6. Juni 2018

Raus aus Facebook!

blind justice… und allen anderen Social-Media-Plattformen, jedenfalls wenn Sie dort eine gewerbliche Präsenz (z.B. als “Seite”) unterhalten und  Daten über die Besucher auswerten können.

Das muss man leider infolge des gestrigen Urteils des Europäischen Gerichtshofes (EuGH – “Landeszentrum Datenschutz ./. Wirtschaftsakademie”, Az. C‑210/16 – Link zum Urteil / zur Pressemitteilung) derzeit raten, auch wenn es irre klingt.

Denn der EuGH behandelt Betreiber einer Facebook-Seite als mitverantwortlich für den Datenschutz bei Facebook. Alle Ansprüche von Betroffenen, jedenfalls in Bezug auf die Facebook-Seite, seien nicht nur von Facebook, sondern auch vom Betreiber zu erfüllen. Wenn dieser keine vollständige Datenschutzerklärung (welche Daten werden zu welchen Zwecken verarbeitet usw.) auf der Facebook-Seite vorhalte, muss er also die Seite schließen. Ebenso, wenn Facebook bei Besuchern der Seite ohne deren Einwilligung Cookies setzt, die dem Tracking dienen.

Genau dies, nämlich die Schließung der Facebook-Seite, hatte die Datenschutzbehörde des Landes Schleswig-Holstein im Jahr 2011 der örtlichen Wirtschaftsakademie aufgegeben, die sich gegen die Verfügung wehrte und im darüber geführten Gerichtsverfahren nun wohl unterliegen wird.

Die angegriffene Fanpage ist nur deshalb noch online, weil das Verfahren erst durch ein Urteil des deutschen Gerichts beendet wird, das aber die Antworten des EuGH auf die vorgelegten Rechtsfragen beachten muss.

Das bedeutet aber nicht, dass man mit einer Reaktion noch so lange warten kann. Im Gegenteil: Da es nicht nur unüblich, sondern unmöglich  ist, eine korrekte Datenschutzerklärung für eine Facebook-Seite zu erstellen, oder eine Einwilligung vorzuschalten, sind alle Facebook-Seitenbetreiber aufgrund ihrer bereits vorhandenen nicht datenschutzkonformen Datenverarbeitung in Gefahr, abgemahnt oder mit Bußgeldern belegt zu werden (das gilt sogar dann, wenn sie sie jetzt erst abschalten). Lediglich die Aussicht auf einen Empörungssturm im Fall von kurzfristigen Bußgeld-Aktionen der Behörden oder  Massenabmahnungen bietet noch einen gewissen Schutz, sowie bei Abmahnungen bestimmte Rechtsunsicherheiten bezüglich der Berechtigung, Abmahnungen auszusprechen. Wie lange dieser Schutz hält, ist aber ungewiss.

Dass Facebook  das Problem rechtzeitig löst, ist zu bezweifeln. Zuckerberg hatte ja bereits für den 25.05.2018 angekündigt, dass Facebook sich an EU-Datenschutzrecht halten werde, und es ist auch manches passiert, aber sicher nicht genug.

Was ist zu tun:

Ganz im Ernst: Wer auf die Facebook-Fanpage oder andere, ähnliche Social-Media-Präsenzen nicht angewiesen ist, sollte diese zumindest vorläufig deaktivieren oder schließen, bis die Auswirkungen des Urteils geklärt und – falls überhaupt möglich – Lösungen bereitgestellt sind.

Wer auf die Facebook-Fanpage oder andere Social-Media -Präsenzen als zentrales Kommunikations- oder Werbemedium angewiesen ist, kann nur mit unzulänglichen Provisorien arbeiten, hoffen dass es gut geht und beim Betreiber der jeweiligen Plattform auf eine rechtskonforme Lösung drängen. Auch bei  Politikern vorstellig zu werden, und Ihnen das Internet zu erklären, macht sicherlich Sinn. Schließlich ist für die Politik, erklärtermaßen, das Internet noch Neuland.

Das Risiko dieses “Augen zu und durch” ist kaum abzuschätzen. Derzeit scheint es noch gering, das kann sich aber schnell ändern. Mit der Bezifferung des Risikos einer Abmahnung/eines Verfahrens auf 5000 Euro  in den ausführlichen FAQ des Kollegen Dr. Schwenke auf allfacebook.de habe ich  Schwierigkeiten. Wer sich auf eine Abmahnung oder den Bescheid einer Behörde hin sofort unterwirft, kommt bezüglich der unmittelbaren Kosten womöglich auch deutlich billiger davon. Die sich ergebenden Einschränkungen aber können einer Media-Agentur durchaus das Genick brechen. Führt diese zur Verteidigung ein Gerichtsverfahren, steigen die Kosten schnell auf fünfstellige Beträge.  Und noch gar nicht erwähnt wurde bisher die Möglichkeit, dass gleich mehrere Abmahnungen oder Verfügungen von Behörden ins Haus flattern.

Wer sicher gehen will und alles sperrt oder löscht, was nicht definitiv datenschutzkonform ist, legt allerdings einen Flächenbrand an seine Internet-Präsenz. Denn auf Facebook-Gruppen sind die Erwägungen des EuGH wohl übertragbar. Ob dies auch für einfache Facebook-Profile gilt, ist nicht ganz klar. Der EuGH schreibt zwar, dass “der bloße Umstand der Nutzung eines sozialen Netzwerks wie Facebook für sich genommen einen Facebook-Nutzer nicht für die von diesem Netzwerk vorgenommene Verarbeitung personenbezogener Daten mitverantwortlich macht”. Die weiteren Ausführungen zur Platzierung von Cookies bei Internetnutzern, die die Facebook-Seite aufrufen, lassen sich aber durchaus auch auf ein öffentlich sichtbares Facebook-Profil übertragen. Diese Sichtbarkeit kann man zwar einschränken, aber damit ist der Sinn eines solchen Profils zumindest für berufliche Zwecke dahin.

Die Auswirkungen auf andere Plattformen, von Social-Media bis zu Affiliate-Netzwerken, sind noch gar nicht absehbar.  Wenn derjenige, der die Inhalte bereitstellt und eine statistische Auswertung über deren Werbeerfolg bekommt, für die zur Erzeugung dieser Statistiken verarbeiteten Daten mitverantwortlich sein soll, sind sie geradezu uferlos.

Für uns spielt Facebook-Werbung ohnehin keine Rolle. Ich selbst bin daher – als “Rechtsanwalt Peter Nümann” -  erst mal raus aus Facebook. Bei Xing und Linkedin überlege ich noch.

Und das alles, obwohl ich das Urteil für falsch halte.

Verfasser: