Das Urteil des EuGH vom 5. Juni 2018 (C-210/16) zur gemeinsamen Verantwortlichkeit von Fanpage-Betreiber und Facebook, sorgt bei Unternehmen für Unsicherheit. Dies war durchaus zu erwarten, da es nicht Aufgabe des EuGH ist, konkrete Handlungsanweisungen zu geben, wie das Datenschutzrecht in der Praxis umzusetzen ist. Was hat die „gemeinsame Verantwortlichkeit“ für Konsequenzen? Was ist nun zu tun? Die Überwachung der Anwendung der DSGVO und ihre Durchsetzung in der Praxis ist Aufgabe der Datenschutzbehörden.
Die Datenschutzkonferenz (DSK) hat, sehr schnell nach dem Urteil des EuGH, eine Entschließung (PDF) zu den sich aus ihrer Sicht ergebenden Folgen der Entscheidung für Betreiber von Fanpages veröffentlicht. Welches Unternehmen sich nun aber klare Vorgaben zum erforderlichen Vorgehen erhofft, wird leider enttäuscht. Die Entschließung der DSK ist zum teil sehr offen und vage formuliert. Es fehlen leider auch rechtliche Begründung für die Position. Unternehmen werden die Entschließung daher leider nicht als konkrete Handlungshilfe nutzen können. Daher wird sich ein Unternehmen, auch vor dem Hintergrund der Entschließung, nicht sicher sein können, ob es datenschutzrechtlich absolut rechtskonform agieren, solange die Fanpage weiter betrieben wird.
Kurz zur Einordnung: die Entschließung der DSK ist für Unternehmen nicht rechtlich bindend. Sie ist kein Gesetz und auch kein Verwaltungsakt. Sie stellt eine (Rechts)Position der in der DSK versammelten Behörden dar. Das bedeutet gleichzeitig auch, dass es andere rechtliche Ansichten zu den Folgen des Urteils geben kann (und wird).
Nun zu der Entschließung selbst. Was empfiehlt die DSK und was sollten oder können Fanpage-Betreiber tun?
Wenig überraschend stellt die DSK fest, dass Betreiber einer Fanpage „selbst mitverantwortlich für die Einhaltung des Datenschutzes gegenüber den Nutzenden ihrer Fanpage“ sind. Das ist auch die Kernaussage des EuGH-Urteils. Nach der DSK müssen Betreiber „die Verpflichtungen aus den aktuell geltenden Regelungen der Datenschutz-Grundverordnung (DS-GVO) beachten“. Auch diese Folgerung ist nur konsequent. Wenn ein Unternehmen „Verantwortlicher“ ist, sind die Pflichten des Verantwortlichen nach der DSGVO zu beachten.
Die DSK geht jedoch bei weitem nicht auf alle einen Verantwortlichen treffenden Pflichten nach der DSGVO ein, sondern beschränkt sich in der Entschließung auf einige wenige, wenn auch äußert relevante Aspekte. Ein Beispiel: als Verantwortlicher (und auch Auftragsverarbeiter), muss ein Unternehmen ein Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) für alle Verarbeitungstätigkeiten führen, die seiner Zuständigkeit unterliegen. Auch die Verarbeitung über die Fanpage müsste in dieses Verzeichnis aufgenommen werden. Diese Pflicht (und viele weitere) wird aber gar nicht erst erwähnt. Ich verstehe die Entschließung daher eher als Empfehlungen der deutschen Behörden im Sinne von ad-hoc Maßnahmen. Leider wird dies aber nicht deutlich zum Ausdruck gebracht. Unternehmen sollten wissen, dass es mit der Erfüllung der wenigen Vorgaben in der Entschließung sicherlich nicht getan ist, wenn man eine Fanpage DSGVO-konform einsetzen möchte.
Die DSK verlangt, dass Besucher einer Fanpage „transparent und in verständlicher Form darüber informiert werden“ müssen, welche Daten zu welchen Zwecken durch Facebook und die Fanpage-Betreiber verarbeitet werden. Diese Forderung bezieht sich auf Art. 12 und 13 DSGVO. Die Informationspflichten müssen erfüllt werden. Unternehmen sollten daher überlegen, entweder eine eigen „Fanpage Datenschutzerklärung“ vorzuhalten und zu verlinken oder auf die eigene, allgemeine Datenschutzerklärung zu verlinken und dort einen „Fanpage Passus“ aufzunehmen. Das Problem hierbei ist, dass der Betreiber faktisch gar nicht alle erforderlichen Informationen zur Datenverarbeitung erteilen kann. Unternehmen wissen im Zweifel nicht, welche Rechtsgrundlage für die Verarbeitung gilt (Pflicht nach Art. 13 Abs. 1 lit. c) DSGVO) oder wer die Kategorien von Empfängern der Daten sind (Pflicht nach Art. 13 Abs. 1 lit. e) DSGVO). Diese Problematik scheint auch die DSK zu erkennen. Denn die DSK fordert, dass Betreiber sich selbst versichern sollten, „dass Facebook ihnen die Informationen zur Verfügung stellt, die zur Erfüllung der genannten Informationspflichten benötigt werden“. Doch wie soll sich ein Unternehmen diesbezüglich „versichern“? Facebook per E-Mail anschreiben und die Informationen erbitten? Dies bleibt unklar.
