In seinem Urteil vom 5. Juni stellte der Europäische Gerichtshof fest, dass der Betreiber einer Facebook-Fanpage gemeinsam mit Facebook als für die Datenverarbeitung verantwortlich anzusehen sei (Rechtssache C‑210/16). Ein solcher Betreiber sei nämlich durch die von ihm vorgenommene Parametrierung (u.a. entsprechend seinem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten) an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt.
Gefahr liegt in der Nutzung der dazugehörigen Dienstleistungen
Der Gerichtshof wies insoweit darauf hin, dass der Fanpage-Betreiber insbesondere demografische Daten über seine Zielgruppe – und damit die Verarbeitung dieser Daten – verlangen kann (u.a. Tendenzen in den Bereichen Alter, Geschlecht, Beziehungsstatus und berufliche Situation), Informationen über den Lebensstil und die Interessen seiner Zielgruppe (einschließlich Informationen über die Käufe und das Online-Kaufverhalten der Besucher seiner Seite sowie über die Kategorien von Waren oder Dienstleistungen, die sie am meisten interessieren) und geografische Daten, die ihn darüber informieren, wo spezielle Werbeaktionen durchzuführen oder Veranstaltungen zu organisieren sind und ihm ganz allgemein ermöglichen, sein Informationsangebot so zielgerichtet wie möglich zu gestalten.
Nach Ansicht des Gerichtshofs kann der Umstand, dass der Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, diesen nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien.
Fazit: Wer eine Seite bei Facebook betreibt, haftet für Facebooks Datenschutzverstöße mit.
Auch die DSK hat sich dazu bereits geäußert
Nur einen Tag nach Urteilsverkündung hat die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) in einer Entschließung (siehe →, PDF)) veröffentlicht, was ab sofort vom Betreiber einer Facebook-Fanpage beachtet werden muss:
- Wer eine Fanpage besucht, muss transparent und in verständlicher Form darüber informiert werden, welche Daten zu welchen Zwecken durch Facebook und die Fanpage-Betreiber verarbeitet werden. Dies gilt sowohl für Personen, die bei Facebook registriert sind, als auch für nicht registrierte Besucherinnen und Besucher des Netzwerks.
- Betreiber von Fanpages sollten sich selbst versichern, dass Facebook ihnen die Informationen zur Verfügung stellt, die zur Erfüllung der genannten Informationspflichten benötigt werden.
- Soweit Facebook Besucherinnen und Besucher einer Fanpage durch Erhebung personenbezogener Daten trackt, sei es durch den Einsatz von Cookies oder vergleichbarer Techniken oder durch die Speicherung der IP-Adresse, ist grundsätzlich eine Einwilligung der Nutzenden erforderlich, die die Anforderung der DS-GVO erfüllt.
- Für die Bereiche der gemeinsamen Verantwortung von Facebook und Fanpage-Betreibern ist in einer Vereinbarung festzulegen, wer von ihnen welche Verpflichtung der DS-GVO erfüllt. Diese Vereinbarung muss in wesentlichen Punkten den Betroffenen zur Verfügung gestellt werden, damit diese ihre Betroffenenrechte wahrnehmen können.
(Quelle: Urteilsveröffentlichung bei Curia → Link, Pressemitteilung Nr. 81/18. Luxemburg, den 5. Juni 2018. Urteil in der Rechtssache C-210/16 → PDF, Entschließung der DSK, 06.06.2018, )