Als 2011 der Datenschutzbeauftragte Thilo Weichert vom Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein den Betrieb von Facebookseiten für rechtswidrig erklärte und Verbotsverfügungen verschickte, war die Unsicherheit groß.
Denn plötzlich hieß es, die Fanseitenbetreiber würden für Facebooks potentielle Datenschutzverstöße mithaften. Unternehmen wussten daher nicht, wie sicher ihre Investitionen in deren Fanseiten sind und ob sie diese künftig werden aufgeben müssen. Zudem betrifft das Problem auch andere Plattformen wie G+, Pinterest, Twitter oder Youtube.
Einige Unternehmen wehrten sich jedoch gegen die Verbotsverfügungen vor Gericht und bekamen mit dem heutigen Urteil des Verwaltungsgerichts Schleswig-Holstein Recht (Urteil v. 09.10.2013, Az. 8 A 37/12, 8 A 14/ 12 und 8 A 218/11).
Ob damit der Datenschutzstreit rund um Facebook entschieden ist und auch die Like-Buttons beruhigt eingesetzt werden dürfen, erkläre ich in diesem Beitrag.
Inhaltsverzeichnis
Vorwürfe von Datenschützern gegenüber Facebook und Fanseitenbetreibern
Die Besucher von Fanseiten werden durch Faceboook statistisch erfasst. Facebookmitglieder werden sogar mit Klarnamen erfasst, was einer ausdrücklichen Einwilligung bedürfte. Eine solche liegt jedoch nicht vor, bei der Registrierung bei Facebook muss nirgendwo ausdrücklich Einverständnis erklärt werden (Zu der Problematik verweise ich auf meinen Beitrag „Deutschlandweites Verbot von +1/Like-Buttons und Facebookseiten? – FAQ„).
Aber auch Nichtmitglieder werden werden zumindest pseudonym erfasst. Nach dem Gesetz müssten sie jedoch eine Möglichkeit haben, der statistischen Erfassung zu widersprechen (§ 15 Abs.3 TMG). Eine solche Möglichkeit bietet Facebook jedoch nicht.
Nun sind es zunächst Datenschutzverstöße von Facebook und nicht der Seitenbetreiber. Diese haben zwar Zugriff auf die Insights-Statistiken, sehen aber nur anonyme Daten, also erhalten sie nicht die Daten der Nutzer. Haften sie trotzdem für die Fehler von Facebook?
Warum gegen die Betreiber? Man mag sich fragen, warum Datenschutzbeauftragte nicht direkt gegen Facebook vorgehen. Das liegt daran, dass in der EU das Datenschutzrecht des Landes gilt, in dem das ausländische Unternehmen seine Niederlassung hat und dort die Datenverarbeitung betreibt (§ 1 Abs.5 BDSG). Laut des VG Schleswig ist das im Fall von Facebook Irland, wo die europäische Dependance von Facebook sitzt. So blieb den deutschen Datenschützern praktisch nur übrig, über die Nutzer effektiven Druck auf Facebook auszuüben.
Mithaftung für Facebooks Datenschutzverstöße
Die Datenschützer sind der Ansicht, dass die Fanseiten-Betreiber mithaften, da sie praktisch die statistischen Nutzerdaten selbst erheben und Facebook nur als Werkzeug nutzen. Dazu reiche der Betrieb einer Fanseite aus, da die Nutzer so veranlasst wurden diese zu besuchen und Facebook dadurch deren Daten erfassen konnte. Hierdurch würden die Fanseiten-Betreiber zu einer datenschutzrechtlich verantwortlichen Stelle (§ 3 Abs.7 BDSG).
Das Verwaltungsgericht in Schleswig Holstein sah dies anders und meinte, dass alleine die Zurverfügungstellung der Fanseiten für eine solche Verantwortlichkeit nicht ausreichend sei. Facebook sei alleine verantwortlich und die Datenschützer mögen sich daher direkt an Facebook Irland wenden.
Was bleibt, sind Fragen, ob das Urteil Bestand haben wird und ob damit auch die Frage des Like-Buttons gelöst ist.
Like Button und Rechtskraft
Die Datenschutzbeauftragten haben nun die Möglichkeit das Urteil anzufechten, so dass die Entwarnung vorläufig ist. Ob dies passiert, bleibt abzuwarten.
