was der Dienst mit den Daten anfängt. Das gilt auch dann, wenn er davon gar keine Kenntnis hat. Praktisch wirkt sich das in erster Linie auf die notwendige Datenschutzerklärung aus, denn als Verantwortlicher hat man die nach der DSGVO vorgesehenen Angaben zu erteilen und haftet für Richtigkeit und Vollständigkeit. Für Abmahner tut sich hier ein weites Feld auf, denn alle Unternehmen, die bei sozialen Diensten einen eigenen Auftritt unterhalten, benötigen eine Datenschutzerklärung und können, wenn sie eine solche nicht haben, kostenpflichtig abgemahnt werden. Dass die EuGH-Entscheidung nicht zur DSGVO, sondern zur Richtlinie 95/46 ergangen ist, ändert an der Grundaussage zur Verantwortlichkeit nichts, denn der Schutz ist durch die DSGVO nicht verringert worden. Die Entscheidung ist in puncto Verantwortung auf die Rechtslage unter der DSGVO übertragbar.
Eine brennende Frage, ob die EuGH-Entscheidung auch auf nicht gewerblich tätige Private anzuwenden ist, wird zu bejahen sein: Denn auch diese sind, wenn sie Datenverarbeitung vornehmen, nichtöffentliche „Stellen“ im Sinne des Datenschutzrechts. Damit sind sie, ebenso wie ein Unternehmen, als Verantwortliche zu behandeln.
Wer sich DSGVO-konform verhalten möchte, sollte daher zunächst eine den Anforderungen entsprechende Datenschutzerklärung hinterlegen und – soweit dies erforderlich ist – die Nutzer um die notwendigen Einwilligungen bitten. Nennenswerte Risiken bestehen für nicht gewerblich tätige Privatleute nicht, denn diese haben in Ermangelung von abmahnenden Konurrenten „lediglich“ die Aufsichtsbehörden zu fürchten. Wer aber gewerblich tätig ist, sollte sich auf Abmahnungen einstellen.
EuGH, Urteil vom 05.06.2018 – C-210/16