Wer Cookies auf einer Webseite verwendet, muss dies dem Nutzer Nutzers mittels Hinweis bekanntgeben, noch bevor der erste Cookie gesetzt wird. Der Hinweis muss Informationen über die gesetzten Cookies beinhalten, sowie einen Link zur Datenschutzerklärung und einen Einwilligungsbutton.

Ob der Betreiber einer sog. Fanpage auf Facebook, der Cookies einsetzt ohne darauf hinzuweisen, seine Informationspflichten verletzt hat und neben Facebook datenschutzrechtlich verantwortlich ist, hatte aktuell der EuGH zu entscheiden (Urt. v. 05.06.2018).

Was war geschehen?

Dem Urteil liegt ein Rechtsstreit zwischen der Wirtschaftsakademie Schleswig-Holstein und dem Landeszentrum für Datenschutz Schleswig-Holstein zu Grunde. Die Akademie betreibt eine Fanpage auf Facebook zu Werbezwecken. Mit einer Fanpage kann sich der Betreiber nach der Registrierung bei Facebook den übrigen Facebook-Nutzern oder auch externen Seitenbesuchern präsentieren oder Beiträge veröffentlichen. Facebook kann anonymisierte statistische Daten über die Nutzer dieser Seite einsehen.

Das Landeszentrum für Datenschutz war der Auffassung, dass die Wirtschaftsakademie ihre Fanpage auf Facebook deaktivieren solle. Ebenso wenig wie Facebook habe die Akademie darauf hingewiesen, dass auf der Fanpage mittels Cookies personenbezogene Daten der Nutzer gespeichert und verarbeitet werden. Dadurch habe sie Informationspflichten verletzt und einen Datenschutzrechtsverstoß begangen. Als „verantwortliche Stelle“ müsse sie die Fanpage daher abschalten.

Die Wirtschaftsakadamie war der Ansicht, dass ausschließlich Facebook gem. § 3 Abs. 7 BDSG (a.F.)  für die Verarbeitung personenbezogener Daten auf der Plattform verantwortlich sei und sie ihre Fanpage daher nicht abschalten müsse.

Dem EuGH wurde die Frage, ob der Betreiber einer der Fanpage als „Verantwortlicher“ gilt und im Falle eines Datenschutzrechtsverstoßes (mit-)haftet, zur Auslegung vorgelegt.

Die Entscheidung

Die Richter in Luxemburg gaben dem Landeszentrum für Datenschutz Recht. Der Betreiber einer Fanpage auf einem Sozialen Netzwerk sei ebenso wie das Soziale Netzwerk verantwortlich, falls gegen geltendes Datenschutzrecht verstoßen werde. Der Begriff des „Verantwortlichen“ sei weit auszulegen. Verantwortlicher im Sinne der EU- Datenschutzrichtlinie 95/46 sei, wer allein oder gemeinsam mit anderen über Zwecke und Mittel der Datenverarbeitung entscheidet. Aus der Formulierung „allein oder gemeinsam mit anderen“ schloss der EuGH, dass nicht zwingend eine einzige Stelle, sondern auch mehrere Akteure an der Datenverarbeitung beteiligt sein können, wenn sie einen Beitrag liefern.

Um einen wirksamen und umfassenden Schutz der betroffenen Personen sicherzustellen, müsse daher auch der Betreiber der Fanpage in die Mitverantwortung genommen werden, die ab dem Zeitpunkt beginne, ab dem mittels Filtern Kriterien für die Erhebung der Statistiken festleget würden und Kategorien von Personen bezeichnet würden, deren personenbezogene Daten von Facebook ausgewertet werden sollen. Insbesondere demografische Angaben, u.a. zu Altersbereichen, Geschlecht, der beruflichen Situation, Lebensstil und Interessen könnten für spezielle Werbeaktionen und zielgerichtete Informationen verwendet werden.

Ohne Hinweis hierauf liegt ein Verstoß gegen Informationspflichten vor, für deren auch der Fanpage-Betreiber verantwortlich sei.

Fazit

Die Entscheidung des EuGH zur Auslegung der Datenschutz-Richtlinie (EU-RL 95/46) erging nach altem Recht zum Bundesdatenschutzgesetz (BDSG). Nach der seit kurzem europaweit geltenden DSGVO unterscheidet sich der Begriff des „Verantwortlichen“ nicht wesentlich von dem alten Begriff der „verantwortlichen Stelle“ im BDSG, so dass die Entscheidung des Europäischen Gerichtshofs auch Auswirkung auf die aktuelle Rechtslage haben dürfte.

Online-Händler, die eine Fanpage auf einem Sozialen Netzwerk zu geschäftlichen Zwecken eingerichtet haben, müssen darauf achten, diese datenschutzkonform zu betreiben. Ein Hinweis auf den Einsatz von Cookies muss erfolgen. Ein Verstoß gegen Informationspflichten kann nach der DSGVO zu aufsichtsbehördlichen Anordnungen oder wettbewerbsrechtlichen Abmahnungen führen.