Die deutschen Datenschützer habe vor dem Europäischen Gerichtshof (euGH) gewonnen. Sie hatten sich bereits vor dem Inkarnierten der Datenschutzgrundverordnung (DSGVO) am 25.5.2018 gegen den Umgang von Facebook-Fanseite gewandt. Hier erfahren Sie, was Sie zum Datenschutz auf Facebook beachten müssen.
Geklagt hatte ein Unternehmen, das Bildungsdienstleistungen anbietet. Es betrieb eine Facebook-Fanpage. Mit der Klage wehrte er sich gegen einen Bescheid des „Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein“ ULD).
Über solche Facebook-Fanseite können sich Unternehmen oder aber auch Privatpersonen den Besuchern der Seite präsentieren. Teilweise werden über solche Seiten auch Dienstleistungen angeboten. Zudem werden bei den virtuellen Besuchen in der Regel anonymisierte Daten der Nutzer erhoben und verarbeitet. Die Möglichkeit besteht über die Funktion „Facebook Insight“. Diese sammelt die Daten mithilfe sogenannter Cookies.
Das Unternehmen erhob solche anonymisierten statistischen Daten, allerdings ohne darauf hinzuweisen, dass eine Erhebung und Verarbeitung mittels Cookies stattfand. Auch Facebook selbst wies nicht auf das Vorgehen hin. Das missfiel dem ULD. Es erließ deshalb einen Bescheid gegen das Unternehmen. Darin forderte es den Bildungsdienstleister auf, seine Fanseite zu deaktivieren.
Dem kam das Unternehmen jedoch nicht nach. Es widersprach dem Bescheid zunächst, allerdings ohne Erfolg. Deshalb zog es vor Gericht. Vor dem Verwaltungsgericht und dem Oberverwaltungsgericht hatte es mit seiner Klage Erfolg. Das Bundesverwaltungsgericht (BVerwG) hat noch nicht entschieden. Es legte dem EuGH mehrere Fragen zur Auslegung der Europäischen Datenschutzrichtlinie vor. Diese ist allerdings seit dem Inkrafttreten der neuen DSGVO aufgehoben. Die Entscheidung gibt Aufschluss über die Einstellung des EuGH zu datenschutzrechtlichen Angelegenheiten.
Die Entscheidung: Der EuGH stellte zunächst klar, dass der Hauptverantwortliche in solchen Angelegenheiten Facebook ist (in diesem Fall die Facebook Inc. und Facebook Irland). Facebook sei verpflichtet, die Nutzer und Besucher der jeweiligen Seiten über die Zwecke und Mittel der Verarbeitung personenbezogener Daten zu unterrichten (EuGH, 5.6.2018, Az. C-210/16).
Allerdings trifft Facebook die Verantwortung nicht allein. Auch die Betreiber von Facebook-Fanseiten fallen unter diese Vorschrift, an der der EuGH seine Entscheidung festmacht (Art. 2 Buchstabe d Europäische Datenschutzrichtlinie). Denn die Betreiber der Fanpages werden aufgrund der von ihnen erstellten Ausgestaltung der jeweiligen Seite an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Nutzer beteiligt. Das Gericht macht dadurch Facebook und den Betreiber gemeinsam für den Fehler verantwortlich.
Der EuGH weist in seiner Entscheidung aber auch darauf hin, dass die gemeinsame Verantwortung nicht automatisch eine gleichwertige Verantwortlichkeit zur Folge hat. Letztlich komme es insoweit auf eine Einzelfallbetrachtung an. Es sei zu prüfen, wann genau die unterschiedlichen Handelnden tätig geworden seien und in welchem Ausmaß sie jeweils agiert hätten.
Das BVerwG hat nun unter Einbeziehung der Aussagen des EuGH eine Entscheidung zu treffen. Ich werde die Entwicklung selbstverständlich für Sie beobachten und Sie zum gegebenen Zeitpunkt unterrichten.
Die Entscheidung könnte nicht unerhebliche Folgen für Ihren Arbeitgeber und Sie haben, wenn er soziale Netzwerke betrieblich nutzt. Denn logische Konsequenz kann meines Erachtens nur sein, dass die entsprechenden Grundsätze auch für andere soziale Netzwerke und Messenger-Dienste gelten. Das könnte aber bedeuten, dass Ihr Arbeitgeber plötzlich für die Datenverarbeitung einer Vielzahl von Anbietern mithaftet.
Zunächst bleibt abzuwarten, wie das BVerfG die Situation aufgrund der aktuellen Entwicklung des Datenschutzes beurteilt. Bis dahin sollten Sie dafür sorgen, dass Sie Besucher und Nutzer Ihrer Seiten in den sozialen Netzwerken auf die mögliche Erhebung und Verarbeitung anonymisierter statistischer Daten hinweisen.
Ihr Arbeitgeber muss den Datenschutz penibel einhalten. Denn die Sanktionen bei Verstößen gegen die DSGVO sind drastisch. Sie als Betriebsrat sollten sich jetzt darum bemühen, den Istzustand zum Datenschutz zu erfassen, und sich dafür einsetzen, dass die notwendigen Anpassungen vorgenommen werden.
Überzeugen Sie Ihren Arbeitgeber bzw. den Datenschutzbeauftragten, eine Dokumentation über die Einhaltung der DSGVO zu führen. Empfehlen Sie Ihrem Arbeitgeber zudem, sämtliche Verträge mit Dienstleistern auf die Anforderungen nach Art. 28, 29 DSGVO zu prüfen und ggf. einen Auftragsdatenverarbeitungsvertrag abzuschließen oder anzupassen.