EuGH-Urteil zu Facebook-Seiten: Ruhe bewahren

Willkommen im dritten Akt des Datenschutz-Dilemmas. Als hätte die DSGVO nicht schon für genug Unruhe gesorgt, kommt nun ein EuGH-Urteil daher, das alle Facebook-Fanseiten für nicht rechtskonform erklärt. Gleichzeitig werden die Seitenbetreiber direkt mit in die Verantwortung genommen. Die Grundidee würde schon Sinn ergeben, aber die Umsetzung spottet mal wieder jeder Beschreibung. Sollten Sie Ihre Facebook-Seite noch nicht gelöscht haben – gut so, bewahren Sie Ruhe.

Karl Fröhlich, Chefred speicherguide.de
und zertifizierter Datenschutzbeauftragter Eigentlich dachte ich, in der zweiten DSGVO-Woche legen sich die Emotionen ein wenig und wie angekündigt, wollte ich über die DSGVO-Informationspflicht aufklären und eine Link-Lösung vorstellen. Ja, falsch gedacht bzw. nicht mit dem Europäischen Gerichtshof (EuGH) gerechnet. Der hat einfach mal den Betreibern einer sogenannten Facebook-Fanseite eine Mitverantwortung beim Datenschutz reingedrückt. Auch mein erster Reflex: »Was für ein vollbescheuerter Unsinn!?«. Als Betreiber einer Fanpage oder FB-Unternehmensseite hat man nullkommanull Einfluss, was auf Facebook (FB) passiert, was FB mit den gewonnenen Daten macht und so weiter. Wir können auch keine Hinweise oder Warnmeldungen einblenden. Alle, die auf FB unterwegs sind, haben den Nutzungsbestimmungen zugestimmt und quasi das Recht auf selbstbestimmten Umgang mit den eigenen Daten, an der »Registrierungspforte« abgegeben. Was soll das also?

Facebook-Fanseite: Verarbeitung demografischer Daten möglich

Das EuGH moniert in seinem Urteil (siehe Pressemitteilung Nr. 81/18, 5. Juni 2018), dass der Fanpage-Betreiber insbesondere demografische Daten über seine Zielgruppe erhält und diese eben auch verarbeiten kann. Dazu gehören beispielsweise Tendenzen in den Bereichen Alter, Geschlecht und geografische Daten. Ich muss zugeben, das war mir so nicht bewusst.

Freilich habe ich die Statistik-Seite auf FB schon mal gesehen. Ich schaue da aber nie rein, vor allem auch, weil auf der speicherguide.de-Fanpage relativ wenig passiert bzw. wir die Fanpage am ausgestreckten Arm so vor sich hin verhungern lassen. Deshalb musste ich jetzt auch erst mal schauen, wo es denn etwas zu gucken gibt. Am 25. Mai verzeichnen wir einen kräftigen Peak. Da hat meine Artikel zur DSGVO so richtig reingehauen. Zudem kann ich sagen, dass unser Publikum zu Zweidrittel männlich ist und wir vor allem Follower aus München erreichen. Mit deutlichem Abstand folgen Berlin, Hamburg und Augsburg.

Diese statistischen Daten sind allerdings anonymisiert. Das heißt, ich weiß nicht, wer sich bei uns irgendetwas angeschaut hat. Gesammelt werden die Daten mit Hilfe von Cookies, die jeweils einen eindeutigen Benutzercode enthalten, der für zwei Jahre aktiv sein soll.

Facebook-Fanseite online lassen oder deaktivieren?

In meinem FB-Bekanntenkreis, der aus einigen Bloggern besteht, haben direkt mehrere ihre Fanseiten deaktiviert. Gleichzeitig erreichen mich übrigens, während ich diese Zeilen verfasse, mehrere Aufforderungen neue Seiten mit einem »Gefällt mir« zu beglücken…

Was tun? Die absolut und einzige 100%ig rechtskonforme Maßnahme lautet, abschalten! So sagt es unter anderem auch Christian Solmecke, Rechtsanwalt und Partner der auf Medienrecht spezialisierten Kölner Rechtsanwaltskanzlei Wilde Beuger Solmecke. Stand jetzt existieren noch keine Regelwerke um beispielsweise der Auskunftspflicht gegenüber Betroffenen (also der FB-Fanseitenbesucher) gerecht zu werden. Die Betreiber wissen schlicht nicht, welche Daten FB erhebt, für wie lange speichert und an wen sie diese gegebenenfalls weitergibt. »Solche Regelwerke müssen nun erstellt werden«, sagt Solmecke in einem Beitrag auf wbs-law.de.

