Der EuGH hat inzwischen die Vorlagefragen des Bundesverwaltungsgerichts zum Thema Verantwortlichkeit für den Datenschutz auf Facebook-Fanseiten entschieden (Urt. v. 05.06.2018, Az.: C-210/16; vgl. zum Plädoyer lennmed.de Newsletter 06-2017). Die Entscheidung hat auch Relevanz für Arzt- und Zahnarztpraxen, die auf Facebook oder bei sonstigen Anbietern aktiv sind. 

Der Fall

Das „Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein“ (ULD) hatte von einer Wirtschaftsakademie schon 2011 verlangt, ihre Facebook-Fanseite zu deaktivieren. Zur Begründung führte das ULD aus, dass über die Fanseite der Akademie die Verarbeitung personenbezogener Daten (u.a. IP-Adresse, Familien- und Vorname, Geburtsname) der Besucher der Seite ohne deren entsprechende und in diesem Fall notwendige Einwilligung von Facebook erhoben würden. Auch komme die Akademie ihren datenschutzrechtlichen Informationspflichten nicht nach.

Die von Facebook zur Verfügung gestellte Infrastruktur erlaube es schon technisch nicht, die erforderlichen Einwilligungen einzuholen. Daher sei das Verlangen der Überarbeitung der maßgeblichen Datenverarbeitung als milderes Mittel schon tatsächlich nicht möglich. Für den Fall des Weiterbetriebs wurde ein Zwangsgeld in Höhe von 5.000,- € angedroht. 

Die Akademie gewann die Klage gegen den Bescheid zunächst über zwei Instanzen mit der Begründung, die Akademie sei nicht die für die Datenverarbeitung datenschutzrechtlich verantwortliche Stelle. Über das Ob, Wie und Wann der Datenerhebung entscheide allein Facebook, dessen Nutzungsbedingungen für den einzelnen Fanseitenbetreiber auch nicht verhandelbar sei

Richtervorlage des Bundesverwaltungsgerichtes 

Das vom ULD mit der Revision angerufene Bundesverwaltungsgericht (BVerwG) legte den Fall zur Prüfung der Konformität der Entscheidungen mit der europäischen Datenschutzrichtlinie dem EuGH mit folgenden Fragen zur Prüfung vor: 

• Sind auch Betreiber von Fanseiten bei Facebook „verantwortlich“ für die Einhaltung des Datenschutzes?
• Können deutsche Datenschutzbehörden gegen Tochterfirmen von Facebook in Deutschland vorgehen, obwohl konzernintern offiziell die irische Tochtergesellschaft für den Datenschutz verantwortlich ist?
• Kann die deutsche Behörde ggf. auch gegen die irische Tochtergesellschaft vorgehen, ohne zunächst die nationale Behörde am Standort der verantwortlichen Tochtergesellschaft (im Falle Facebook also die irische Datenschutzbehörde) um Tätigwerden zu ersuchen? 

Der Generalanwalt hatte in seinem Plädoyer (s. Newsletter 06-2017) alle diese Fragen mit „Ja“ beantwort

Die Entscheidung 

Wie kaum anders zu erwarten folgte der EuGH dem nun. D. h., dass auch die Fansite-Betreiber bei Facebook und in anderen sozialen Netzwerken für die Einhaltung des Datenschutzes „verantwortlich“ sind und von den Datenschutzbehörden in Anspruch genommen werden können.

Zur Begründung führte der EuGH, dem Generalanwalt folgend, aus, nur so könne das durch europäisches Recht beabsichtigte hohe Datenschutzniveau sichergestellt werden. Im Übrigen liege die Entscheidung über die Datenverarbeitung zwar in allererster Linie bei Facebook, völlig tatenlos seien die Betreiber aber nicht. 

Sie könnten im Gegenteil durch Einstellung bestimmter Parameter und Filter darüber bestimmen, welche Daten mit welchen Schwerpunkten ihnen Facebook zur Verfügung stelle. Auch wenn die Daten anonymisiert bei dem Seitenbetreiber ankämen, rechtfertige dies die Annahme der Verantwortlichkeit. Auch die beiden weiteren Fragen bejahte der EuGH. Das spielt indes für in Deutschland ansässige Praxen keine besondere Roll

Folgen der Entscheidung

Quintessenz des EuGH-Spruches ist auch nach der nunmehr geltenden DSGVO jedenfalls, dass Betreiber von Facebookseiten die gleichen datenschutzrechtlichen Verpflichtungen treffen wie dies bei normalen Internetseiten der Fall ist.

Sprich: man muss auch auf Facebook die Nutzer gem. Art. 13 DSGVO per Datenschutzerklärung über die jeweilige Datenverarbeitung informieren, man muss Einwilligungen z.B. bzgl. des Analysetrackings einholen und die Nutzer haben das Recht, vom Seiten-Betreiber Auskunft, Löschung etc. zu verlangen. Gerade die letzten beiden Punkte werden sich schwer realisieren lassen, da hierzu eine Zusammenarbeit mit Facebook nötig ist. Wie das aussehen könnte bzw. überhaupt umsetzbar sein soll, ist bislang ungewiss. 

Zudem ist gem. Art. 26 DSGVO eine Vereinbarung mit Facebook zu schließen, in welcher gemeinsam die Zwecke und Mittel der Datenverarbeitung festgelegt werden.

Bzgl. der Frage, wie sich nun nicht private Betreiber von Facebookseiten zu verhalten haben, kann keine 100% sichere Empfehlung abgegeben werden. Die ganz vorsichtige Lösung ist bestimmt, den Betrieb derartiger Social Media einzustellen (natürlich gilt das Urteil auch in Bezug auf Instagram, Twitter und YouTube/Google). Man könnte allerdings zunächst auch den Ausgang des nun wieder vor dem Bundesverwaltungs-gericht fortzuführenden Verfahrens insgesamt abwarten und erst danach reagieren. Zumindest behördlicherseits erscheint bislang das Risiko einer Sanktion (z.B. Bußgeld, Unterlassungsverfügung) bis zum Schlussspruch gering. Bleibt die Gefahr einer zivilrechtlichen Abmahnung. Diese würde im Fall der Fälle natürlich Kosten verursachen, aber nicht in dem Maße wie ein behördliches Bußgeld. 

RA Anno Haak, LL.M. Medizinrecht
RAin Walburga van Hövell
lennmed.de Rechtsanwälte
Bonn / Berlin / Baden-Baden

Stichworte: Facebook, Fanseiten, Datenschutzrecht, Arzt, Zahnarzt