Gemeinsam verantwortlich: Interview mit PETER SCHAAR zum Facebook-Urteil des EuGH

Mit Urteil vom 5. Juni 2018 hat der Europäische Gerichtshof (EuGH) entschieden, dass Betreiber sogenannter Facebook-Fanpages gemeinsam mit Facebook die datenschutzrechtliche Verantwortung tragen. Seitdem ist die Verunsicherung unter Fanpage-Betreibern groß. Auch der Verfassungsblog betreibt eine Fanpage, die zur Zeit 6616 Abonnent*innen hat. Wir haben Peter Schaar gefragt, was zu tun ist.

Herr Schaar, in dem Urteil des EuGH ging es um die Facebook-Fanpage der Wirtschaftsakademie Schleswig-Holstein GmbH. Auch der Verfassungsblog betreibt eine solche Fanpage bei Facebook. Müssen wir diese jetzt tatsächlich abschalten?

Zumindest sind Sie einem erheblichen Risiko ausgesetzt, wenn Sie diese Fanpage weiterhin betreiben. Der EuGH hat ja festgestellt, dass die Fanpage-Betreiber mitverantwortlich sind und zwar nicht nur bezüglich dessen, was sie selbst veröffentlichen, sondern auch hinsichtlich der Datenverarbeitungspraktiken von Facebook. Sofern es da keine Vereinbarung gibt zwischen Ihnen und Facebook, in der die Verantwortlichkeiten geregelt sind, sind Sie letztlich auch für Datenschutzverstöße verantwortlich, die bei Facebook festgestellt werden. Insofern ist das ein erhebliches Risiko.

Ist das nicht ungerecht? Schließlich stehen die Fanpage-Betreiber hier einem weltweit agierenden Internet-Giganten gegenüber und haben weder die Möglichkeit, die Datensammlung auszuschalten, noch Einblick, welche Daten genau gesammelt werden.

Ich glaube, der Begriff Gerechtigkeit trifft es hier nicht wirklich. Zum einen geht es ja nicht um die normalen Nutzer von Facebook. Die sind selbstverständlich nicht für die Praktiken des Unternehmens verantwortlich. Aber als Fanpage-Betreiber oder auch als jemand, der andere Dienste von Facebook nutzt, z. B. Gruppen organisiert, hat man ohnehin eine Verantwortung dafür, was auf dieser Plattform stattfindet und welche Daten ggf. auch im Hintergrund vom Plattformbetreiber verarbeitet werden. Insofern ist das nicht viel anders als bei jedem normalen Hosting, das man mit seiner privaten Webseite oder seiner Firmenwebseite in Anspruch. Beim Hosting liegt in der Regel ein Auftragsverarbeitungsverhältnis vor. Derjenige, der seine Webseite hosten lässt, schließt mit dem Hosting-Betreiber eine Auftragsverarbeitungsvereinbarung. Ähnlich ist es auch bei den sogenannten gemeinsam Verantwortlichen. Zu dieser Konstellation enthält ja die Datenschutzgrundverordnung in Art. 26 eine eigene Regelung.

In diese Richtung scheint ja nun u. a. auch die Bundestagsfraktion von Bündnis 90/Die Grünen gehen zu wollen, die Facebook aufgefordert hat, eine solche Vereinbarung abzuschließen und darin die alleinige datenschutzrechtliche Verantwortung zu übernehmen. Ist das das richtige Vorgehen?

Das ist natürlich ein Weg, aber ganz von seiner eigenen Verantwortlichkeit freischreiben kann sich der Fanpage-Betreiber nicht. Letztlich ist es die Obliegenheit aller bei einem gemeinsamen Angebot kooperierenden Parteien, dass die Datenverarbeitung insgesamt rechtskonform abläuft. Die Vereinbarung muss zudem die tatsächlichen Gegebenheiten abbilden. Facebook hat ja nach der EuGH-Entscheidung grundsätzlich seine Bereitschaft erklärt, entsprechende Vereinbarungen mit den Fanpage-Betreibern zu treffen, aber deren Text ist bisher noch nicht bekannt. Hinzu kommt, dass Facebook offensichtlich immer noch bestreitet, dass eine andere als die irische Datenschutzbehörde für die Kontrolle der Verarbeitung durch das Unternehmen zuständig ist. Da hat der Europäische Gerichtshof nun aber etwas Anderes gesagt: Zuständig sind grundsätzlich die Aufsichtbehörden in allen Mitgliedstaaten, in denen das Unternehmen Niederlassungen hat, unabhängig davon, wie die unternehmensinterne Arbeitsteilung organisiert ist.