Sein Rat ist es, zunächst in der eigenen Datenschutzerklärung auf die Social-Media-Auftritte hinzuweisen und zudem auf die Datenschutzerklärungen der einzelnen Social-Media-Dienste hinzuweisen. Eine endgültige und optimale Lösung sei dies freilich noch nicht, aber ein gangbarer Weg und nicht einfach die Seiten zu löschen. »Für die Zukunft erhoffe ich mir, dass Facebook, Google und alle großen Plattform-Betreiber uns ein Formular oder Vertragswerk an die Hand geben, wo die gemeinsame Verarbeitung geregelt wird«, fordert Solmecke. »Da könnte zum Beispiel Facebook diese ganzen Auskunftspflichten auf seine Schultern nehmen, damit der Fanpage-Betreiber die Auskunftspflicht direkt an Facebook durchreichen kann.«

EuGH-Urteil: Guten Willen dokumentieren und hoffen…

Wir lassen unsere speicherguide.de-Seite online und mein – nichtjuristischer – Rat, lasst Euch nicht verrückt machen. Stand heute, sind alle FB-Fanseiten quasi illegal. Die behördlichen Datenschützer dürften, auf absehbarer Zeit, alle mit der Umsetzung der DSGVO beschäftigt sein. Wird es Abmahnungen geben? Vermutlich. Wie erfolgversprechend diese allerdings sind, weiß man nicht. Auf jeden Fall benötigen die Abmahnanwälte einen Mitbewerber, der auch »Bock« auf einen Social-Media-Shitstorm hat. Damit sollten die Abmahner schon rechnen. Was unter Anwälten diskutiert wird, im Mittelpunkt des Datenschutzes steht hier der Mensch und nicht der Wettbewerb. Ihr kennt das aber, wenn Ihr drei Meinungen wollt, fragt zwei Anwälte…

Im Moment kann man als Betreiber nur seinen guten Willen dokumentieren und hoffen, dass dies im Zweifel vor Gericht honoriert wird. Wichtig zu beachten, das EuGH-Urteil bezieht sich zwar auf Facebook, unter Juristen herrscht aber die Einigkeit, dass dies genauso auf YouTube, Instagram und Google+ anzuwenden sei. Sprich, für alle Social-Media-Plattformen.

EuGH-Urteil: Ansatz gut – Umsetzung mangelhaft

Was mich an dem EuGH-Urteil stört, dass es das Gericht für nötig hält, Unsicherheit zu erzeugen und – überspitzt formuliert – unter den Fanseiten-Betreibern für Angst und Schrecken zu sorgen. Es kann doch nicht gewollt sein, dass zum Beispiel eine Kollegin, die in ihrem Blog über Nachhaltigkeit, Müllvermeidung und gesunde Ernährung schreibt, aus Angst etwas falsch zu machen, ihre FB-Seite offline nimmt und damit die Kommunikation zu 3.000 interessierten Leuten einstellt.

Vom Ansatz her bin ich als Datenschutzbeauftragter mittlerweile sogar auf Seite des EuGHs. Aber das »Wie« ist mit gesundem Menschenverstand (Ihr erinnert Euch, GM-Prinzip) nicht zu erklären und geht gar nicht. Das heißt, da muss gleich miterklärt werden, »wir wissen, dass die Forderung heute nicht umgesetzt werden kann. Facebook hat Zeit bis dann und dann, hierfür die Rahmenbedingungen zu schaffen.« Dass sich FB nur unter erhöhten Druck bewegt, ist leider ein Fakt. Diesen Druck aber über Großteils »harmlose« FB-Nutzer aufzubauen, weil mehr sind viele FB-Fanseiten-Betreiber in der Regel nicht, ist ein Unding. Man kann keinen Datenschutz mit Bauernopfer machen. Damit erweist die EU dem Datenschutz erneut einen Bärendienst…

Vor allem auch, weil das ganze Urteil auf einen Streit zwischen der datenschutzrechtlichen Aufsichtsbehörde aus Schleswig-Holstein (ULD) und einer von der IHK in Schleswig-Holstein beauftragten Wirtschaftsakademie aus dem Jahre 2011(!) beruht. Gut, sehen wir das Positive in diesem Irrsinn: Bereits vor sieben Jahren hat sich eine Behörde um unseren Datenschutz gesorgt. Das wäre an sich ja löblich…

Fazit: Ruhe bewahren…

Was machen wir nun konkret: Wir werden die Social-Media-Auftritte nochmal extra in unserer Datenschutzerklärung beschreiben und versuchen dies dann auch auf den jeweiligen Plattformen kenntlich zu machen. Eventuell setze ich aber noch eine extra Erklärung auf, in der nur der spezielle Social-Media-Fall erklärt wird. Alles in einer Datenschutzerklärung zu »verstecken«, die eigentlich einfach und verständlich zu sein hat, halte ich auch nicht für zielführend. Außerdem ist die Datenschutzerklärung für die anhängige Webseite gedacht und nicht für die Sachverhalte anderer Plattformen.

Bei einem älteren Projekt von mir, dass zurzeit nicht weiter betrieben wird, gibt es gar keine Webseite mehr. Das Projekt existiert nur noch auf Social-Media. Und nun?

Sobald wir in der Umsetzung sind, werde ich den Beitrag hier noch ergänzen und ziemlich sicher in der kommenden Woche noch einmal darauf verweisen. Als Datenschutznovize kann ich nur sagen, wer hätte gedacht, dass mich dieses, eigentlich staubtrockene Thema so auf Trab halten würde. Auch wenn ich vieles sa*blöd finde, interessant ist es schon…

Ansonsten empfehle ich den Beitrag von Rechtsanwalt Dr. Thomas Schwenke bei den Kollegen von heise.de. Dr. Schwenk fasst den Sachverhalt nochmal zusammen und liefert eine ganz gute Einschätzung der Lage. Auch sein Resümee lautet: »Keep calm and carry on«.