Betreiber von Facebook-Fanpages sind für die Datenverarbeitungen durch Facebook mitverantwortlich. Dies entschied der Europäische Gerichtshof (EuGH) am 5. Juni 2018. Was hat das für Konsequenzen? Sind auch andere Webseiten betroffen?
Das Urteil (Rs. C-210/16) bedeutet konkret: Wer eine Facebook-Fanpage betreibt, ist für die Datenverarbeitungen von Facebook mitverantwortlich – und kann beispielsweise auf Schmerzensgeld für Datenschutzverletzungen verklagt werden.
„Wenn Facebook nicht entscheidend ändert, wie es die personenbezogenen Daten seiner Nutzer verarbeitet, sollte man um Facebook-Fanpages einen großen Bogen machen“, warnt Anwalt Bergt. Auch müssten Facebook und der Fanpage-Betreiber nach der DSGVO einen Vertrag abschließen, wer welche Datenschutz-Pflichten erfüllt: „Wer das nicht tut, riskiert nach der Datenschutzgrundverordnung eine Geldbuße von zehn Millionen Euro oder bei großen Unternehmen noch mehr.“
Doch das Urteil des EuGH zieht noch weitere Kreise. „Die Begründung des Gerichts passt eins zu eins auf fast jeden anderen Dritt-Inhalt – von eingebetteten Videos über Web-Schriftarten bis JavaScript-Frameworks“, warnt Rechtsanwalt Matthias Bergt, Partner bei Boetticher Rechtsanwälte. „Viele Webseiten-Verwaltungs-Programme wie Wordpress laden Schriften von Google Fonts, Videos von YouTube und Skripte von anderen Servern. Der Betreiber dieses anderen Servers erhält damit personenbezogene Daten der Besucher der Website, kann diese verfolgen und vieles mehr.“
Die Lösung?
„Der EuGH hat betont, dass die Verantwortung des Seitenbetreibers noch höher sei, wenn das bloße Aufrufen der Fanpage durch Besucher automatisch die Verarbeitung ihrer personenbezogenen Daten auslöst“, sagt Bergt. „Wenn wir in dem Satz das Wort Fanpage durch Website ersetzen, haben wir den Standard-Fall im heutigen World Wide Web, wenn sich der Website-Betreiber über das Thema Datenschutz keine Gedanken gemacht hat.“ Das müsse aber nicht sein, denn fast alle Schriften und Skripte könnten als Open-Source-Software einfach auf dem eigenen Server abgelegt werden. Für Videos und anderes gebe es Zwei-Klick-Lösungen, bei denen die Datenübertragung an den Dritt-Anbieter nur mit Zustimmung des Besuchers erfolge.
Massenabmahnungen werden kommen
„Wer eine Website hat, sollte jetzt handeln, bevor Massenabmahner das Thema entdecken“, empfiehlt Datenschutzrechtler Bergt mit Blick auf die Datenschutzgrundverordnung (DSGVO), die neue Klagerechte vorsieht. „Die DSGVO gibt den Betroffenen weit mehr Rechte als das bisherige Recht“, erläutert Bergt. „So können sie Schmerzensgeld für Datenschutzverletzungen verlangen – das ist viel lukrativer als bisher, wo man nur auf Unterlassung klagen konnte.“
Rechtlich korrekte Einbindung des Dritt-Inhalts
Auch wenn die befürchteten Massenabmahnungen bisher wohl ausgeblieben sind, sollte sich niemand sicher fühlen: „Wer aktuell Datenschutzverstöße begeht, kann immerhin noch sagen, er habe das Gesetz nicht gekannt, von der mehr als zweijährigen Übergangsfrist nichts gewusst und nicht schnell genug reagieren können. In zwei Monaten wird es aber schwierig, einen Richter zu finden, den das beeindruckt“, meint Bergt. „Es gilt daher, schnell zumindest die offensichtlichen Probleme zu beseitigen. Dazu gehören Dritt-Inhalte auf der Website und die Datenschutzerklärung. Das Ergebnis muss nicht immer sein, dass der Dritt-Inhalt entfernt werden muss – aber die Einbindung muss rechtlich korrekt erfolgen.“
+49 (0)6324