Wer eine Facebook-Fanpage nutzt, ist für die Datenverarbeitung durch Facebook mitverantwortlich, EuGH v. 5.6.2018 – C-210/16 – Landeszentrum für Datenschutz Schleswig Holstein gegen Wirtschaftsakademie

Fanpage-Betrieber mitverantwortlich für die Datenerhebung durch Facebook? EuGH sagt "ja!"

Fanpage-Betrieber mitverantwortlich für die Datenerhebung durch Facebook? EuGH sagt „ja!“

Wer ist der „für die Verarbeitung Verantwortliche“

Der EuGH hat mit heutigem Urteil entschieden, dass der Betreiber einer Facebook-Fanpage für die Datenverarbeitung durch Facebook mitverantwortlich ist, wobei die Mitverantwortlichkeit nicht notwendigerweise gleich groß sein muss. Die Entscheidung hat weitreichende Konsequenzen, nicht nur für das Social-Media-Marketing, sondern für das gesamte Onlinemarkting.

Es ging in der Sache C-210/16 um die Frage, wer der „für die Verarbeitung Verantwortliche“ im Sinne des Art. 2 d) der RL 95/46/EG (Datenschutzrichtlinie) ist. Nach Art. 2 d) Datenschutzrichtlinie ist Verantwortlicher jede Person, die alleine oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Diese Vorschrift entspricht im Wesentlichen dem nun geltenden Art. 4 Nr. 7 DSGVO. Sie hat daher auch Konsequenzen für die nun geltende DSGVO. Es ging um die grundsätzliche Frage, ob derjenige, der Datenerhebung durch Drittanbieter ermöglicht, mitverantwortlich ist für die Datenverarbeitung durch den Drittanbieter.

Der Fall: Das schleswig-holsteinische Landeszentrum für Datenschutz ordnete im Jahr 2011 die Schließung der Facebook-Fanpage der Wirtschaftsakademie Schleswig-Holstein GmbH an. Eine Facebook-Fanpage ist eine Art einfach zu erstellende „Miniwebsite“ innerhalb von Facebook. Die Wirtschaftsakademie Schleswig-Holstein als Bertreiberin der Facebook-Fanpage sei zumindest mitverantwortlich für eine Erhebung von personenbezogenen Daten durch Facebook. Denn Facebook-Fanpages setzen beim Nutzer bei jedem Aufruf zumindest einen Cookie, der zwei Jahre lang gültig ist. Die Wirtschaftsakademie Schleswig-Holstein hingegen sah alleine Facebook in der Verantwortung. Facebook alleine sei der „für die Verarbeitung Verantwortliche“.

Sind Cookies personenbezogene Daten?

Cookies, kleine Textdateien, die im Rechner des Nutzers gespeichert werden, werden aus unterschiedlichen Gründen gesetzt. Sie dienen der Wiedererkennung des Nutzers und vereinfachen oft die Nutzung der betreffenden Website. Cookies helfen z.B. die einmal eingestellte Sprachauswahl wiederzuerkennen oder im Bestellprozess die im Warenkorb eingelegten Produkte. Sie helfen auch das Nutzerverhalten zu analysieren und Werbung zu personalisieren.

Ob Cookies personenbezogene Daten sind oder nicht, hängt davon ab, ob mit deren Hilfe ein Personenbezug hergestellt werden kann. Die abstrakte Möglichkeit, eine Person zu identifizieren, reicht hierfür aus (Art. 2 lit. a Datenschutzrichtlinie und nunmehr Art. 4 Nr. 1 DSGVO). Der Facebook-Cookie war mit einer eindeutigen ID-Nummer versehen. Diese ID-Nummer wird von Facebook mit den registrierten Facebook-Nutzern verknüpft. Der Nutzer war und ist damit eindeutig identifizierbar. Der Cookie wurde so zum personenbezogenen Datum.

Fanpage-Betreiber mitverantwortlich für Datenverarbeitung durch Facebook

Der EuGH hat heute klargestellt, dass der Betreiber einer Facebook-Fanpage für die Datenverarbeitung durch Facebook mitverantwortlich ist. Denn er ist zumindest an der Erhebung personenbezogener Daten beteiligt. Indem er nämlich die ihm von Facebook zur Verfügung gestellten Statistiken („Facebook-Insights“) durch Auswahl von Filtern (z.B. demografische Daten seiner Zielgruppe) beeinflussen könne, trage er nämlich zur Verarbeitung der personenbezogenen Daten seiner Besucher bei. Damit sei auch der Betreiber einer Facebook-Fanpage ein „Verantwortlicher“ für die Datenverarbeitung.

