Facebook-Fanpages nach EuGH-Urteil – Facebook reagiert

Der EuGH (Urt. v. 05.06.2018 – C-210/16, veröffentlicht in NJW 2018, S. 2537) hat auf eine Vorlage des Bundesverwaltungsgerichts (Beschl. v. 25.02.2016 – 1 C 28.14, veröffentlicht in ZD 2016, S. 393), entschieden, Facebook-Fanpagebetreiber in der EU seien gemeinsam mit Facebook Ireland als für die Datenverarbeitung Verantwortliche anzusehen. Am darauf folgenden Tag hat die Datenschutzkonferenz DSK, der Zusammenschluss der deutschen Datenschutzbehörden, die Ansicht vertreten, Facebook-Fanpages seien nicht DSGVO-konform zu betreiben. Facebook reagierte hierauf nicht. Anfang September 2018 hat die DSK eine weitere Stellungnahme veröffentlicht, in der es heißt: „Facebook-Fanpages sind illegal, weil es keine Vereinbarung mit Facebook gibt.“ Zudem enthält die Stellungnahme einen Fragenkatalog, den Fanpage-Betreiber positiv beantworten müssten, um nach Ansicht der deutschen Datenschutzbehörden rechtmäßig zu handeln. Nun hat Facebook reagiert.

Facebook legt Fanpage-Betreibern Vereinbarung vor

Nachdem die DSK mangels einer Vereinbarung über die gemeinsame Verantwortlichkeit alle Facebook-Fanpages für datenschutzwidrig erklärt hat, hat Facebook reagiert und eine entsprechende Vereinbarung – das sog. „Page Controller Addendum" – vorgelegt. Fanpage-Betreiber stimmen dieser Ergänzung automatisch zu, indem sie ihre Seite weiter nutzen. Wer dem nicht zustimmt, müsse die jedwede Nutzung von Seiten beenden, schreibt Facebook.

Hierbei handelt es sich um die von der DSK geforderte Vereinbarung über die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO. Damit wird die gewichtigste Forderung der DSK erfüllt, alle datenschutzrechtlichen Fragen sind damit jedoch noch nicht geklärt.

Was steht in der Zusatzvereinbarung?

Die Zusatzvereinbarung beschreibt zunächst den Status Quo, nämlich dass Facebook und Fanpagebetreiber gemeinsam für die Datenverarbeitung verantwortlich seien. Facebook übernimmt in der Vereinbarung die Hauptverantwortung für den Datenschutz und kümmert sich insbesondere um die Auskunfts-, Sicherheits-, Informations- und Meldepflichten nach der DSGVO:

• Informationspflichten (Art. 13 DSGVO),
• Betroffenenrechte (Art. 15- 22 DSGVO),
• Datensicherheit und Meldung von Datenschutzverletzungen (Art. 32-34 DSGVO).

Doch Fanpage-Betreiber müssen nach dieser Vereinbarung nun folgende Dinge für sich klä-ren bzw. auf ihrer eigenen Seite folgende Informationen bereitstellen:

• Sicherstellen, dass eine datenschutzrechtliche Rechtsgrundlage für die Verarbeitung von Insights-Daten vorliegt: Eine Möglichkeit hierfür bietet Art. 6 Abs. 1 f) DSGVO, die Datenverarbeitung zur Wahrung überwiegender berechtigter Interessen. Es könnte nämlich ein betriebswirtschaftliches und kommunikatives Interesse an dem Angebot eines Informations- und Kommunikationskanals bestehen. Da die Insights-Daten anonym sind, dürften die Interessen der Nutzer auch nicht entgegen stehen. Auf eine Einwilligung käme es daher nicht an. Allerdings fehlt es hierzu an einer einschlägigen Gerichtsentscheidung.
• Den Verantwortlichen für die Datenverarbeitung der Fanpage benennen: Dies ist für jeden Fanpagebetreiber ohne weiteres möglich.
• Außerdem sollen Betreiber alle Nutzeranfragen oder Kontaktaufnahmen der Aufsichtsbehörden mittels eines Formulars direkt an Facebook weiterleiten. Facebook und der Betreiber müssen dann die Angelegenheit gemeinsam klären.

To dos für Fanpagebetreiber

Zu empfehlen ist, in der eigenen Datenschutzerklärung Datenschutzinformationen speziell für Facebook bereitzuhalten. Denn obwohl Facebook im Kern alle Informationspflichten übernimmt, hat man als Verantwortlicher für die Fanpage immer noch eine Pflicht, über die eigene Rechtsgrundlage der Verarbeitung aufzuklären sowie den Verantwortlichen der Seite zu benennen. Ebenfalls genannt werden müssen die den Nutzer zustehenden Rechte, die auch gegenüber dem Fanpagebetreiber geltend gemacht werden können, auch wenn diese an Facebook weitergeleitet werden. Zusätzlich sollte man die Nutzer darauf hinweisen, welche Verantwortung Facebook für die Insights-Daten übernimmt. Der Link auf die eigene Datenschutzerklärung muss bei Facebook selbst platziert werden.

Facebook müsste, legt man die Ansicht der deutschen Datenschutzbehörden zugrunde, sei-ne Datenschutzerklärung aktualisieren und die entsprechenden Informationspflichten, so wie angekündigt, erfüllen. Dies ist noch nicht geschehen. Darin müsste dann mehr darüber stehen, wie die Nutzerdaten konkret verwendet werden.

Über konkreten Rechtsstreits zwischen dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein („ULD“) und der Wirtschaftsakademie Schleswig-Holstein GmbH, einem privatrechtlich organisierten Bildungsunternehmen, muss nun das Bundesverwaltungsgericht entscheiden. Gegebenenfalls für weisen Sie das Verfahren auch nochmals die Vorinstanz zurück. Erst aus diesen Entscheidungen wird sich dann ergeben, welche Anforderungen die deutschen Gerichte an Fanpagebetreiber stellen.

Ob diese Rechtsprechung des EuGH auch für die Nutzung von Social-Media-Plugins auf Unternehmenswebseiten übertragbar ist, wird sich zeigen. Wird dies bejaht, kommen auch hier weitere datenschutzrechtliche Pflichten auf die Betreiber zu. Diesbezüglich sind bereits Gerichtsverfahren anhängig.

Update vom 6. Mai – Weiterhin kein datenschutzkonformer Betrieb

In einem neuen Positionspapier hat sich die DSK zur Verantwortlichkeit für Fanpages auf Facebook geäußert. Die Bemühungen von Facebook zum Datenschutz sieht sie als bisher nicht ausreichend an. Was die DSK bemängelt und welche Konsequenzen dies für Unternehmen hat, die Fanpages betreiben, diskutieren wir hier.