BREMISCHE BÜRGERSCHAFT Drucksache 19/1593 Landtag 19. Wahlperiode 20.03.18
Antwort des Senats auf die Kleine Anfrage der Fraktion der SPD
Antwort des Senats auf die Kleine Anfrage der Fraktion der SPD vom 25. Januar 2018 „Haftungsfalle Facebook-Fanseiten! Auswirkungen auf KMU in Bremen“ Die Fraktion der SPD hat folgende Kleine Anfrage an den Senat gerichtet:
„Ab dem 25. Mai 2018 gilt die europäische Datenschutzgrundverordnung (DSGVO) unmittelbar in jedem Mitgliedsstaat. Dies hat weitreichende Folgen, denn die DSGVO sieht unter anderem einen nicht unerheblichen Bußgeldkatalog vor. In einem Interview des Weser-Kuriers mit der Landesbeauftragten für Datenschutz und Informationsfreiheit erläutert diese, dass Facebook derzeit rechtswidrig Daten erhebt. Denn die Allgemeinen Geschäftsbedingungen entspräche weder den Anforderungen des europäischen, noch des deutschen Rechts. Das Perfide dabei: durch Cookies werden auch die Daten von Internetnutzern gesammelt, die sich bei Facebook nicht registriert und daher auch nicht eingewilligt haben. Wer sich nun des Angebotes von Facebook·bedient und beispielsweise als Ladeninhaber oder Verein eine Fanseite bei Facebook betreibt, haftet für die Fehler in den AGB von Facebook. Dies führt auch in Bremen und Bremerhaven zu erheblichen Unsicherheiten über das Haftungsrisiko bei Unternehmen, die Facebook nutzen, um ihre Inhalte zu präsentieren.
Wir fragen den Senat: 1. Ist dem Senat der beschriebene Sachverhalt bekannt und wie bewertet er diesen? 2. Wie schätzt der Senat die Auswirkungen des Haftungsrisikos für die kleinen und mittelständischen Unternehmen in Bremen und Bremerhaven ein, wenn Facebook nicht bis zum 25. Mai 2018 seine Plattform an die Regelungen der DSGVO anpasst? 3. Wie schätzt der Senat in diesem Zusammenhang die Möglichkeit der Landesbeauftragten für Datenschutz und Informationsfreiheit ein, in diesen Fällen von einem Bußgeld abzusehen? 4. Gibt es für die kleinen und mittelständischen Unternehmen bei der aktuellen Rechtslage Möglichkeiten dem Haftungsrisiko zu entgehen, ohne dafür den Facebook-Auftritt aufzugeben?“
Der Senat beantwortet die Kleine Anfrage wie folgt:
- Ist dem Senat der beschriebene Sachverhalt bekannt und wie bewertet er diesen?
Der beschriebene Sachverhalt ist dem Senat bekannt. Das Betreiben einer Facebook-Fanseite wirft schwierige – insbesondere datenschutzrechtliche – Fragen auf, die nicht abschließend geklärt sind. So bleibt die ausstehende Entscheidung des Europäischen Gerichtshofs zu dem Vorlagebeschluss des Bundesverwaltungsgerichts vom 25.02.2016 abzuwarten. Hierbei ist durch den EuGH zu klären, unter welchen Voraussetzungen dem Anbieter einer Facebook-Fanpage aufgegeben werden kann, diese Seite zu deaktivieren, weil er die Besucher der Fanpage nicht hinreichend über die Speicherung von Cookies durch Facebook, deren Funktionsweise sowie die nachfolgende Datenverarbeitung durch Facebook unterrichtet hat. - Wie schätzt der Senat die Auswirkungen des Haftungsrisikos für die kleinen und mittelständischen Unternehmen in Bremen und Bremerhaven ein, wenn Facebook nicht bis zum 25. Mai 2018 seine Plattform an die Regelungen der DSGVO anpasst?
Haftungsrisiken für die Betreiber von Fanseiten ergeben sich daraus, dass die Besucher der Fanseiten auch dann statistisch erfasst werden, wenn sie sich bei Facebook nicht registriert haben und damit auch nicht das im Registrierungsverfahren abgefragte Einverständnis mit ihrer Datenerfassung erklärt haben. Die Erhebung der Daten ohne vorliegendes Einverständnis stellt einen Datenschutzverstoß sowohl nach bisher geltendem BDSG als auch nach der ab Mai 2018 geltenden DSGVO dar. Unzweifelhaft ist Facebook hierfür verantwortlich, jedoch ist noch nicht abschließend geklärt, ob auch der Fanpage-Betreiber (mit)verantwortlich ist und damit (im Wege einer Gesamtschuld) neben Facebook haftungsrechtlich zur Verantwortung gezogen werden kann.
