Digitaler Datenschutz Wer ist verantwortlich für Facebook-Fanpages?
Nicht nur Einzelpersonen sind bei Facebook angemeldet. Auch Unternehmen haben die Plattform für sich entdeckt. Der EuGH klärt heute, inwieweit Betreiber sich um den Datenschutz ihrer Nutzer kümmern müssen.
Worum geht es in dem Fall?
Wie viele Unternehmen wirbt auch die IHK-Wirtschaftsakademie Schleswig-Holstein auf Facebook für ihr Angebot. Dem ehemaligen Datenschutzbeauftragten des Landes, Thilo Weichert, waren solche Auftritte in dem sozialen Netzwerk ein Dorn im Auge. 2011 ordnete er deshalb an, die Facebook-Fanpage der Akademie zu deaktivieren.
Der Grund: Über sogenannte Cookies erhebe Facebook Daten der Nutzer, um Besucherstatistiken zu erstellen. Diese Statistiken stellt das soziale Netzwerk den Seitenbetreibern kostenlos zur Verfügung. Abbestellen können Unternehmen den Service nicht.
Den Datenschutzbeauftragten störte, dass die Wirtschaftsakademie nicht auf diese Datenverarbeitung hinwies. Weichert war einer der bekannteren unter den Landesdatenschutzbeauftragten. Bis zu seinem Ausscheiden aus dem Amt ging er nicht nur gegen Facebook vor, sondern auch gegen Google-Street-View und Microsoft. Den Rechtsstreit mit der Wirtschaftsakademie führt nun seine Nachfolgerin Marit Hansen fort.
Wieso liegt die Sache jetzt bei Gericht?
Die Wirtschaftsakademie wehrte sich gegen die Anordnung, unterstützt vom Zusammenschluss der Industrie- und Handelskammern (IHK) in Schleswig-Holstein. Die spricht von einem "Musterprozess". In Deutschland ging der Fall bereits durch die Instanzen und fiel bisher immer zugunsten der Akademie aus. Das Bundesverwaltungsgericht wandte sich nun an den EU-Gerichtshof mit einer Reihe von Fragen.
Worüber muss der EU-Gerichtshof entscheiden?
Im Zentrum des Verfahrens steht die Frage: Ist die Wirtschaftsakademie überhaupt verantwortlich für die Verarbeitung der Daten ihrer Nutzer? Oder ist das nicht eigentlich nur Facebook? Es geht damit um die Auslegung des Begriffs "Verantwortlicher" im Sinne des europäischen Datenschutzrechts. Die EU-Datenschutzrichtlinie von 1995 definierte diesen Begriff.
Ist die Frage auch mit der neuen EU-Datenschutzverordnung noch aktuell?
Ja. Auch die Verordnung, die Ende Mai in Kraft trat, definiert, wer "Verantwortlicher" für die Verarbeitung von Daten ist - und zwar wortgleich wie die alte EU-Richtlinie.
Wie könnte das Urteil ausgehen?
Schon vor ein paar Monaten hat der Generalanwalt seine Einschätzung zu dem Fall vorgelegt. Häufig orientieren sich die Richter an diesem Gutachten, sie sind aber nicht daran gebunden. Aus Sicht des Generalanwalts ist die Wirtschaftsakademie durchaus verantwortlich für den Datenschutz ihrer Nutzer - und zwar gemeinsam mit Facebook.
Was spricht für die Datenschutz-Verantwortung der Seitenbetreiber?
Aus Sicht des Generalanwalts eine ganze Menge: Nach der Rechtsprechung des EU-Gerichtshofs ist der Begriff des "Verantwortlichen" weit auszulegen, um einen wirksamen Datenschutz zu gewährleisten. Die Wirtschaftsakademie hat außerdem durchaus Einfluss auf die Datenverarbeitung, obwohl Facebook diese durchführt.
Zum einen entscheidet das Unternehmen nämlich selbst, die Fanpage einzurichten, und nimmt die Vertragsbedingungen von Facebook aus freien Stücken an. Zum anderen können Unternehmen Kriterien - zum Beispiel Alter und Geschlecht - auswählen, um die Besucherstatistiken zu personalisieren. Abgesehen davon liegt es auch in der Hand der Seitenbetreiber, die Datenverarbeitung zu beenden, indem sie ihre Fanpages schließen.
Welche Folgen könnte das Urteil haben?
Die IHK befürchtet, dass Unternehmen ihre Präsenz in dem sozialen Netzwerk aufgeben müssten. Sollten die Luxemburger Richter die Ansicht des Generalanwalts teilen, träfe die Wirtschaftsakademie und alle anderen Seitenbetreiber in der Tat die volle Wucht des Datenschutzrechts.
Facebook-Logo in Menlo Park, Kalifornien. Wer ist für die Verarbeitung der Nutzer-Daten verantwortlich? Die Fanpage-Betreiber? Oder Facebook selber?
Das heißt: Sie müssten Nutzer nicht nur auf die Verarbeitung der Daten durch Facebook hinweisen, sondern die Daten zum Beispiel auch löschen, wenn das jemand verlangt - beziehungsweise durch Facebook löschen lassen.
Fraglich ist, inwieweit das funktioniert oder Unternehmen eher gleich ganz auf eine Fanpage verzichten würden. Der Generalanwalt sieht die Sache optimistisch. Die Einbeziehung der Seitenbetreiber könne auch ein Anreiz für das soziale Netzwerk sein, sich an den Datenschutz zu halten. Andernfalls würden sie zumindest in der EU Unternehmen als Nutzer verlieren.