facebook-Fanpages: Datenschutz-Mitverantwortung der Organisationen

Rechtsexperten des Forschungsverbunds „Forum Privatheit“ beleuchten langfristige Auswirkungen des EuGH-Urteils

[datensicherheit.de, 02.07.2018] Rechtsexperten des Forschungsverbunds „Forum Privatheit“ beleuchten die langfristigen Auswirkungen des EuGH-Urteils zu facebook-Fanpages – neben Sozialen Netzwerken gehörten auch Suchmaschinen, Messenger- und Kurznachrichten-Dienste auf den Prüfstand. Der Europäische Gerichtshof (EuGH) hatte am 5. Juni 2018 sein Urteil im Rechtsstreit zwischen dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) und der Wirtschaftsakademie Schleswig-Holstein GmbH verkündet. Gegenstand dieses Rechtsstreits war eine Anordnung des ULD an die Wirtschaftsakademie, ihre facebook-Fanpage zu deaktivieren, weil facebook personenbezogene Daten von Besuchern dieser Fanpage unzulässig erhoben und zu Besucherstatistiken verarbeitet habe.

Verantwortlich für die Datenverarbeitung im Sinne des Datenschutzrechts

Fraglich gewesen sei, ob neben facebook auch die Wirtschaftsakademie als Betreiber der Fanpage als Verantwortliche für die Datenverarbeitung im Sinne des Datenschutzrechts zu werten ist.
Dies habe das Gericht am 5. Juni 2018 bejaht – die Inanspruchnahme von fcebook als Plattform zur Bereitstellung der Fanpage befreie den Betreiber nicht von datenschutzrechtlichen Pflichten.
Ob ein Zugang des Fanpage-Betreibers zu den gesammelten personenbezogenen Daten des Sozialen Netzwerks besteht, sei dabei unerheblich.

Mitverantwortlich für alle im Zusammenhang stehenden Datenverarbeitungspraktiken von facebook

„Das Urteil des EuGH hat große Auswirkungen auf Unternehmen, Behörden und sonstige Organisationen, die facebook-Angebote für ihre Zwecke nutzen. Sie werden damit mitverantwortlich, für alle damit in Zusammenhang stehenden Datenverarbeitungspraktiken von facebook. Da sie diese nicht beeinflussen können, aber für sie verantwortlich sind, können sie facebook nicht mehr ohne Risiko nutzen“, sagt Prof. Dr. Alexander Roßnagel, Sprecher des „Forum Privatheit“ und Rechtswissenschaftler der Universität Kassel.
Der EuGH vertrete in seinem Urteil eine weite Auslegung des Begriffs des datenschutzrechtlich Verantwortlichen. Dessen Verantwortung solle einen größtmöglichen Schutz Betroffener bei der Verarbeitung ihrer personenbezogenen Daten gewährleisten. Daher sei für die Datenverarbeitung nicht nur das Soziale Netzwerk, sondern auch die Organisation verantwortlich, welche facebook für ihre Zwecke nutzt (wie in dem entschiedenen Fall für eine Fanpage).
Dies gelte in besonderem Maße, wenn Dritte, die selbst nicht Mitglieder bei facebook sind, veranlasst werden, facebook zu nutzen. Die Organisation und facebook seien beide gemeinsam verantwortlich, da sie jeweils über die Zwecke und Mittel der Verarbeitung personenbezogener Daten der Betroffenen entschieden. Der Betreiber der Fanpage könne sich gegenüber den Betroffenen nicht auf den Standpunkt zurückziehen, selbst lediglich Nutzer der von facebook angebotenen Dienstleistung zu sein.

Stellung der betroffenen Nutzer verbessert

Eine Organisation, die facebook-Angebote für ihre Zwecke nutzt, träfen damit alle Pflichten, die ein datenschutzrechtlich Verantwortlicher zu erfüllen hat. Nach der Datenschutz-Grundverordnung müssten gemeinsam Verantwortliche in transparenter Form vertraglich festlegen, welche Funktionen sie jeweils übernehmen und wie sie ihre Datenschutzpflichten erfüllen. Insbesondere könnten auch der Organisation gegenüber Betroffenenrechte geltend gemacht werden.
„Damit wird die Stellung der betroffenen Nutzenden verbessert. Außerdem hat der EuGH mit dem Urteil unmissverständlich klargestellt, dass es auch in diesen Fällen keine Lücke in der Verantwortlichkeit für die Verarbeitung personenbezogener Daten gibt“, betobt Marit Hansen, Landesbeauftragte für Datenschutz Schleswig-Holstein.
Diese gemeinsame Verantwortlichkeit wirke sich auch auf die Haftung aus. So hafte nach der Datenschutz-Grundverordnung jeder an einer Datenverarbeitung beteiligte Verantwortliche für den Schaden, der durch eine rechtswidrige Verarbeitung verursacht wurde. Eine Haftungsbefreiung sei nur möglich, wenn aktiv nachgewiesen wird, dass eine Verantwortlichkeit für den Umstand, der den Schaden zur Folge hatte, in keinerlei Hinsicht gegeben ist. Damit bestehe eine Verschuldensvermutung bezogen auf alle gemeinsam Verantwortlichen – die Beweislast liege bei ihnen.

Auch Suchmaschinen, Messenger- und Kurznachrichten-Dienste auf den Prüfstand!

Anordnungen einer Datenschutzaufsichtsbehörde könnten sich dabei sowohl gegen die Organisation, die facebook für ihre Zwecke nutzt, als auch gegen den Betreiber des Sozialen Netzwerks richten. Das gelte letztlich auch für die unter Umständen drastischen Sanktionen, die Aufsichtsbehörden nach der Datenschutz-Grundverordnung verhängen könnten.
„Die Klarstellung durch den EuGH ist im Sinn eines effektiven Datenschutzes zu begrüßen. Wer Angebote Sozialer Netzwerke in seine Organisationskommunikation einbindet, trägt in jedem Fall die Mitverantwortung für jede durch ihn veranlasste Datenverarbeitung. Wer kein Risiko eingehen will, muss sich entweder sicher sein, dass das Soziale Netzwerk mit diesen Datenverarbeitungspraktiken keine Verstöße gegen die Datenschutz-Grundverordnung begeht oder diese Angebote meiden“, resümiert Professor Roßnagel. Ebenso wie Soziale Netzwerke gehörten auch Angebote wie Suchmaschinen, Messenger- und Kurznachrichten-Dienste auf den Prüfstand.

Weitere Informationen zum Thema:

forum <privatheit>
selbstbestimmtes_leben_in_der_digitalen_welt

datensicherheit.de, 08.03.2018
forum <privatheit>: Datenschutz als Basis der Innovationsförderung