Würde denn eine solche Vereinbarung überhaupt etwas an dem Außenverhältnis ändern oder würde sie einzig das Binnenverhältnis betreffen zwischen Facebook auf der einen Seite und dem Fanpage-Betreiber auf der anderen Seite?

Eine Vereinbarung würde sowohl das Binnen- als auch das Außenverhältnis betreffen. Der Art. 26 DSGVO sieht ja vor, dass etwa vereinbart werden muss, wie Informationen an die Nutzer gegeben werden, wie und bei wem sie ihre Datenschutzrechte – etwa auf Auskunft oder Löschung – wahrnehmen können. Was passiert z. B. bei einem Datenschutzverstoß, wie wir ihn bei Facebook ja mehrfach hatten? Wer muss dann die Nutzer informieren? Ist das allein Facebook oder müssen die Fanpage-Betreiber und diejenigen, die Facebook-Gruppen organisieren, dies auch tun? Das sind wichtige Fragen, auf die die Antworten nicht ganz leicht fallen.

Die Fanpage-Betreiber könnten sich mit einer entsprechenden Vereinbarung also quasi aus der Verantwortung stehlen, die Fanpage-Besucher würden aber am Ende in die Röhre gucken, weil Sie sich dann doch wieder allein mit Facebook auseinandersetzen müssten?

Die Frage ist nicht allein, ob eine Vereinbarung geschossen wird, sondern ob sie wirksam ist. Ich halte es für eine zentrale Frage, dass sich diejenigen, die mit anderen gemeinsam die Verantwortung übernehmen, sich von der Rechtskonformität des Gesamtprojektes überzeugen müssen. Ich muss mich etwa vergewissern, ähnlich wie bei der Auftragsverarbeitung, dass etwa in einem Social Network die Daten angemessen geschützt sind, Benutzerrechte respektiert werden, dass keine unzulässige Datenverarbeitung stattfindet und die IT-Sicherheit gewährleistet ist. Und da gibt es ja angesichts der Vorfälle im Zusammenhang mit Cambridge Analytica bei Facebook große Zweifel. Etliche Datenschutzbehörden vertreten schon lange die Auffassung, dass die sehr weitreichenden Einwilligungen, die Facebook seinen Nutzern abverlangt, nicht wirksam sind. Angesichts der höheren Anforderungen der Datenschutzgrundverordnung an wirksame Einwilligungen haben sich diese Zweifel sicherlich noch verstärkt.

Apropos Einwilligung: Wäre es denn denkbar, dass die Fanpage-Betreiber auf ihrer jeweiligen Seite eine Information darüber zur Verfügung stellen, welche Daten Facebook ihnen übermittelt, verbunden mit dem Hinweis, dass Facebook, weitere Daten erhebt, die ihnen nicht bekannt sind?

Es wäre erst einmal sehr wichtig, dass die Fanpage-Betreiber diese Informationen bereitstellen, wobei sich die Frage stellt, zu welchem Zeitpunkt diese Information erfolgt. Bisher ist es ja so, dass ich erst einmal auf die Fanpage kommen muss, um diese Informationen abzurufen. Dann ist es aber im Grunde schon zu spät. Das heißt, die Information muss vorher gegeben werden. Dasselbe gilt für Einwilligungen, die die Nutzer erteilen sollen. Auch da muss gewährleistet sein, dass keine Daten gesammelt werden, bevor die entsprechende Einwilligung erteilt wurde. Es könnte Gegenstand einer Vereinbarung mit Facebook sein, diesen Prozess datenschutzkonform zu gestalten: Dass Facebook einen Mechanismus zur Verfügung stellt, der genau das gewährleistet. Das wäre ja technisch ohne Weiteres möglich, allein das geschäftliche Interesse von Facebook geht bisher eher nicht in diese Richtung.

Am Ende sind wir also davon abhängig, ob Facebook reagiert und wie es reagiert und ob es bereit ist, bestimmte Informationen und ggf. Mechanismen zur Verfügung zu stellen. Das erscheint mir unbefriedigend. Ist hier nicht doch noch einmal der europäische Gesetzgeber gefragt? Müsste man die Datenschutzgrundverordnung etwa noch einmal ergänzen um Regelungen, die die gemeinsame datenschutzrechtliche Verantwortung klarer ziehen, also etwa festlegen, wer für welche Risiken einzustehen hat?

