Skip to main content

Datenschutz-Mitverantwortung für Organisationen, die Facebook einbinden

Presseinformation Forum Privatheit

2. Juli 2018


Rechtsexperten des Forschungsverbunds „Forum Privatheit“ beleuchten die langfristigen Auswirkungen des EuGH-Urteils zu Facebook-Fanpages: Neben sozialen Netzwerken gehören auch Suchmaschinen, Messenger- und Kurznachrichten-Dienste auf den Prüfstand.

 Der Europäische Gerichtshof (EuGH) hatte am 5.6.2018 sein Urteil im Rechtsstreit zwischen dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) und der Wirtschaftsakademie Schleswig-Holstein GmbH verkündet. Gegenstand des Rechtsstreits war eine Anordnung des ULD an die Wirtschaftsakademie, ihre Facebook-Fanpage zu deaktivieren, weil Facebook personenbezogene Daten von Besuchern dieser Fanpage unzulässig erhoben und zu Besucherstatistiken verarbeitet hat.

Fraglich war, ob neben Facebook auch die Wirtschaftsakademie als Betreiber der Fanpage als Verantwortlicher für die Datenverarbeitung im Sinne des Datenschutzrechts zu werten ist. Dies bejahte das Gericht. Die Inanspruchnahme von Facebook als Plattform zur Bereitstellung der Fanpage befreit den Betreiber nicht von datenschutzrechtlichen Pflichten. Ob ein Zugang des Fanpage-Betreibers zu den gesammelten personenbezogenen Daten des sozialen Netzwerks besteht, ist dabei unerheblich.

Auswirkungen des Urteils

„Das Urteil des EuGH hat große Auswirkungen auf Unternehmen, Behörden und sonstige Organisationen, die Facebook-Angebote für ihre Zwecke nutzen. Sie werden damit mitverantwortlich, für alle damit in Zusammenhang stehenden -Datenverarbeitungspraktiken von Facebook. Da sie diese nicht beeinflussen können, aber für sie verantwortlich sind, können sie Facebook nicht mehr ohne Risiko nutzen“, konstatiert Prof. Dr. Alexander Roßnagel, Sprecher des „Forum Privatheit“ und Rechtswissenschaftler der Universität Kassel.

Der EuGH vertritt in seinem Urteil eine weite Auslegung des Begriffs des datenschutzrechtlich Verantwortlichen. Dessen Verantwortung soll einen größtmöglichen Schutz Betroffener bei der Verarbeitung ihrer personenbezogenen Daten gewährleisten. Daher ist für die Datenverarbeitung nicht nur das soziale Netzwerk, sondern auch die Organisation verantwortlich, die Facebook für ihre Zwecke nutzt (wie in dem entschiedenen Fall für eine Fanpage). Dies gilt in besonderem Maße, wenn Dritte, die selbst nicht Mitglieder bei Facebook sind, veranlasst werden, Facebook zu nutzen. Die Organisation  und Facebook sind beide gemeinsam verantwortlich, da sie jeweils über die Zwecke und Mittel der Verarbeitung personenbezogener Daten der Betroffenen entscheiden. Der Betreiber der Fanpage kann sich gegenüber den Betroffenen nicht auf den Standpunkt zurückziehen, selbst lediglich Nutzer der von Facebook angebotenen Dienstleistung zu sein.

Eine Organisation, die Facebook-Angebote für ihre Zwecke nutzt, treffen damit alle Pflichten, die ein datenschutzrechtlich Verantwortlicher zu erfüllen hat. Nach der Datenschutz-Grundverordnung müssen gemeinsam Verantwortliche in transparenter Form vertraglich festlegen, welche Funktionen sie jeweils übernehmen und wie sie ihre Datenschutzpflichten erfüllen. Insbesondere können auch der Organisation gegenüber Betroffenenrechte geltend gemacht werden. „Damit wird die Stellung der betroffenen Nutzenden verbessert. Außerdem hat der EuGH mit dem Urteil unmissverständlich klargestellt, dass es auch in diesen Fällen keine Lücke in der Verantwortlichkeit für die Verarbeitung personenbezogener Daten gibt“, so Marit Hansen, Landesbeauftragte für Datenschutz Schleswig-Holstein.

