Firmen, die eine Facebookseite betreiben - eine sogenannte Fanpage -, sind gemeinsam mit Facebook für die Einhaltung des Datenschutzes auf dieser Seite verantwortlich. Das hat der Europäische Gerichtshof (EuGH) entschieden. Der spezielle Fall könnte Facebook zwingen, Änderungen an allen Fanpages vorzunehmen. Er hat aber auch Folgen für die Betreiber solcher Seiten.

Kern des Rechtsstreits ist die Tatsache, dass Facebook für die Seitenbetreiber eine Reihe von Nutzerdaten erhebt und sie ihnen kostenlos zur Verfügung stellt - ohne, dass die Betreiber das ablehnen könnten. Aber auch ohne die Besucher der Fanpage über die Erhebung und Verarbeitung ihrer Daten zu informieren.

Die Statistiken, die ein Betreiber bekommt, beruhen auf anonymisierten Daten. Aber die Erhebung erfolgt über Cookies, die eindeutige Nutzerkennungen enthalten und zusammen mit den Anmeldedaten für Facebook einen Personenbezug bekommen, also nicht anonym sind.

Um diesen Fall ging es in dem Rechtsstreit

Im Fall der Wirtschaftsakademie Schleswig-Holstein, einem privaten Anbieter von Aus- und Fortbildungen, hat der damalige Datenschutzbeauftragte des Landes, Thilo Weichert, das ausbleibende Informieren der Seitenbesucher als rechtswidrig eingestuft. Er ordnete 2011 an, dass die Wirtschaftsakademie ihre Fanpage deaktivieren muss. Die Akademie setzte sich juristisch zur Wehr, weil sie der Ansicht war, dass sie für die Verarbeitung der personenbezogenen Daten durch Facebook nicht verantwortlich und diese auch nicht in Auftrag gegeben habe.

Der Fall landete letztlich vor dem Bundesverwaltungsgericht. Und das Gericht schaltete den EuGH ein, weil es die zugrundeliegende Frage beantwortet haben wollte: Wer ist im Sinne der damals gültigen EU-Datenschutzrichtlinie für die Datenverarbeitung verantwortlich - nur Facebook als technischer Dienstleister oder auch der Betreiber der Seite selbst, in diesem Fall die Wirtschaftsakademie?

Die Luxemburger Richter kamen zu dem Schluss, "dass der Begriff des 'für die Verarbeitung Verantwortlichen' im Sinne dieser Bestimmung den Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage umfasst", wie es im Urteil  heißt. Es gibt also eine gemeinsame Verantwortung für die Einhaltung des Datenschutzes von Plattformbetreiber und Seitenbetreiber.

Landesdatenschützer werden gestärkt

Die Begründung des EuGH: Wer sich entscheidet, Facebooks Dienstleistungen in Anspruch zu nehmen, zu denen eben auch das Setzen von Cookies und die Erhebung von Nutzerstatistiken gehören, ist auch "an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt".

Zwar wurde die Datenschutzrichtlinie mittlerweile durch die EU-Datenschutzgrundverordnung (DSGVO) abgelöst. Aber die Definition von "Verantwortlicher" ist die gleiche geblieben, weshalb das Bundesverwaltungsgericht die EuGH-Auslegung übertragen könnte. Weniger eindeutig ist allerdings, ob die Erhebung und Verarbeitung der Nutzerdaten in der bisherigen Form auch unter der DSGVO rechtswidrig wäre. Dazu hat der EuGH nichts gesagt.

Zudem urteilten die Richter, dass Weicherts Behörde befugt war, der Wirtschaftsakademie den Betrieb ihrer Fanpage zu untersagen. Und sie durfte auch feststellen, dass Facebook gegen das damals geltende Datenschutzrecht verstoßen hat, obwohl Facebook in ihrem Zuständigkeitsbereich nur eine Niederlassung zum Verkauf von Werbeflächen hat und sich ansonsten auf seinen europäischen Sitz in Irland beruft.

Es droht Ärger - in Form von Bußgeldbescheiden

Wie weitreichend die Folgen des Urteils sein werden, ist schwer abzusehen. Vieles wird davon abhängen, was das Bundesverwaltungsgericht nun mit der Vorlage aus Luxemburg macht. Möglicherweise müssen Facebook und alle Seitenbetreiber künftig die Besucher über die Datenverarbeitung informieren. Sie müssten dann aber wohl auch eine Herausgabe und eine Löschung dieser Daten ermöglichen, wenn Besucher das verlangen. Für beides wären gewisse Umbaumaßnahmen auf Facebooks Seite nötig, und auch die Seitenbetreiber müssten sich darauf einstellen - oder ihre Fanpage schließen.

Andernfalls könnten sie Ärger mit ihren Landesdatenschutzbeauftragten bekommen - in Form von Bußgeldbescheiden. Da sich der EuGH nur auf Facebook bezieht, ist unklar, ob auch andere Plattformbetreiber wie etwa YouTube ihre Nutzeranalysen für kommerzielle Kunden neu gestalten müssen. Ausgeschlossen ist das nicht.

Facebook ist "enttäuscht von dem Urteil", wie ein Unternehmenssprecher mitteilte. "Auch wenn es keine sofortigen Konsequenzen für die Menschen und Firmen hat, die unsere Dienste nutzen, werden wir unseren Partnern helfen, seine Bedeutung zu verstehen."

Marit Hansen, die Nachfolgerin von Thilo Weichert im Unabhängigen Landeszentrum für Datenschutz in Schleswig-Holstein, teilt mit : "Konkret bedeutet dies nun für alle Fanpage-Betreiber, dass zwischen ihnen und Facebook geklärt sein muss, welche Datenschutzpflichten sie selbst zu erfüllen haben und für welche Facebook zuständig ist. Bei den Betroffenenrechten, zum Beispiel dem Recht auf Auskunft oder Berichtigung, gilt: Jeder kann diese Rechte sowohl gegenüber dem Fanpage-Betreiber als auch gegenüber Facebook direkt geltend machen."