Betreiber einer Fanpage bei Facebook sind zusammen mit dem sozialen Netzwerk für den Schutz der Nutzerdaten verantwortlich. Das entschied der Europäische Gerichtshof (EuGH) am Dienstag in Luxemburg (Az. C-210/16). Damit gaben die Richter dem schleswig-holsteinischen Landeszentrum für Datenschutz (ULD) Recht, das die Wirtschaftsakademie Schleswig-Holstein dazu aufgefordert hatte, ihre Fanpage auf Facebook zu schließen. Das Bundesverwaltungsgericht hatte im Februar 2016 den Fall dem EuGH in einem sogenannten Vorabentscheidungsersuchen vorgelegt.

Fanpages werden üblicherweise von Unternehmen oder prominenten Persönlichkeiten betrieben. Facebook-Nutzer, die die Seite "liken", sehen ihre Posts im eigenen Newsfeed und können oft auch mit den Betreibern interagieren. Das soziale Netzwerk kann den Betreibern wiederum anonymisierte Statistiken zur Verfügung stellen, wem die Seite gefällt. Die Nutzerinnen werden nicht darauf hingewiesen. Genau dieser fehlende Hinweis hatte zu dem Rechtsstreit zwischen dem ULD und der Wirtschaftsakademie geführt.

Das ULD hatte im November 2011 von dem Bildungsträger die Deaktivierung der Fanpage verlangt und 5.000 Euro Bußgeld angedroht. Eine Fanpage-Betreiberin ist nach Auffassung der Datenschützer mitverantwortlich für die Verarbeitung personenbezogener Daten durch Facebook – und damit auch für eventuelle datenschutzrechtliche Verstöße. In den beiden ersten Instanzen hatte sich das ULD mit dieser Auffassung allerdings nicht durchsetzen können. So hatte das Oberverwaltungsgericht Schleswig die Auffassung vertreten: "Ein Fanpage-Betreiber ist nicht dafür verantwortlich, was Facebook mit den personenbezogenen Daten der Nutzer macht."

Fanseiten-Betreiber entscheidet über Nutzung

Das sieht der EuGH anders. "Ein solcher Betreiber ist nämlich durch die von ihm vorgenommene Parametrierung (…) an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt", heißt es in der Pressemitteilung (PDF). Denn er erhalte von Facebook über seine Nutzer bestimmte personenbezogene Daten zu Lebensstil und Interessen, "die ihn darüber informieren, wo spezielle Werbeaktionen durchzuführen oder Veranstaltungen zu organisieren sind und ihm ganz allgemein ermöglichen, sein Informationsangebot so zielgerichtet wie möglich zu gestalten". Daher könne "der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, diesen nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien".

Die Landesbeauftragte für Datenschutz Schleswig-Holstein, Marit Hansen, begrüßte das Urteil des EuGH. "Die Entscheidung hat meine Einschätzung bestätigt, dass es keine Verantwortungslücken im Datenschutz geben kann. Konkret bedeutet dies nun für alle Fanpage-Betreiber, dass zwischen ihnen und Facebook geklärt sein muss, welche Datenschutzpflichten sie selbst zu erfüllen haben und für welche Facebook zuständig ist", sagte sie in einer Pressemitteilung. Jeder könne seine Rechte auf Auskunft und Berichtigung sowohl gegenüber dem Fanpage-Betreiber als auch gegenüber Facebook direkt geltend machen.

BvD rechnet mit Fanpage-Schließungen

Der bayerische Landesbeauftragte für den Datenschutz, Thomas Petri, empfiehlt öffentlichen Stellen in Bayern, ihre Präsenz bei Facebook oder anderen sozialen Medien "kritisch zu überprüfen". Denn "angesichts bisheriger Erfahrungen wäre es im Ergebnis nicht überraschend, wenn Facebook Daten auch am Maßstab der Datenschutz-Grundverordnung rechtswidrig verarbeitet", sagte Petri. "Entweder müssen soziale Medien sich an die in Europa geltenden Datenschutzvorschriften halten oder sie können nicht mitverantwortlich genutzt werden. Mögliche Vorteile bei der Öffentlichkeitsarbeit rechtfertigen jedenfalls keine Datenschutzverstöße."