Bild von Gerd Altmann auf Pixabay

 

Es gab in letzten Wochen gleich zwei höchstgerichtliche Entscheidungen, die sich mit dem Thema Datenschutz durch Facebook und die Verantwortlichkeit von Händlern auseinandersetzen, die die Techniken von Facebook zur Bewerbung eigener Produkte verwenden. Im Urteil des BVerwG geht es um die alte Frage "Fanpages" (heute Unternehmensseiten). Der EuGH äußerte sich zu den Social-PlugIns, die allerdings aufgrund der rechtlichen Probleme ohnehin durch Händler immer seltener genutzt werden.

A. Bundesverwaltungsgerichtshofs vom 11. September 2019 - BVerwG 6 C 15.18

I. Hintergrund der Entscheidung

Vor einigen Jahren wurde eine in Kiel ansässige Bildungseinrichtung von der Datenschutzbehörde Schleswig-Holsteins dazu verpflichtet, die von ihr auf Facebook betriebene Fanpage zu deaktivieren. Laut der Behörde habe Facebook bei jedem Aufruf der Fanpage zwar Zugriff auf personenbezogene Daten der Internetnutzer. Die Fanpagebetreiber hätten jedoch entgegen den Vorschriften des damals geltenden Telemediengesetzes (TMG) ihre Nutzer nicht über die Art, den Umfang sowie die Zwecke dieser Datenerhebung für Werbung oder Marktforschung informiert und sie nicht darauf hingewiesen, dass ein Widerspruchsrecht gegen die Erstellung eines Nutzungsprofils bestehe. Daraufhin legte die Betreiberin Widerspruch ein, woraufhin der Fall gerichtlich über mehrere Instanzen behandelt wurde.

II. Die Entscheidung der Gerichte

Es musste somit gerichtlich geklärt werden, ob eine auf sozialen Netzwerken erstellte Fanpage vom Betreiber deaktiviert werden muss, wenn die Behörde Verstöße gegen die geltenden Datenschutzbestimmungen feststellt und dies anordnet. In den Vorinstanzen wurde zugunsten der Fanpage Betreiberin entschieden, dass diese keinen Einfluss auf die Datenverarbeitung von Facebook hätten und somit auch nicht für einen etwaigen Verstoß gegen die geltenden nationalen Datenschutzbestimmungen verantwortlich gemacht werden könnten. Schlussendlich entschied das Bundesverwaltungsgericht in Leipzig im Einklang mit dem EuGH, dass die Datenschutzbehörde das Recht habe, eine Deaktivierung der Fanpage durch deren Betreiber anzuordnen, sollte sie einen Verstoß gegen die geltenden Datenschutzbestimmungen feststellen. Dies sei selbst dann geboten, wenn die Datenverarbeitung ausschließlich durch Facebook erfolge, da die betroffene Behörde bei der Wahl eines Verantwortlichen grundsätzlich frei sein müsse, um die geltenden datenschutzrechtlichen Vorgaben effektiv durchsetzen zu können. Es sei ihr aufgrund realer und rechtlicher Unsicherheiten nicht zuzumuten, sich mit einem internationalen Konzern als alleinigen Verantwortlichen auseinanderzusetzen. Vor allem da Facebook gegenüber der Datenschutzbehörde keinerlei Kooperationsbereitschaft signalisiert habe. Somit sei die Betreiberin der Fanpage für deren Datenverarbeitung zumindest mitverantwortlich. Die Frage danach, ob die betreffenden Datenverarbeitungsvorgänge überhaupt rechtswidrig seien, konnte das Gericht jedoch nicht abschließend klären und verwies insoweit die Sache an die Vorinstanz.

III. Bewertung des Urteils

Obwohl der Sachverhalt vor dem Inkrafttreten der DSGVO spielte, kann die rechtliche Wertung des Bundesverwaltungsgerichts auf die heutige Rechtslage übertragen werden. Für ein betroffenes Unternehmen bedeutet dies, dass es vor der Erstellung einer Facebook-Fanpage stets sichergehen muss, dass deren Betrieb nicht gegen die geltenden Datenschutzbestimmungen verstößt. Eine Möglichkeit dies zu verhindern wäre, dass Facebook die Fanpages zu einer "tracking-freien Zone" erklärt und somit keine Datenerhebung bei den Besuchern stattfindet. Diese Lösung ist für Facebook jedoch denkbar unattraktiv, da das Geschäftsmodell des Konzerns gerade auf der Auswertung solcher Daten basiert.