Konsequenzen angesichts der nun geltenden DSGVO: Kaum erfüllbare Informationspflichten

Die Entscheidung wird weitreichende Konsequenzen haben. Denn Art. 4 Nr. 7 DSGVO entspricht im Wesentlichen Art. 2 d) der Datenschutzrichtlinie, um die es in dem Fall ging. Die DSGVO ist anwendbar auf alle betroffenen Nutzer in der Union, auch wenn die Drittanbieter in den USA sitzen (Art. 3 II DSGVO). Es ist gut denkbar, dass als Konsequenz der Entscheidung des EuGH jeder, der Webtracking betreibt oder eine Datenerhebung für Dritte ermöglicht, den Nutzer umfangreich über die Datenerhebung unterrichten muss und zwar BEVOR die Daten übertragen werden, d.h. die Seite geladen wird oder etwa – wie im Fall der „Zwei-Klick-Lösung“ – der Nutzer auf das Plugin klickt.

Zu diesem Zeitpunkt müsste der Plugin-Verwender den Nutzer über die Datenerhebung und Übertragung an den Plugin-Anbieter informieren (vgl. Art. 13 DSGVO). Dazu gehören u.a. der Zweck und Dauer der Datenverarbeitung sowie die Angabe der Datenempfänger. Das aber wird er so lange nicht können, wie Facebook, Google und andere nicht offenbaren, was sie mit den erhobenen Daten anstellen. Der Verwender von Plugins von Drittanbietern wird schlicht gar nicht wissen, was etwa Facebook oder Google mit diesen Daten machen. Außerdem müssten er den Nutzer auf seine Rechte hinweisen. Dabei dürfte etwa das Widerspruchsrecht reine Kosmetik sein, weil die Nutzer tatsächlich keinen Einfluss auf die Datenverarbeitung bei Google oder Facebook haben.

Streng genommen wird derjenige, der mit Hilfe eines Plugins oder eines Tracking Codes eine Datenerhebung und -verarbeitung durch einen Drittanbieter ermöglicht, oft noch nicht einmal wissen, ob diese Daten überhaupt einen Personenbezug herstellen können. Nur dann wären es personenbezogene Daten und nur dann wäre die DSGVO überhaupt erst abwendbar.

Vorwegnahme der „Fashion ID“-Entscheidung?

Der beanstandete Button in der Sache "Fashion ID"

Der beanstandete Button in der Sache „Fashion ID“

In der heute verkündeten Entscheidung ging es streng genommen nur um die Facebook Fanpage der Wirtschaftsakademie. Die Entscheidung dürfte aber auch die Richtung für die noch ausstehende Entscheidung des EuGH in der Rechtssache C-40/17 – Fashion ID (Peek & Cloppenburg) – vorwegnehmen, in der es eben um den Facebook „Like-Button“ ging. Der Generalanwalt, dem der EuGH auch im vorliegenden Fall gefolgt ist, erwähnte in seinen Schlussanträgen vom 24.10.2017 (Rz. 69) diesen Fall explizit. Er sieht

keinen grundlegenden Unterschied zwischen dem Fall eines Fanpage-Betreibers und dem des Betreibers einer Website, der den Code eines Webtracking-Dienstleisters in seine Website einbindet und somit ohne Wissen des Internetnutzers die Übermittlung von Daten, das Setzen von Cookies und die Erhebung von Daten zugunsten des Webtracking-Dienstleisters unterstützt.

Denn ebenso wie der Betreiber einer Fanpage könne auch derjenige, der in seine Website Social Plugins einbinde die Analysetools von „Facebook Insights“ nutzen. Und ebenso wird durch das Social Plugin eine Übermittlung personenbezogener Daten ausgelöst, so der Generalanwalt.

Konsequenzen der Entscheidung für Social-Plugins und Tracking Codes

Die Entscheidung dürfte daher Konsequenzen nicht nur für das Social-Media-Marketing, sondern für das gesamte personalisierte Onlinemarketing haben. Jeder, der die Besucher seiner Website analysiert und zu diesem Zweck mit einem Plugin oder einem Tracking Code Daten an Drittanbieter (z.B. Facebook oder Google) überträgt oder eine direkte Datenerhebung des Drittanbieters beim Nutzer ermöglicht, ist für die anschließende Datenverarbeitung durch den Drittanbieter mitverantwortlich.