Auch ist die Frage der Zulässigkeit des Like-Buttons nicht geklärt. Ebenso wie bei Fanpages geht es hier um die datenschutzwidrige statistische Erfassung der Nutzerverhaltens durch Facebook und die Frage, ob Websitebetreiber durch Einbindung des Like-Buttons dafür haften.
Die Konstellation ist dem entschiedenen Fall zwar ähnlich, aber es gibt einen wesentlichen Unterschied. Denn im Fall des Like-Buttons wird nicht bloß eine Präsenz auf einer Social Media – Plattform angelegt, sondern ein fremder Code in die eigene Website eingebunden.
D.h. diese Sachlage entspricht eher dem Einsatz von Google Analytics (lesen Sie dazu Google Analytics rechtssicher nutzen – Anleitung und Muster für Webmaster). Da hierzu keine Verfahren anhängig sind, bleibt die Frage des Like-Buttons vorerst ungeklärt.
Fazit
Die Entscheidung ist zu begrüßen, da Unternehmen ansonsten deren Präsenzen bei Facebook, als auch auf allen relevanten Social Media Plattformen löschen müssten. Denn die Datenschutzproblematik des Nutzertrackings trifft nicht nur auf Facebook zu.
Unsicherheit bleibt noch im Hinblick auf den Like-Button. Da zu diesem kein Rechtsstreit anhängig ist, bleibt es dabei dass er zwar rechtlich bedenklich ist, aber eine Risikoabwägung für dessen Einsatz spricht. Bitte ergänzen sie jedoch Ihre Datenschutzerklärung (hier geht es zu unserem Muster) oder nutzen zusätzlich die 2-Klick-Lösung von Heise.
Hinweis: Die Entscheidung ist noch nicht veröffentlicht, der Beitrag basiert auf Kommentaren der Anwesenden, Tweets und Nachrichten.
Update
- 10.10.2013 – Die Urteile des VG Schleswig vom 09.10.2013 (Az. 8 A 37/12, 8 A 14/12, 8 A 218/11) sind nun im Volltext verfügbar.
- 01.11.2013 – Das ULD hat gegen die Entscheidungen Berufung eingelegt. Der Streit geht also in die zweite Runde.
- 01.09.2014 – Am 04.09.2014 wird der Fall in zweiter Instanz vor dem OVG Schleswig-Holstein verhandelt. Ich werde Sie über die Entwicklung auf dem Laufenden halten (für News empfehle ich meine Facebook-Seite).
- 04.09.2014 – Das ULD unter Thilo Weichert hat auch in der zweiten Instanz verloren, mein Beitrag dazu bei Allfacebook.de – OVG Schleswig: Betreiber von Facebook-Seiten haften nicht für Facebooks Datenschutzverstöße
[callto:buch_datenschutz]
Weitere Informationen:
- Pressemedlung ULD: Verwaltungsgericht: Fanpage-Betreiber unverantwortlich für Facebook-Datenverarbeitung
- ULD ./. Facebook: Die Welt blickt nach Schleswig von RA Dirks
- Landeszentrum Datenschutz (ULD) unterliegt vor dem Verwaltungsgericht Schleswig-Holstein – Betreiber von Facebook Seiten NICHT für die Datenverarbeitung der Plattform verantwortlich von RA Ulbricht
- Fanpages auf Facebook: VG Schleswig verhandelt am Mittwoch von JörnLübben in PinG
- Urteil VG Schleswig: Social Media Accounts von Unternehmen sind zulässig (hier: Datenschutz von Facebook-Fanpages) von RAin Lachenmann
- VG Schleswig: ULD kann Facebook-Fanpages nicht verbieten von RA Burkhardt Müller-Sönksen im Telemedicus
[…] RA Thomas Schwenke zum Urteil des VG Schleswig; […]
[…] Schwenke: Deutsche Unternehmen dürfen Facebook-Fanseiten haben Das Verwaltungsgericht Schleswig-Holstein entschied in dieser Woche, dass Unternehmen nicht für […]
[…] die Inhaber von Facebook-Seiten nicht für die potenziellen Datenschutzverstöße von Facebook haften. Die Datenschutzbehörde hat jedoch gegen das Urteil Berufung eingelegt, sodass das Verfahren noch […]