Muss ich als Apotheker jetzt meine Facebook-Fanpage löschen?

Nach den Neuerungen, die die EU-Datenschutz-Grundverordnung mit sich brachte, sorgte Anfang Juni auch ein Urteil des Europäischen Gerichtshofs (EuGH) für Aufsehen. Jetzt stellt sich vielen die Frage: Ist es für ein Unternehmen datenschutzrechtlich überhaupt zu verantworten, eine Facebook-Fanpage zu unterhalten?

Doch zunächst einen Schritt zurück: Worum ging es in dem Fall, der dem EuGH vorlag überhaupt? Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hatte 2001 gegenüber der Wirtschaftsakademie Schleswig-Holstein GmbH angeordnet, ihre Facebook-Fanpage zu deaktivieren. Der Grund: Weder die Wirtschaftsakademie noch Facebook wiesen die Besucher der Fanpage darauf hin, dass Facebook mittels Cookies sie betreffende personenbezogene Daten erhebt und diese Daten danach verarbeitet.

Die Wirtschaftsakademie zog gegen den Bescheid des UDL durch die verwaltungsgerichtlichen Instanzen bis hin zum Bundesverwaltungsgericht. Sie war der Meinung, dass ihr die Verarbeitung personenbezogener Daten durch Facebook nicht zugerechnet werden könne. Auch habe sie Facebook nicht mit einer von ihr kontrollierten oder beeinflussbaren Datenverarbeitung beauftragt. Daraus schloss die Wirtschaftsakademie, dass das UDL direkt gegen Facebook und nicht gegen sie hätte vorgehen müssen.

EuGH: Facebook und Fanseiten-Betreiber gemeinsam verantwortlich

Das Bundesverwaltungsgericht entschied, unter anderem diese Frage der Verantwortlichkeit dem EuGH zur Vorabentscheidung vorzulegen. Am 5. Juni erging das Urteil in Luxemburg. Darin stellt der Gerichtshof zunächst fest, dass auf jeden Fall die amerikanische Gesellschaft Facebook und ihre irische Tochtergesellschaft als „für die Verarbeitung“ der personenbezogenen Daten „Verantwortliche“ anzusehen sind. Denn diese Gesellschaften entschieden in erster Linie über die Zwecke und Mittel der Verarbeitung dieser Daten.

Aber auch der Betreiber einer Facebook-Fanpage sei gemeinsam mit Facebook für die fragliche Datenverarbeitung verantwortlich. Er sei nämlich beteiligt an dieser Entscheidung über die Zwecke und Mittel der Verarbeitung personenbezogener Daten seiner Fanpage-Besucher – über die von ihm vorgenommene „Parametrierung“. Denn der Fanpage-Betreiber kann sein Informations- und Kommunikationsangebot selbst gestalten, so der EuGH: Er kann demografische Daten über seine Zielgruppe – und damit die Verarbeitung dieser Daten – verlangen, zum Beispiel Tendenzen in den Bereichen Alter, Geschlecht, Beziehungsstatus und berufliche Situation. Das gleiche gelte für Informationen über den Lebensstil und die Interessen seiner Zielgruppe und geografische Daten. All dies ermögliche es dem Betreiber, sein Informationsangebot so zielgerichtet wie möglich zu gestalten.

Wer nun die Leistungen von Facebook für seine Fanpage in Anpruch nimmt, könne sich aber nicht davon befreien, seine Verpflichtungen im Bereich des Schutzes personenbezogener Daten zu beachten.

Gemeinsam ist nicht gleichwertig

Diese gemeinsame Verantwortlichkeit von Facebook und Fanpage-Betreiber bedeute aber nicht zwangsläufig auch eine gleichwertige Verantwortlichkeit, so der EuGH weiter. In welchem Grad die jeweils eine Seite bei der Datenverarbeitung verantwortlich ist, sei vielmehr unter Berücksichtigung der Umstände des Einzelfalls zu beurteilen. 

Die Richter urteilten außerdem, dass deutsche Datenschützer in derartigen Fällen gegen Facebook in Deutschland vorgehen können – obwohl Facebooks Europazentrale in Dublin angesiedelt ist.