Denkbar wäre es auch, dass die Nutzer durch Facebook oder den Fanpage-Betreiber in einer gesonderten Erklärung auf ihre Rechte und das Ausmaß der Datenerhebung hingewiesen werden. Welche Schwierigkeiten dieses bereitet, hierüber haben wir bereits berichtet (Neues von der Datenschutzkonferenz zu Facebook-Unternehmensseiten!)

Die Datenschützer begrüßten dagegen die Entscheidung des BVerwG. Sie sei ein wichtiger Schritt in Richtung Transparenz und ausreichenden Schutz persönlicher Daten, da es Behörden nun möglich sei, Verstöße gegen die aktuellen Datenschutzbestimmungen effektiv zu beseitigen, ohne sich mit dem Betreiber eines globalen sozialen Netzwerks auseinandersetzen zu müssen.

Viele Stimmen in der Wirtschaft bezeichnen das Urteil hingegen als unverhältnismäßig, da Unternehmen bei der Kundenpflege heutzutage vor allem auf die sozialen Netzwerke angewiesen seien. Es gilt bei diesen Entscheidungen immer zu bedenken, dass diese sich grundsätzlich auf alle Social-Media-Plattformen übertragen lassen. Gleichzeitig habe die deutsche Wirtschaft keinerlei Handhabe, gegen die Datenschutzpolitik eines internationalen Großkonzerns vorzugehen. Somit seien viele Unternehmen unsicher darüber, ob eine Fanpage aufgrund der aktuellen Rechtslage überhaupt noch Sinn mache. Vielmehr bewirke die Gerichtsentscheidung, dass zukünftige Konflikte der Behörden mit Facebook und Co. aufgrund des aktuellen Urteils von nun an auf dem Rücken der Händler ausgetragen werden, um so einen mittelbaren Druck auf das Unternehmen auszuüben.

B. EuGH Urteil vom 29.07.2019 - C-40/17

Die Linie der Rechtsprechung nimmt jedoch klare Züge an. Auch in Sachen PlugIns, einer weiteren Tracking-Technik von Facebook hat der EuGH nunmehr Leitlinien aufgestellt, die vor allem die Händler verpflichten und sie in die unangenehme Situation bringen, sich entscheiden zu müssen, ob sie überhaupt noch PlugIns anwenden. Derzeit sieht man die Verknüpfungen von der Händlerseite zum Facebook-Account des Kunden auch nur noch selten und die Händler sind dazu übergegangen, ihre eigenen Facebook-Seiten zu verlinken. Dass dieses auch Probleme birgt, haben wir soeben erörtert.

Das Urteil des EuGH ist sehr lang, weshalb an dieser Stelle nur auf die wesentlichen Thesen eingegangen wird.

I.Verantwortlichkeit des "Einbindenden" für die Datenübermittlung von dem User an einen Dritten:

Sprich: Inwieweit ist der Händler für die Datenübermittlung verantwortlich, die zwischen seinen Kunden und Facebook stattfindet, wenn der Kunde auf der Händlerseite auf einen Facebook-Like-Button klickt.

Hierzu äußerte sich der EuGH dahingehend, dass davon auszugehen sei, dass die Einbindung des PlugIns der Optimierung der Werbung der Händlerprodukte dient. Dies ist sicherlich richtig. Durch das Betätigen des PlugIns wird der Facebook-Account des Kunden geöffnet und dort in der sogenannten "Chronik" wiedergegeben, dass der Kunde das Produkt des Händlers mag. Durch die Verknüpfung wiederum mit Freunden und der Teilenfunktion wird die Produktwerbung innerhalb der Community weiter gestreut. Bei öffentlichen Accounts wird gilt dieses sogar www-weit.

Der EuGH sieht es dann so, dass der Händler – auch wenn er nicht weiß, was mit den Daten geschieht - zumindest stillschweigend sein Einverständnis zum Datentransfer erteilt, um eben den Werbevorteil zu erlange. Diese Auslegung mag teilweise gewagt sein, da dem Händler oft nicht bewusst sein wird, wie weit die datenschutzrechtlichen Folgen tatsächlich gehen, vor allem nachdem Facebook, aber auch andere Social-Media-Anbieter ihre Algorhytmen als Geschäftsgeheimnis eben "geheim" halten.