Es  bleibt abzuwarten, ob die Sozialen Netze und Analysedienstleister nun mehr über die Art und Weise ihrer Datenverarbeitung preisgeben. Nur dann könnten deren Kunden auch ihre Informationspflichten nach der DSGVO erfüllen. Andernfalls drohen den Nutzern von Social Plugins oder Tracking Codes nicht nur datenschutzrechtliche Maßnahmen der Datenschutzbehörden, sondern auch Abmahnungen im Wettbewerbsrecht durch Wettbewerber und Verbände.

Mehr zum Thema:

Kostenlose Ersteinschätzung

Thomas Seifried

Thomas Seifried

Haben Sie Fragen zum Thema? Rufen Sie uns an: 069 915076-0

Ihr Ansprechpartner: Thomas Seifried, Rechtsanwalt und Fachanwalt für gewerblichen Rechtsschutz

Unsere telefonische Ersteinschätzung ist stets kostenlos


Abgemahnt? Die erste Hilfe Taschenfibel in neuer Version (März 2015) erschienen

Abgemahnt? Die erste Hilfe Taschenfibel in neuer Version (März 2018) erschienen

Kostenloser Download: Abgemahnt – Die erste Hilfe Taschenfibel 2018

Abmahnung erhalten? Jetzt kostenlos herunterladen: Ebook über Abmahnungen im Wettbewerbsrecht, Markenrecht und Internetrecht, Rechtsstand März 2018 – Mit drei Muster-Unterlassungserklärungen

Download „Abgemahnt – Die erste-Hilfe Taschenfibel“


Fanpage-Betrieber mitverantwortlich für die Datenerhebung durch Facebook? EuGH sagt "ja!"Wer eine Facebook-Fanpage nutzt, ist für die Datenverarbeitung durch Facebook mitverantwortlich, EuGH v. 5.6.2018 – C-210/16 – Landeszentrum für Datenschutz Schleswig Holstein gegen Wirtschaftsakademie


Bildnachweis: Urheber Johannes Rössel (talk) unter CC BY-SA 3.0 (https://creativecommons.org/licenses/by-sa/3.0/deed.de)Klausel zur Einwilligung in nachvertragliche „individuelle Kundenberatung“ ist zulässig – Keine gesonderten Einwilligungen in jeden Werbekanal nötig -BGH, Urteil vom 1.2.2018 – III ZR 196/17


Preissuchmaschine (Symbolbild)Wer auf Preisvergleichsportalen und Preissuchmaschinen verschweigt, dass nur provisionspflichtige Anbieter verglichen werden, handelt wettbewerbswidrig -BGH v. 27.04.2017 – I ZR 55/16 – Preisportal


MeinPaket.de_IIImpressumspflicht und Informationspflicht über das Widerrufsrecht in Printwerbung – BGH v. 14.9.2017 – I ZR 231/14 – MeinPaket.de II


Instagram 012111746

Influencer Marketing: Werbung auf Instagram muss gekennzeichnet werden – „#ad“ reicht hierfür nicht aus – OLG Celle v. 08.06.2017 – 13 U 53/17 – Schleichwerbung in sozialen Medien


„Neueröffnung nach Totalumbau“ ist irreführend bei nur der Abschluss der Umbauarbeiten – OLG Hamm v. 21.03.2017–4 U 183/16 – Wiedereröffnung nach Totalumbau


Versender von O2-Werbeemails muss 11.000,00 Euro Vertragsstrafe bezahlen – OLG München v. 23.01.2017 – 21 U 4747/15 – Vertragsstrafe wegen unverlangter Werbe-E-Mails


AdWords-Anzeige mit Marke in „Subdomain“ muss auf Landingpage überwiegend Angebote dieser Marke enthalten – OLG Frankfurt v. 02.02.2017 – 6 U 209/16 – Irreführung durch Aufnahme einer Marke in die Subdomain einer „google“-Anzeige


Auch Prüfzeichen müssen Fundstellen enthalten – BGH v. 21.7. 2016 – I ZR 26/15 – LGA tested

Comments are closed.