Und was bedeutet das Urteil nun konkret für ein Unternehmen wie eine Apotheke? Noch ist die Rechtslage übersichtlich. Die IHK Schleswig-Holstein verwies in einer ersten Stellungnahme darauf, dass für die Datenverarbeitung aus Sicht des EuGH in erster Linie Facebook verantwortlich sei, während die Betreiber von Fanpages lediglich Beteiligte seien. „Gegen einzelne Fanpagebetreiber vorzugehen ist daher unverhältnismäßig und rechtswidrig“, folgert sie daraus. Ob es wirklich stets so einfach ist, sei dahingestellt. Fest steht: Der konkrete Fall ist mit dem Richterspruch aus Luxemburg noch nicht beendet. Jetzt ist das Bundesverwaltungsgericht wieder gefragt. Es muss unter der Maßgabe des EuGH seine eigene Entscheidung treffen und kann diese auch um Hinweise anreichern. Das kann allerdings dauern – und wie die Entscheidung am Ende aussieht, ist ungewiss.   

Die Freiburger Rechtsanwälte Dr. Morton Douglas und Dr. Lukas Kalkbrenner raten nach dem Urteil des EuGH zwar jedem Unternehmen, seine Aktivitäten in sozialen Medien kritisch zu hinterfragen. Sie halten es aber nicht für erforderlich, dass Apotheken sich nun umgehend von Facebook verabschieden. In dem Verfahren vor dem EuGH habe es einige Punkte gegeben, die bei den meisten Apotheken anders laufen dürften – etwa im Hinblick auf die gezielte Werbung an Personen, die die Facebook-Seite angeklickt hatten. „Es ist aber zwingend erforderlich, auf der Seite nun einen Datenschutzhinweis aufzunehmen, so wie er auch auf der Internetseite der Apotheke erforderlich ist“, so Kalkbrenner gegenüber DAZ.online. Wenn dies sichergestellt sei, könne erstmal abgewartet werden.

Alarmierter hört sich eine nach dem EuGH-Urteil getroffene Entschließung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz - DSK) an. Die Aufsichtsbehörden sehen „dringenden Handlungsbedarf“ für die Betreiber von Facebook-Fanpages, differenzieren aber erst einmal nicht, wer der Betreiber ist. Die DSK betont, dass die Fanpage-Betreiber ihre datenschutzrechtliche Verantwortung nur erfüllen können, wenn Facebook selbst daran mitwirkt. Facebook müsse ein datenschutzkonformes Produkt anbieten, das die Rechte der Betroffenen wahrt und einen ordnungsgemäßen Betrieb der Fanpages in Europa ermöglicht.

Im Einzelnen ist die DSK nach Auffassung, dass Folgendes zu beachten ist:

• Wer eine Fanpage besucht, muss transparent und in verständlicher Form darüber informiert werden, welche Daten zu welchen Zwecken durch Facebook und die Fanpage-Betreiber verarbeitet werden. Dies gilt sowohl für Personen, die bei Facebook registriert sind, als auch für nicht registrierte Besucher des Netzwerks.
• Betreiber von Fanpages sollten sich selbst versichern, dass Facebook ihnen die Informationen zur Verfügung stellt, die zur Erfüllung der genannten Informationspflichten benötigt werden. 
• Soweit Facebook die Besucher einer Fanpage durch Erhebung personenbezogener Daten trackt, sei es durch den Einsatz von Cookies oder vergleichbarer Techniken oder durch die Speicherung der IP-Adresse, ist grundsätzlich eine Einwilligung der Nutzenden erforderlich, die die Anforderung der Datenschutz-Grundverordnung erfüllt. 
• Für die Bereiche der gemeinsamen Verantwortung von Facebook und Fanpage-Betreibern ist in einer Vereinbarung festzulegen, wer von ihnen welche Verpflichtung der Datenschutz-Grundverordnung erfüllt. Diese Vereinbarung muss in wesentlichen Punkten den Betroffenen zur Verfügung gestellt werden, damit diese ihre Betroffenenrechte wahrnehmen können.

Das UDL weist darauf hin, dass die zuletzt genannte Vereinbarung zwischen Facebook und Facebook-Fanpage-Betreibern in Artikel 26 der Datenschutz-Grundverordnung gefordert wird. Sie soll klarstellen, wer welche Verpflichtungen erfüllen muss. Jetzt muss sich zeigen, ob und wie Facebook auf das EuGH-Urteil reagiert. Das Unternehmen müsste den Fanpage-Betreibern den Abschluss einer solchen Vereinbarung anbieten, so das UDL. Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein, hat jedenfalls eine klare Meinung: „Nichtstun ist keine Option! Es geht nicht darum, dass jeder einzelne Fanpage-Betreiber direkt mit Facebook eigene Bedingungen verhandelt. Fanpage-Betreiber haben jedoch eine eigene Verantwortung, nur datenschutzkonforme Webauftritte zu unterhalten“.