Entscheidend ist hierfür, ob er als „verantwortliche Stelle“ i. S. d. BDSG bzw. als „Verantwortlicher“ der ab Mai geltenden DSGVO anzusehen ist. Hiergegen wird eingewendet, dass der Seitenbetreiber keinen direkten Einfluss auf die Datenerhebung und die Zwecke und Mittel der Verarbeitung habe. In diesem Sinne hatte das OVG Schleswig mit Urteil vom 04.09.2014 entschieden. Das im Anschluss mit dem Fall befasse BVerwG hat die Frage dem EuGH zur Klärung vorgelegt. Eine Entscheidung wird in Kürze erwartet. Der Generalanwalt hat in seinem Schlussantrag empfohlen, den Seitenbetreiber neben Facebook Irland und Facebook USA als Mitverantwortlichen anzusehen, weil er die Einrichtung der Seite vornimmt und damit das „Tracking“ erst ermögliche. Auch wenn der Seitenbetreiber nur auf anonyme Besucherstatistiken zurückgreifen könne, nutze er die Infrastruktur von Facebook und akzeptiere die Vertragsbedingungen.
An den Schlussantrag ist der EuGH nicht gebunden, eine Entscheidung bleibt abzuwarten. Der Senat äußert sich nicht zu laufenden Gerichtsverfahren und beteiligt sich nicht an Schätzungen und Mutmaßungen über den Ausgang des Verfahrens.
- Wie schätzt der Senat in diesem Zusammenhang die Möglichkeit der Landesbeauftragten für Datenschutz und Informationsfreiheit ein, in diesen Fällen von einem Bußgeld abzusehen?
Die Bedingungen für die Verhängung von Geldbußen ergeben sich aus der Datenschutz-Grundverordnung. Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag sind die Umstände des jeweiligen Einzelfalls zu berücksichtigen, wofür diverse Kriterien heranzuziehen sind (s. Artikel 83 Absatz 2 Satz 2 der Datenschutz-Grundverordnung). Auch hier liegt die Zuständigkeit hinsichtlich der Frage, ob und in welcher Höhe eine Geldbuße verhängt wird, bei der Landesbeauftragten für Datenschutz und Informationsfreiheit als unabhängige Aufsichtsbehörde.
Zudem wird durch die ab Mai 2018 geltende DSGVO für die streitgegenständliche Frage, wie die Verantwortlichkeit zu bestimmen ist, keiner ausdrücklichen Regelung zugeführt. Allein dass es gemeinsam Verantwortliche geben kann und wie sie untereinander haften, regelt Art. 26 DSGVO nunmehr genauer. Die vom EuGH erwartete Klärung dürfte daher auch wegweisend für die ab dann geltende Rechtslage sein.
- Gibt es für die kleinen und mittelständischen Unternehmen bei der aktuellen Rechtslage Möglichkeiten dem Haftungsrisiko zu entgehen, ohne dafür den Facebook-Auftritt aufzugeben?
Für die Prüfung und Gestaltung eines rechtskonformen Facebook-Auftritts kleiner und mittelständischer Unternehmen ist der Senat nicht zuständig.
Der Senat unterstützt mit dem Mittelstand 4.0-Kompetenzzentrum Bremen kleine und mittelständische Unternehmen in vielfältiger Weise, z.B. mit Schulungen, Informationsmaterial und Veranstaltungen im Bereich der Digitalisierung sowie Internetauftritten bei Facebook, G+, Pinterest, Twitter und Youtube.
Alle Veranstaltungen, die im Rahmen des Mittelstand 4.0-Kompetenzzentrums Bremen stattfinden, können kostenfrei durch kleine und mittelständische Unternehmen genutzt werden. Das Zentrum ist Bestandteil der Bundesinitiative Mittelstand Digital.
Unbenommen davon weist Facebook auf seinen Internetseiten darauf hin, dass sie den Verpflichtungen aus derzeit geltendem EU-Datenschutzrecht nachkommen und die DSGVO ebenso einhalten wird. Hierfür werden bereits umfangreiche Vorbereitungen getroffen.
Der Senat beobachtet den weiteren Verlauf und begrüßt die Entscheidung von Facebook, den rechtlichen Anforderungen der DSGVO nachzukommen.