Nicht nur Fußballspieler oder Showstars haben Fanseiten. Im sozialen Netzwerk sind Fanseiten von Unternehmen neben denen von wirtschaftlichen und kulturellen Einrichtungen zu finden. Nutzer, die sich für die Unternehmen und ihre Tätigkeit interessieren, suchen die entsprechenden Facebook-Fanseiten auf. Dabei machen sie sich oftmals wenig Gedanken darüber, wie viele persönliche Daten bei einem Besuch der Seite aufgezeichnet werden. Der Datenschutz und die Frage, wofür Daten verwendet werden, ist durch den Facebook-Skandal und durch die Einführung des neuen Datenschutzgesetzes DSGVO in das Zentrum des öffentlichen Interesses gerückt.
EuGH: Neues Grundsatzurteil auf alter Rechtsgrundlage
Eher zufällig fällt der Termin, an dem der Europäische Gerichtshof (EUGH) eine Grundsatzerklärung zu Datenschutz verkündete, in diesen Zeitraum. Rechtsgrundlage des am 05.06.2018 zum Aktenzeichen C 210/16 sind noch die alten, seit 1995 geltenden Datenschutzvorschriften. Allerdings wird diese durch die langen Bearbeitungszeiten am europäischen Gerichtshof bedingte Situation im vorliegenden Fall für keine große Verwirrung sorgen. Es geht nämlich um die Eigenschaft des „für die Bearbeitung von Daten Verantwortlichen“ bei einem Auftritt im sozialen Netzwerk Facebook.
Der europäische Gerichtshof hat entschieden, dass ein Betreiber einer Fanseite eines Unternehmens oder einer Institution neben dem Betreiber des Netzwerks für den Datenschutz gegenüber Nutzer haftbar gemacht werden kann. Außerdem haben sich die europäischen Richter damit beschäftigt, in welcher Weise Facebook als Unternehmen mit Hauptsitz im nicht-europäischen Ausland an die europäischen Datenschutzvorschriften gebunden ist. Anbieter von Internetdiensten können immer dann von den Datenschutzbehörden eines Mitgliedslandes der EU zur Verantwortung gezogen werden, wenn sie eine Tochtergesellschaft in diesem Land haben. Interne Aufgabenverteilung ist dabei nicht von Bedeutung.
Seitenanbieter haftet mit
Zur Mithaftung der Betreiber von Fanseiten auf Facebook haben die Richter erklärt, dass nicht nur Facebook selbst, sondern auch der Seitenbetreiber Zugriffsmöglichkeiten auf persönliche Daten von Nutzern hat. Die gesamteuropäische Ordnung des Datenschutzrechts soll einen möglichst lückenlosen Schutz von Internet-Nutzern vor für sie nicht nachvollziehbarer Datenverwertung bewirken. Dazu soll auch die Vereinheitlichung des Datenschutzrechts durch die DSGVO dienen, die allerdings noch nicht Gegenstand dieses Verfahrens war, weil sie erst nach Rechtshängigkeit der Sache in Kraft getreten ist. Ein Seitenbetreiber darf sich nicht darauf verlassen, dass Facebook dem Nutzer die notwendigen Informationen zum Umgang mit Daten zur Verfügung stellt. Auf jeder Fanseite muss auf die Verwendung von Cookies und das Sammeln von Daten gesondert hingewiesen werden. Die Datenschutzbehörde des zuständigen EU-Staates kann, wie im vorliegenden Fall geschehen, anordnen, dass die betroffene Fanseite deaktiviert wird. Die durch das Bundesverwaltungsgericht erfolgte Vorlage der Auslegungsfrage wird zukünftig für Betreiber von Fanpages in allen Bereichen haben, die statistische Daten über alle Personen, die die Seite anklicken, sammeln, haben.