Wer eine eigene Seite bei Facebook betreibt, ist mitverantwortlich für die Verarbeitung der Nutzerdaten. Das hat der Europäische Gerichtshof (EuGH) am Dienstag in einem Urteil (PDF) entschieden.

Vorausgegangen war dem ein langjähriger Streit zwischen dem Landeszentrum für Datenschutz Schleswig-Holstein und der Wirtschaftsakademie Schleswig-Holstein. Ersteres hatte 2011 die Schließung der Fanseite der Akademie angeordnet, da diese nicht auf die Datenverarbeitung hingewiesen hatte. Die Bildungseinrichtung wehrte sich dagegen vor Gericht und der Fall ging durch die Instanzen.

Datenerhebung nicht abschaltbar

Im Blickpunkt waren die Cookies, mit denen verschiedene Informationen über Seitenbesucher erhoben und dem Seitenbetreiber zur Verfügung gestellt werden. Dabei geht es besonders um demografische Daten wie Alter, Geschlecht und berufliche Lage sowie auch Interessen.

Diese können vom Fanpage-Inhaber genutzt werden, um seine Angebote anzupassen oder etwa gezielt Werbung an bestimmte Zielgruppen auf Facebook auszuspielen.

Datenschutzbehörden können gegen Betreiber vorgehen

Hatten die deutschen Gerichte bislang Facebook als Plattformanbieter in der Alleinverantwortung gesehen, so teilt der EuGH diese Ansicht nicht. Zwar sei diese Datenerfassung ein Service von Facebook und als solcher auch nicht deaktivierbar, allerdings wird er über die Einrichtung der Seite freiwillig in Anspruch genommen.

Das bedeutet, dass nationale Datenschutzbehörden bei Verstößen gegen den Datenschutz nicht nur gegen Facebook, sondern auch gegen Seitenbetreiber vorgehen können. Das ist insbesondere im Lichte der seit 25. Mai geltenden Datenschutzgrundverordnung (DSGVO) von Bedeutung.

Nationales Datenschutzrecht gilt

Ebenfalls legt der EuGH fest, dass die Datenschutzbehörden ihre Befugnisse auch gegen die nationalen Zweigestellen von Facebook geltend machen können, wenn diese alleinverantwortlich für Marketing- und Werbetätigkeiten im jeweiligen Land sind.

Sie können zudem auch direkt gegen Facebooks Tochter in Irland, wo der Europa-Hauptsitz des Konzerns liegt, vorgehen, wenn sie Datenschutzverstöße auf einer Fanseite verfolgen, und sind dabei nicht auf die Beurteilung des Verstoßes durch die irischen Datenschutzbehörden angewiesen.

Die Richtlinie, über deren Auslegung in dem Prozess gestritten wurde, ist seit deren Inkrafttreten der DSGVO obsolet, das Urteil entspricht der neuen Regelung. Der Sieg der Datenschützer ist damit vor allem symbolischer Natur. (gpi, 5.6.2018)