Mandanteninformation – Nachv EUGH-Urteil: Facebook-Fanpages nun illegal?

Kurz nachdem bekannt wurde, dass die DSK mangels einer Vereinbarung über die gemeinsame Verantwortlichkeit alle Facebook-Fanpages für illegal erklärt hat, hat Facebook reagiert und eine entsprechende Vereinbarung – das sog. „Page Controller Addendum“ – vorgelegt. Fanpage-Betreiber stimmen dieser Ergänzung automatisch zu, indem sie ihre Seite weiter nutzen. Wer dem nicht zustimmt, muss die jedwede Nutzung von Seiten beenden, schreibt Facebook.

Hierbei handelt es sich um die von der DSK geforderte Vereinbarung über die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO. Damit wird die gewichtigste Forderung der DSK erfüllt, alle datenschutzrechtlichen Fragen sind damit jedoch noch nicht geklärt.

Was steht in der Zusatzvereinbarung?

Die Zusatzvereinbarung beschreibt zunächst den Status Quo, nämlich dass Facebook und Fanpagebetreiber gemeinsam für die Datenverarbeitung verantwortlich seien. Facebook übernimmt in der Vereinbarung die Hauptverantwortung für den Datenschutz und kümmert sich insbesondere um die Auskunfts-, Sicherheits-, Informations- und Meldepflichten nach der DSGVO:

• Informationspflichten (Art. 13 DSGVO),
• Betroffenenrechte (Art. 15- 22 DSGVO),
• Datensicherheit und Meldung von Datenschutzverletzungen (Art. 32-34 DSGVO).

Doch Fanpage-Betreiber müssen nach dieser Vereinbarung nun folgende Dinge für sich klären bzw. auf ihrer eigenen Seite folgende Informationen bereitstellen:

• Sicherstellen, dass eine datenschutzrechtliche Rechtsgrundlage für die Verarbeitung von Insights-Daten vorliegt:

Eine Möglichkeit hierfür bietet Art. 6 Abs.1 lit. f DSGVO, die überwiegenden berechtigten Interessen. Es könnte nämlich ein berechtigtes betriebswirtschaftliches und kommunikatives Interesse an dem Angebot eines Informations- und Kommunikationskanals bestehen. Da die Insights-Daten anonym sind, dürften die Interessen der Nutzer auch nicht entgegenstehen. Auf eine Einwilligung käme es daher nicht an. Allerdings fehlt es hierzu an einer einschlägigen Gerichtsentscheidung.

• Den Verantwortlichen für die Datenverarbeitung der Fanpage benennen: Dies ist für jeden Fanpagebetreiber ohne weiteres möglich.
• Außerdem sollen Betreiber alle Nutzeranfragen oder Kontaktaufnahmen der Aufsichtsbehörden mittels eines Formulars direkt an Facebook weiterleiten. Facebook und der Betreiber müssen dann die Angelegenheit gemeinsam klären.

To-dos für Fanpagebetreiber

Zu empfehlen ist, in der eigenen Datenschutzerklärung Datenschutzinformationen speziell für Facebook bereitzuhalten. Denn obwohl Facebook im Kern alle Informationspflichten übernimmt, hat man als Verantwortlicher für die Fanpage immer noch eine Pflicht, über die eigene Rechtsgrundlage der Verarbeitung aufzuklären sowie den Verantwortlichen der Seite zu benennen. Auch sollte man die Nutzer über ihre Rechte aufklären, die ja zunächst auch gegenüber dem Fanpagebetreiber geltend gemacht werden können, auch wenn diese intern an Facebook weitergeleitet werden. Zusätzlich sollte man die Nutzer darüber aufklären, welche Verantwortung Facebook für die Insights-Daten übernimmt. Schließlich sollte man auch über andere als die betroffenen „Insights“-Daten, die gesammelt werden, informieren. Der Link auf die eigene Datenschutzerklärung muss bei Facebook selbst platziert werden.

• Facebook muss seine Datenschutzerklärung aktualisieren und die entsprechenden Informationspflichten, so wie angekündigt, erfüllen. Dies ist noch nicht geschehen. Darin müsste dann mehr darüber stehen, wie die Nutzerdaten konkret verwendet werden.