Daraus schließt der EuGH eine sehr hohe Händlerverantwortlichkeit, vor allem, da auch bekannt sei, dass auch Daten von nicht Facebook-Mitgliedern über die PlugIns erhoben werden.

II. Folgen für den Webseitenbetreiber:

Der EuGH geht von einer Verantwortlichkeit des Webseitenbetreibers aus, solange und soweit er Einfluss auf diese hat. Das wären auch Sicht des EuGH durch durch die Einbindung des PlugIns das "Erheben der Daten" und die "Weitergabe und Übermittlung". Der EuGH geht ferner davon aus, dass es dem erkennenden Gericht obliegt, festzustellen, ob ein berechtigtes Interesse die Datenerhebung ohne Einwilligung des Kunden sowohl auf Seiten des Händlers als auch auf Seiten Facebook bestände. Wäre dieses zu verneinen, wäre das Einbinden der PlugIns nur unter einer "aufgeklärten Einwilligung" des Kunden möglich (wie es die Kommission ohnehin vertritt).

III. Kritik am Urteil

Kritik wird vor allem (vgl. Schleifer in CR 9/12, ab Seite 574) daran geübt, dass der EuGH sich mit der gängigen Doppel-Klick-Methode oder der Hyperlink-Lösung von Heise nicht auseinandersetzt. Bei beiden Methoden müssen die PlugIns "händisch" vom Kunden aktiviert werden, bevor die eigentliche Datenübermittlung anfängt. Vertreten wird, dass durch diesen Prozess der "Rechtsbeziehung" unmittelbar zwischen dem Kunden und Facebook begründet würde, womit der Händler aus der Verantwortung entlassen wird.

Diese Lösung vermag nicht vollkommen zu überzeugen, denn wie auch in unserer Beratung immer wieder angemerkt wird, käme es auf die Einwilligung an, so wäre der Händler trotz Doppelklicklösung oder Hyperlinklösung nicht in der Lage, den Kunden über die Datenverarbeitung aufzuklären, weil Facebook nicht die hierfür notwendigen Informationen zur Verfügung stellt.

Nur der Vollständigkeit halber sei darauf verweisen, dass die gängigen Klauseln in Datenschutzbestimmungen zu PlugIns nicht mehr als "Good Will" sind. Rechtskonform wird der Einsatz der PlugIns dadurch nicht.

Näheres finden Sie auch in unserem E-Paper zum Thema: Social Media im Unternehmen.

C. Resümee:

Weiterhin ist der Einsatz der Facebook-Techniken und damit auch der weiteren Social-Media-Anbieter ein heikles datenschutzrechtliches Thema. Die Tendenz der Rechtsprechung geht dahin, dass eine gemeinsame Verantwortlichkeit von Händlern und Facebook statuiert wird.

Dies sorgt dafür, dass Händler mit akribischen Aufklärungspflichten belastet werden, die sie nicht leisten können. Letztlich sind sie auf die Mithilfe von Facebook (oder entsprechend anderer Anbieter) angewiesen. Die Social-Media-Anbieter pokern aber auch mit dem Recht und versuchen natürlich so wenig wie nur möglich über ihre Datenverarbeitung preiszugeben, da diese das vornehmlich "Kapital" der Konzerne darstellt.

Es besteht daher die Gefahr, dass auch in Zukunft Unstimmigkeiten zwischen Facebook und den Aufsichtsbehörden auf den Rücken der Händler ausgetragen werden.

Der Konflikt wird letztlich nur durch eine Ausbesserung der Gesetzeslage zu lösen sein. Und eventuell wird man dabei auch von einigen Vorstellungen der Datenschützer abrücken müssen, um die gesetzliche Lage an der Realität anzupassen. Die Marketing-Techniken im Netz kommen ohne eine gewisse Datenerhebung nicht aus, die eben auch automatisiert geschieht, und letztlich ist dieses den meisten Usern auch durchaus bekannt und wird wegen der Vorteile, die Social-Media-Communities meist kostenlos bieten, durchaus in Kauf genommen.

Es bleibt abzuwarten, ob es hier irgendwann ein Umdenken geben wird, vor allem wenn immer mehr Digital Natives über solche Fragen der Legislativen zu entscheiden haben.

 

 

 

 

Fußnote: Vielen Dank an unsere Helfer, ohne deren Vorarbeit der ausführliche Artikel nicht möglich gewesen wäre: Herrn Vladimir Vikhliaev und Herrn Julian Sandner.