· Fachbeitrag · Datenschutz
Datenschutz und EuGH: Kommt nun auch das Aus für Vereins-Fanseiten bei Facebook und Co?
von Rechtsanwalt Michael Röcken, Bonn
| Betreiber einer „Fanseite“ sind gemeinsam mit Facebook für den dortigen Datenschutz verantwortlich. Diese Auffassung vertritt der EuGH. Erfahren Sie, welche Folgen sich für Fanseiten von Vereinen daraus ergeben und was Sie tun müssen, um eine Haftung zu vermeiden. |
Was ist eine Fanseite?
Eine Fanseite ist ein Benutzerkonto, das Privatpersonen, Unternehmen und auch Vereinen bei Facebook einrichten können. Nach der Registrierung könne Sie die Facebook-Plattform nutzen, um Ihren Verein den Nutzern von Facebook zu präsentieren.
Mit Hilfe der Funktion „Insights“, die Ihnen Facebook als nicht abdingbaren Teil des Benutzungsverhältnisses kostenfrei zur Verfügung stellt, können Sie anonymisierte statistische Daten erhalten, wer Ihre Seiten nutzt und so auch eigene (in der Regel kostenpflichtige) Werbung schalten.
EuGH musste zu Cookies auf Facebook entscheiden
Im konkreten Fall hatte die Datenschutzbehörde des Landes Niedersachsen eine Wirtschaftsakademie aufgefordert, ihre Fanseite bei Facebook zu löschen. Nach Auffassung der Behörde wiesen nämlich weder die Wirtschaftsakademie noch Facebook die Besucher der Fanseite darauf hin, dass Facebook mittels Cookies personenbezogene Daten erhebt und diese Daten danach verarbeitet.
Was sind Cookies?
Unter „Cookies“ versteht man Datenpakete, die beim Besuch einer Website auf dem lokalen Rechner gespeichert werden. So kann sich die jeweilige Website den Besucher und seine bevorzugten Einstellungen merken. Aber auch bei Cookies handelt es sich um geschützte Daten.
So landete der Fall beim EuGH
Die Akademie ging gegen die Löschungsanordnung gerichtlich vor. Sie machte geltend, dass ihr nicht zugerechnet werden könne, dass Facebook personenbezogene Daten verarbeite und sie Facebook auch nicht mit einer Datenverarbeitung beauftragt habe. Folglich hätte die Datenschutzbehörde direkt gegen Facebook vorgehen müssen.
Die Sache landete vor dem BVerwG. Und das rief im Revisionsverfahren schlussendlich den EuGH an und bat ihn um Hinweise, wie die zugrunde liegende Datenschutzrichtlinie auszulegen sei.
Wichtig | Das Verfahren betrifft „altes“ Datenschutzrecht. Dennoch sind die Hinweise auf die aktuelle Rechtslage (DSGVO) übertragbar. Darauf hat auch die Konferenz der unabhängigen Datenschutzbehörden hingewiesen.
Die Entscheidung des EuGH
Die Entscheidung des EuGH lässt sich wie folgt zusammenfassen (EuGH, Urteil vom 05.06.2018, Rs. C-210/16, Abruf-Nr. 201799):
- Facebook stellt dem Betreiber einer Fanseite kostenfrei anonymisierte statistische Daten zur Verfügung, wer die Seiten nutzt.
- Wer Daten verarbeitet, ist Verantwortlicher im Sinne des Datenschutzrechts. Der Begriff des Verantwortlichen ist im Datenschutzrecht weit auszulegen. Dadurch soll ein wirksamer und umfassender Schutz der betroffenen Personen gewährleistet werden.
- Es können auch mehrere ‒ an der Verarbeitung beteiligte Akteure ‒ den Datenschutzvorschriften unterliegen. In erster Linie ist jedoch Facebook als Verantwortlicher anzusehen.
- Jeder Betreiber einer Fanseite auf Facebook schließt mit Facebook Ireland einen speziellen Vertrag über die Eröffnung einer solchen Seite. Er unterzeichnet dazu die Nutzungsbedingungen dieser Seite einschließlich der entsprechenden Cookie-Richtlinie. Facebook platziert auf dem Computer oder jedem anderen Gerät der Personen, die die Fanseite besucht haben, Cookies. Diese bleiben für die Dauer von zwei Jahren wirksam, sofern sie nicht gelöscht werden. Diese Cookies und die damit gespeicherten Daten sind jedoch auch für den Betreiber der Fanseite nützlich, da er Vorgaben hinsichtlich seiner Zielgruppe machen kann.
|
Der Sportverein Muster e. V. möchte neue jugendliche Mitglieder gewinnen. Dazu schaltet er auf Facebook eine Anzeige, dass seine „Fanseite“ bestimmten Nutzern angezeigt wird. Neben dem Alter und dem regionalen Umfeld kann er auch Vorgaben bezüglich des Geschlechts und der Hobbys von Nutzern machen. Folge: Nach Ansicht des EuGH trägt der Sportverein Muster mit seiner Fanseite damit dazu bei, dass personenbezogene Daten der Besucher seiner Seite verarbeitet werden. Und er profitiert von der Verarbeitung. |
Dass die Daten anonymisiert an den Betreiber der Fanseite weitergegeben werden, war für das Gericht irrelevant. Grund: Es wird für die Bestimmung des Verantwortlichen nicht verlangt, dass bei einer gemeinsamen Verantwortlichkeit jeder Zugang zu den personenbezogenen Daten hat. Dass der Betreiber einer Fanseite die Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, befreit ihn nicht davon, Verpflichtungen im Bereich des Schutzes personenbezogener Daten zu beachten.