Die DSK fordert zudem (dem ersten Anschein nach) per se die Einwilligung für die Verarbeitung der Daten der Besucher. „Soweit Facebook Besucherinnen und Besucher einer Fanpage durch Erhebung personenbezogener Daten trackt, sei es durch den Einsatz von Cookies oder vergleichbarer Techniken oder durch die Speicherung der IP-Adresse, ist grundsätzlich eine Einwilligung der Nutzenden erforderlich, die die Anforderung der DS-GVO erfüllt“.
Nun ist aber zu beachten, dass es in diesem Absatz ein, aus Juristensicht, ganz entscheidendes Wort gibt, das dort meines Erachtens nicht aus Versehen steht: „grundsätzlich“.
Wenn Juristen (und das sind viele Mitarbeiter der Datenschutzbehörden und an der Entschließung beteiligte Personen) „grundsätzlich“ schreiben, meinen sie, dass es stets Ausnahmen gibt. Man könnte auch „in der Regel“ sagen. Das bedeutet, dass die DSK nicht zwingend eine Einwilligung für erforderlich hält, wenn Facebook Besucherinnen und Besucher einer Fanpage durch Erhebung personenbezogener Daten trackt. Man kann also, gerade auch Sicht des Betreibers der Fanpage, auch an andere Erlaubnistatbestände (z. B. die Interessenabwägung) denken. Leider ist die Entschließung der DSK in dieser Hinsicht einfach nicht klar und es fhelt eine rechtliche Begründung, warum hier „grundsätzlich“ eine Einwilligung einzuholen wäre. Als Betreiber ist man nun leider auch nicht schlauer.
Zuletzt verweist die DSK auf die Anforderung des Art. 26 DSGVO, dass gemeinsam Verantwortliche eine Vereinbarung über die Verteilung der Pflichtenerfüllung zwischen Betreiber und Facebook. Auch diese Schlussfolgerung ist zwingend, wenn die DSGVO gilt und daher nicht überraschend.
Was macht man als Unternehmen?
Ich denke, dass Betreiber von Fanpages nun mehrere Optionen haben. Natürlich kann man, wenn man überhaupt kein Risiko eingehen möchte und den Anspruch hat, stets 100% DSGVO compliant zu agieren, darüber nachdenken, die Fanpage abzuschalten.
Meines Erachtens ergibt sich diese Konsequenz jedoch nicht zwingend aus der Entschließung der DSK. Dies aus zwei Gründen. Zum einen, weil die DSK dies nicht fordert (siehe unten). Zum anderen, weil die DSK, wie auch der EuGH in seinem Urteil, ein gewisses Hintertürchen zur „abgespeckten“ Pflichtenerfüllung offen lässt. Die DSK verweist darauf, dass „die Fanpage-Betreiber ihre datenschutzrechtlichen Verantwortung nur erfüllen können, wenn Facebook selbst an der Lösung mitwirkt“. Der EuGH formuliert es so (Rz. 43 des Urteils): „Klarzustellen ist, dass das Bestehen einer gemeinsamen Verantwortlichkeit, …, aber nicht zwangsläufig eine gleichwertige Verantwortlichkeit der verschiedenen Akteure zur Folge hat, die von einer Verarbeitung personenbezogener Daten betroffen sind“. Meines Erachtens kann man sowohl den EuGH, als auch nun den Hinweis der DSK auf die verschiedenen Verantwortlichkeitssphären so verstehen, dass Betreiber der Fanpage nur solche Pflichten erfüllen müssen, die sie auch faktisch erfüllen können.
Um es am Beispiel der Datenschutzerklärung konkret zu machen: Betreiber sollten eine solche Datenschutzerklärung vorhalten. Inhaltlich sollten die Informationspflichten soweit erfüllt werden, wie dies dem Betreiber möglich ist. Wenn ein Unternehmen zu manchen geforderten Angaben schlicht keine Information hat, dann kann diese Pflicht nicht erfüllt werden. Die Entschließung der DSK erkennt wohl („wohl“, da die Entschließung leider einfach sehr vage ist) dieses Problem und, dies sollte man auch beachten, knüpft hieran etwa nicht die Folgerung, dass deshalb die Fanpage abgeschaltet werden müsste.
Das bedeutet meines Erachtens, dass die DSK verlangt, dass Fanpage-Betreiber jene datenschutzrechtlichen Pflichten erfüllen sollen, zu deren Erfüllung sie rein faktisch in der Lage sind. Das ist am Ende nun natürlich allein meine Auslegung der Entschließung. Aus Sicht der Praxis hätte man sich hier eine klarere und begründete Positionierung gewünscht.
Was sagt die DSK in ihrer Entschließung nicht?
Meines Erachtens ist es wichtig, abschließend darauf hinzuweisen, was die DSK in ihrer Entschließung gerade nicht fordert oder feststellt.
- Die DSK verlangt nicht, dass Fanpages abgeschaltet werden.
- Dies verlangt die DSK auch dann nicht, wenn die von ihr zwingend vorgegeben Anforderungen nicht eingehalten werden.
- Die DSK sagt nichts Abschließendes dazu, ob oder unter welchen Voraussetzungen die Verarbeitung von Daten der Besucher rechtmäßig oder rechtswidrig ist.
- Die DSK äußert sich nicht dazu, ob die Datenschutzbehörden nun Bußgelder gegen Betreiber von Fanpages verhängen werden.