Facebook-Fanpages nach EuGH-Urteil – Facebook reagiert, Datenschutzbehörde kritisiert

Nach Ansicht der Datenschutzkonferenz DSK, dem Zusammenschluss der deutschen Datenschutzbehörden, in ihrem inzwischen dritten Positionspapier zur Frage der Facebook Fanpages seit dem EuGH-Urteil vom 5. Juni 2018 erfüllt das Page Controller Addendum nicht die Anforderungen an eine Vereinbarung nach Art. 26 DSGVO zur gemeinsamen Verantwortlichkeit. Bei dem Page Controller Addendum handelt es sich um eine Vereinbarung, die Facebook den Fanpage-Betreibern in Reaktion auf die ersten beiden Beschlüsse der DSK zum Abschluss angeboten hat. (Siehe dazu auch unseren Blog-Beitrag vom 29. April 2019.) Denn unter anderem räume sich Facebook die alleinige Entscheidungsmacht zur Verarbeitung von Insights-Daten ein. Die DSK betont nochmals:

• Jeder Verantwortliche benötigt für die Verarbeitungstätigkeiten, die seiner Verantwortung unterliegen, eine Rechtsgrundlage nach Art. 6 DSGVO bzw. Art. 9 DSGVO.
• Ohne genaue Kenntnis über die Verarbeitungstätigkeiten, die der eigenen Verantwortung unterliegen, können Verantwortliche nicht bewerten, ob die Verarbeitungstätigkeiten rechtskonform durchgeführt werden. Sofern hier Zweifel bestehen, muss der Verantwortliche die Verarbeitungen unterlassen.
• Die Zuständigkeit der jeweiligen Aufsichtsbehörden für Fanpage-Betreiber richtet sich nach der DSGVO. Gemäß Art. 55 ff. DSGVO sind die Aufsichtsbehörden für Verantwortliche in ihrem Hoheitsgebiet zuständig.

Nach Ansicht der DSK müsse einerseits Facebook nachbessern und andererseits die Fanpage-Betreiber ihrer Verantwortlichkeit gerecht werden. Solange dies nicht der Fall sei, sei ein datenschutzkonformer Betrieb einer Facebook-Fanpage nicht möglich.

Wie können Fanpage-Betreiber auf das Dilemma reagieren?

Möglichkeit 1: Die Fanpage abschalten Wer jedes Risiko vermeiden möchte, dem bleibt nichts anderes, als seine Seite abzuschalten. Denn nach Ansicht der DSK sei derzeit kein „datenschutzkonformer Betrieb einer Facebook-Fanpage möglich“,

Möglichkeit 2: Die Fanpage weiterbetreiben – und abwarten Theoretisch könnten Datenschutzbehörden Unternehmen auffordern, eine Fanpage abzuschalten. Kommt es dem nicht nach, drohen die viel diskutierten hohen Bußgelder der DSGVO. Auf dem Papier besteht also ein Risiko – und jeder Geschäftsführer muss für sich entscheiden, ob er für sein Unternehmen dieses Risiko eingeht.

Wir raten eher zu Gelassenheit. Eine Abmahnungswelle von Mitbewerbern oder Bußgeldverfahren von Datenschutzbehörden sind zum jetzigen Zeitpunkt eher unwahrscheinlich.

Zum einen ist noch gar nicht gerichtlich festgestellt worden, welche datenschutzrechtlichen Pflichten sich für Fanpage-Betreiber aus dem EuGH-Urteil ergeben und wie sich diese zwischen Facebook und dem Fanpage-Betreiber aufteilen. Denn der EuGH hat sich bisher lediglich abstrakt zu der datenschutzrechtlichen Verantwortlichkeit von Facebook geäußert. Die konkreten Auswirkungen muss das Bundesverwaltungsgericht bestimmen. Es entscheidet auch über die Klage der schleswig-holsteinischen Datenschutzbehörde (ULD), die Anlass des Vorlagebeschlusses an den EuGH war.

Angesichts dieser noch ungeklärten Rechtslage dürften sich die Datenschutzbehörden mit der Einleitung von Bußgeldverfahren zurückhalten. Zudem wollten die Datenschutzbehörden ursprünglich nicht die Fanpage-Betreiber in die Pflicht nehmen, sondern Facebook. Im Jahr 2012, als die Klage des ULD gegen die Wirtschaftsakademie Schleswig-Holstein beim Verwaltungsgericht Schleswig eingereicht wurde, war jedoch unklar, welches der zahlreichen Unternehmen des Facebook-Konzerns die richtige Beklagte gewesen wäre. Aus diesem Grund hatte sich das ULD mehr oder weniger willkürlich einen Fanpage-Betreiber als Beklagten herausgesucht. Das Verfahren diente also nicht dazu, das Abschalten Tausender Facebook-Fanpages zu erwirken. Vielmehr sollte auf diesem Weg Druck auf Facebook ausgeübt werden, damit Facebook in Sachen Datenschutz nachbessert.

Das gleiche Motivationslage dürfte bei Datenschutzaktivisten und Verbraucherschutzverbände vorherrschen, die zumindest theoretisch als Kläger gegen Fanpage-Betreiber in Betracht kämen.

Wie können Fanpage-Betreiber tun, die Fanpages (weiter)betreiben wollen?

Um das rechtliche Risiko noch weiter zu minimieren, könnten Fanpage-Betreiber das tun, was ihnen aktuell datenschutzrechtlich möglich ist. Das bedeutet:

• Auf der Fanpage auf die Datenschutzhinweise der eigenen Homepage verweisen und in diese die Datenverarbeitung über die Fanpage beschreiben und die Rechtsgrundlage der eigenen Datenverarbeitung nennen.
• Darauf hinweisen, dass der Fanpage-Betreiber laut aktueller Rechtsprechung gemeinsam mit Facebook datenschutzrechtlich verantwortlich ist.
• Auf das Page Controller Addendum von Facebook verlinken, in dem Facebook betont, die alleinige Verantwortung für den Datenschutz zu tragen und sich insbesondere um Sicherheits-, Auskunfts-, Informations- und Meldepflichten zu kümmern.

Fun Fact am Rande: Das Bundesjustizministerium betreibt derzeit sehr aktiv eine Facebook-Fanpage.