Der Europäische Gerichtshof (EuGH) hat einer Klage des Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) Recht gegeben. Der Rechtsstreit begann vor knapp sieben Jahren, als die Datenschützer der Wirtschaftsakademie Schleswig-Holstein, einem privatrechtlichen Bildungsunternehmen, das Betreiben seiner Facebook-Fanpage untersagte, weil weder die Akademie noch der Datenkonzern die Besucher*innen über die Verwendung ihrer personenbezogenen Daten für Werbezwecke aufklärte. Anfang 2016 hatte das Bundesverwaltungsgericht die Causa mit sechs Vorlagefragen an den Europäischen Gerichtshof (EuGH) weitergeben. Im Kern ging es dabei um die Frage, ob Unternehmen, die eine Facebook-Fanpage betreiben, für die Verbreitung von Daten ihrer Besucher*innen verantwortlich sind.

Der Generalanwalt hatte dies in seinem Schlussantrag vom vergangenen Oktober bereits bejaht. Das Gericht leiste dieser Empfehlung mit seinem heutigen Urteil Folge und nimmt damit Seitenbetreiber auf Facebook in die datenschutzrechtliche Pflicht:

Der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, kann diesen nämlich nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien.

Die Landesdatenschutzbeauftragte für Schleswig-Holstein, Marit Hansen, erklärt, dass nun besonders Facebook in der Pflicht sei, Seitenbetreiber zukünftig besser über ihre Datenschutzpflichten zu informieren. Sie begrüßt das Urteil und fordert den Konzern zu mehr Transparenz auf:

Die Entscheidung hat meine Einschätzung bestätigt, dass es keine Verantwortungslücken im Datenschutz geben kann. Konkret bedeutet dies nun für alle Fanpage-Betreiber, dass zwischen ihnen und Facebook geklärt sein muss, welche Datenschutzpflichten sie selbst zu erfüllen haben und für welche Facebook zuständig ist. Dies gilt insbesondere für die Informationspflichten: Ohne Transparenz, wie die Daten über alle Nutzenden – d. h. Mitglieder und Nicht-Mitglieder von Facebook – verarbeitet werden, funktioniert dies nicht. Bei den Betroffenenrechten, z. B. dem Recht auf Auskunft oder Berichtigung, gilt: Jeder kann diese Rechte sowohl gegenüber dem Fanpage-Betreiber als auch gegenüber Facebook direkt geltend machen.

Die Industrie- und Handelskammer Schleswig-Holstein, die die Wirtschaftsakademie in dem Verfahren unterstützt hat, interpretiert das Urteil derweil etwas anders. Sie sieht die Hauptverantwortung weiter bei Facebook: „Aus Sicht des EuGH ist für die Datenverarbeitung in erster Linie Facebook verantwortlich, während die Betreiber von Fanpages lediglich Beteiligte sind“, erklärt ihr Jurist Marcus Schween. „Gegen einzelne Fanpagebetreiber vorzugehen ist daher unverhältnismäßig und rechtswidrig.“

Wie die vom Gerichtshof festgestellte geteilte Verantwortung sich in der Praxis darstellen wird, bleibt abzuwarten.