Art. 26 DSGVO sieht – anders als das alte Datenschutzrecht – ausdrücklich vor, dass entsprechende Vereinbarungen zu schließen sind. Und auch im Hinblick auf die Punkte, die vereinbart werden müssen, findet sich dort Einiges. Die Frage ist natürlich, in welcher Weise es geregelt wird. Angesichts des starken wirtschaftlichen Ungleichgewichts zwischen Facebook und den Fanpage-Betreibern ist es für letztere bestimmt nicht einfach, auf die Vertragsgestaltung Einfluss zu nehmen. Zudem folgt Facebook einem Geschäftsmodell, das auf dem maximalen Sammeln personenbezogener Daten beruht. Insofern gibt es da keine einfache Lösung. Wenn Facebook seine Geschäftspolitik nicht grundlegend ändert – entsprechende Ankündigungen habe ich von Facebook im Übrigen bisher nicht gehört –, dann wird das ein riesen Problem. Dann riskieren die Fanpage-Betreiber, dass sich die Nutzer bei den Datenschutzbehörden beschweren und diese dann gegen sie vorgehen. Das sollte man nicht unterschätzen angesichts der Befugnisse, die den Aufsichtsbehörden jetzt zur Verfügung stehen. Im Übrigen halte ich wenig davon, jetzt wieder nach dem Gesetzgeber zu rufen. Ich sehe hier vor allem eine Frage der Umsetzung des Rechts. Und dann ist es manchmal so, dass Dinge, die nice to have sind und die sich gerade im Internet eingebürgert haben – etwa das Nutzer-Tracking und -Profiling –, überprüft werden müssen. Die EuGH-Entscheidung basiert zwar ausschließlich auf dem Recht, das bis zum 25. Mai 2018 wirksam war, aber das Problem wird durch die DSGVO ohne Zweifel verschärft.

Rechnen Sie denn mit einem Handeln der Aufsichtsbehörden schon jetzt, d. h. noch bevor der Ausgangsfall durch das Bundesverwaltungsgericht, das dem EuGH ja mehrere Rechtsfragen zur Prüfung vorgelegt hatte, entschieden ist?

Ich kann mir schon vorstellen, dass einzelne Aufsichtsbehörden aus der Entscheidung des höchsten EU-Gerichts Konsequenzen für ihre Prüfpraxis ziehen. Die Antwort des EuGH an das Bundesverwaltungsgericht ist ja sehr eindeutig, sodass an der Entscheidung des Bundesverwaltungsgerichts jetzt gar nicht mehr so viel hängt. Zumal es in der beim Bundesverwaltungsgericht anhängigen Rechtssache ja nur um diesen Einzelfall geht, nämlich die Wirtschaftsakademie Schleswig-Holstein.

Sehen Sie denn die Chance, dass Facebook sich bewegt, wenn Fanpage-Betreiber ihre Seite abschalten?

Ich denke schon, dass Facebook diese Notwendigkeit sieht. Die von Facebook veröffentliche Verlautbarung zeigt jedenfalls, dass das Unternehmen den Handlungsbedarf erkannt hat. Allerdings ist die Ankündigung im Hinblick darauf, was Facebook zu tun beabsichtigt, noch nicht sehr konkret.

Die Fragen stellte Anna v. Notz.

Erklärung in eigener Sache: Der Verfassungsblog nimmt die datenschutzrechtlichen Bedenken, die sich nicht erst seit dem Urteil des EuGH im Hinblick auf Facebook-Fanpages ergeben, ernst. Trotzdem haben wir uns dagegen entschieden, unsere Fanpage abzuschalten. Über sie erreichen wir viele Leser*innen und sind somit mit unseren Themen sichtbar in gesellschaftlichen Debatten, die eben auch über die Plattform Facebook geführt werden. Nicht selten sind dort populistische Stimmen die lautesten. Denen wollen wir den Diskurs aber nicht überlassen. Wir halten daher an unserer Fanpage fest, stellen aber eine aktuelle Datenschutzinformation zur Verfügung: https://verfassungsblog.de/datenschutzerklaerung-facebook-page/

Wir möchten bereits an dieser Stelle darauf hinweisen, dass beim Besuch unserer Fanpage Daten generiert und von Facebook gesammelt werden, ohne dass wir darauf Einfluss nehmen können. Wenn Sie dies vermeiden möchten, raten wir von einem Besuch unserer Fanpage ab.