Diese gemeinsame Verantwortlichkeit wirkt sich auch auf die Haftung aus. So haftet nach der Datenschutz-Grundverordnung jeder an einer Datenverarbeitung beteiligte Verantwortliche für den Schaden, der durch eine rechtswidrige Verarbeitung verursacht wurde. Eine Haftungsbefreiung ist nur möglich, wenn aktiv nachgewiesen wird, dass eine Verantwortlichkeit für den Umstand, der den Schaden zur Folge hatte, in keinerlei Hinsicht gegeben ist. Damit besteht eine Verschuldensvermutung bezogen auf alle gemeinsam Verantwortlichen – die Beweislast liegt bei ihnen.

Anordnungen einer Datenschutzaufsichtsbehörde können sich dabei sowohl gegen die Organisation, die Facebook für ihre Zwecke nutzt, als auch gegen den Betreiber des sozialen Netzwerks richten. Das gilt letztlich auch für die unter Umständen drastischen Sanktionen, die Aufsichtsbehörden nach der Datenschutz-Grundverordnung verhängen können.

Schlussfolgerungen für die Praxis

„Die Klarstellung durch den EuGH ist im Sinn eines effektiven Datenschutzes zu begrüßen. Wer Angebote sozialer Netzwerke in seine Organisationskommunikation einbindet, trägt in jedem Fall die Mitverantwortung für jede durch ihn veranlasste Datenverarbeitung. Wer kein Risiko eingehen will, muss sich entweder sicher sein, dass das soziale Netzwerk mit diesen Datenverarbeitungspraktiken keine Verstöße gegen die Datenschutz-Grundverordnung begeht oder diese Angebote meiden“, resümiert Roßnagel. „Ebenso wie soziale Netzwerke gehören auch Angebote wie Suchmaschinen, Messenger- und Kurznachrichten-Dienste auf den Prüfstand.“


Im Forum Privatheit setzen sich Expertinnen und Experten aus sieben wissenschaftlichen Institutionen interdisziplinär, kritisch und unabhängig mit Fragestellungen zum Schutz der Privatheit auseinander. Das Projekt wird vom Fraunhofer ISI koordiniert. Weitere Partner sind das Fraunhofer SIT, die Universität Duisburg-Essen, das Wissenschaftliche Zentrum für Informationstechnik-Gestaltung (ITeG) der Universität Kassel, die Eberhard Karls Universität Tübingen, die Ludwig-Maximilians-Universität München sowie das Unabhängige Landes­zentrum für Datenschutz Schleswig-Holstein. Das BMBF fördert das Forum Privatheit, um den öffentlichen Diskurs zu den Themen Privatheit und Datenschutz anzuregen.

 

Sprecher „Forum Privatheit“:

Prof. Dr. Alexander Roßnagel
Universität Kassel
Projektgruppe verfassungsverträgliche Technikgestaltung (provet) am
Wissenschaftlichen Zentrum für Informationstechnik-Gestaltung (ITeG)
Tel: 0561/804-3130 oder 2874
E-Mail: a.rossnagel@uni-kassel.de

Projektkoordination „Forum Privatheit“:
Dr. Michael Friedewald
Fraunhofer-Institut für System- und Innovationsforschung ISI
Competence Center Neue Technologien
Tel.: 0721 6809-146
E-Mail: Michael.Friedewald@isi.fraunhofer.de

Presse und Kommunikation „Forum Privatheit“:
Barbara Ferrarese, M.A.
Fraunhofer-Institut für System- und Innovationsforschung ISI
Tel.: 0721 6809-678
E-Mail: presse@forum-privatheit.de

Forum „Privatheit und selbstbestimmtes Leben in der digitalen Welt“
https://www.forum-privatheit.de/forum-privatheit-de/index.php
Twitter: @ForumPrivatheit