Wichtig | Das Gericht hat aber auch klargestellt, dass eine gemeinsame Verantwortlichkeit nicht zwangsläufig dazu führt, dass die Akteure die gleiche Verantwortung tragen. Der Grad der Verantwortlichkeit hängt vom Einzelfall ab. Damit ist klar, dass Ihr Verein nicht für Datenschutzverstöße von Facebook in vollem Umfang haftet, da Sie als Fanseitenbetreiber keinen Einfluss auf die Geschäftspolitik von Facebook haben.
Die Folgen für die Vereinspraxis
Die Reaktionen auf das Urteil reichten von „Betrifft uns nicht“ bis „Wir löschen unseren gesamten Facebook-Auftritt“. Beide Reaktionen sind nicht richtig. Richtig und nachvollziehbar ist aber, dass auch Ihr Verein als „Verantwortlicher“ anzusehen ist, wenn Sie eine Fanseite unterhalten. Daraus sollten Sie die richtigen Konsequenzen ziehen und Maßnahmen ergreifen. 2 kommen in Frage:
1. Sie stellen Ihre Fanseite auf „nicht sichtbar“
Sie können die Fanseite Ihres Vereins zumindest für eine gewisse Zeit auf „nicht sichtbar“ schalten. Gehen Sie wie folgt vor:
- 1. Klicken Sie bei Ihrer Fanseite auf „Einstellungen“. Hier erscheint „Sichtbarkeit der Seite“.
- 2. Dann klicken Sie auf „Seite nicht veröffentlicht“. Dies können Sie später wieder rückgängig machen und die Seite wieder auf „sichtbar“ schalten.
PRAXISTIPP | Ein komplettes Löschen ist nicht erforderlich und hätte zur Folge, dass alle Ihre „Likes“ weg wären. Den „Nicht-Sichtbarkeits-Status“ der Seite können Sie erst einmal so lange beibehalten, bis ggf. Facebook eine Lösung für eine Datenschutzerklärung für Fanseiten bereitstellt oder das BVerwG seine Entscheidung trifft. Beides kann lange dauern. |
Allgemein wird erwartet, dass Facebook entsprechend der Regelung in Art. 26 Abs. 1 S. 2 DSGVO mit den Betreibern von Fanseiten in einer Vereinbarung festlegt, wer welche Verpflichtung gemäß DSGVO erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Art. 13 und 14 nachkommt. Ob Facebook diesen Service dann noch kostenlos anbieten wird, steht nicht fest.
2. Sie halten die Fanseite live und ergreifen Zusatzmaßnahmen
Halten Sie die Seite weiter sichtbar, kann ggf. die Datenschutzbehörde die Löschung der Seite verlangen. VB bezweifelt aber, dass Datenschutzbehörden nun massenhaft versuchen werden, Fanseiten von Vereinen oder kleinen Unternehmen auf Facebook löschen zu lassen. Deren „Feind“ ist und bleibt Facebook selbst.
Den Umweg über die Wirtschaftsakademie hatte die Behörde gewählt, weil es für sie einfacher war, diese zur Löschung aufzufordern, als Facebook zu einem datenschutzkonformen Verhalten zu bewegen. Da der EuGH auch klargemacht hat, dass bei mehreren Verantwortlichen nicht alle im selben Maß zur Verantwortung gezogen werden können, dürfte es ermessensfehlerhaft sein, wenn die Behörde anordnet, Fanseiten zu löschen. Selbst eine Abmahnung dürfte im Vereinsbereich nicht zu erwarten sein, da der Datenschutz eher persönlichkeits- als wettbewerbsrelevante Aspekte betrifft.
PRAXISTIPP | Wenn Sie die Seite weiter sichtbar lassen wollen, sollten Sie aber auf jeden Fall einen entsprechenden Datenschutzhinweis anbringen. Auch darauf hat die Konferenz der unabhängigen Datenschutzbehörden hingewiesen.
|
Musterforumlierung / Datenschutzerklärung Cookies |
Datenschutzerklärung Der Musterverein e. V. nutzt Facebook für seine Fanseite, auf der wir über die Aktivitäten des Vereins informieren. Damit nutzen wir die Seite und die durch Facebook gespeicherten Daten auch zu Werbezwecken für unseren Verein. Der Musterverein e. V. ist im Vereinsregister des Amtsgerichts Musterhausen unter der Nummer ... eingetragen. Vorstand im Sinne des § 26 BGB ist ... ... und ... .... Die Anschrift des Vereins ist Musterstraße 1 in 23456 Musterhausen.
Facebook nutzt sog. Cookies, die durch Ihren Browser automatisch erstellt werden und auf Ihrem Endgerät (Computer, Laptop, Smartphone o. ä.) gespeichert werden. In diesem Cookie werden durch Ihr Endgerät Informationen an Facebook übermittelt. Wir erfahren dadurch nicht Ihre Identität. Weitere Informationen über den Einsatz von Cookies erfahren Sie in der Facebook-Cookie-Richtlinie, die Sie hier https://www.facebook.com/policies/cookies/ abrufen können. Welche Daten konkret von Facebook erfasst werden, können Sie in der Datenrichtlinie von Facebook einsehen: https://www.facebook.com/policy |
FAZIT | Das wichtige Thema Datenschutz scheint wieder mal auf den Rücken der Kleinen ausgetragen zu werden. Wenn Sie auf Ihrer Fanseite aber eine Datenschutzerklärung aufnehmen, dürften Sie die Gefahr eines Bußgelds vorerst minimiert haben. Das EuGH-Urteil erging „nur“ zu Facebook, dürfte jedoch auch auf die anderen Social Media Kanäle, wie Twitter, Instagram, Pinterest u. ä. anwendbar sein. Nehmen Sie deshalb auch da eine Datenschutzerklärung auf. |