Risiko Facebook-Fanpage
Nach dem Urteil des Europäischen Gerichtshofs vom 05.06.2018 werden Betreiber einer Facebook-Fanpage als Mitverantwortliche betrachtet. Das bedeutet, dass Betreiber für potentielle Datenschutzverstöße durch Facebook mithaften.
In der Beratungspraxis stellt sich immer wieder die Frage, ob die eigene Facebook-Fanpage nun ohne Risiko weiter betrieben werden kann. Nach dem Urteil des Europäischen Gerichtshofs vom 05.06.2018 werden Betreiber einer Facebook-Fanpage als Mitverantwortliche betrachtet. Das bedeutet, dass Betreiber für potentielle Datenschutzverstöße durch Facebook mithaften. Das Betreiben einer Fanpage ist daher aktuell nicht ohne das Risiko einer entsprechenden Haftung möglich.
Datenschutzerklärung
Aufgrund des vorgenannten Urteils müssen Nutzer einer Fanpage transparent und in verständlicher Form darüber informiert werden, welche Daten zu welchen Zwecken durch Facebook und die Fanpage-Betreiber verarbeitet werden. Dies sollte durch eine separate Datenschutzerklärung umgesetzt werden, welche auf der Fanpage unter Info / Datenrichtlinie verlinkt werden kann.
Betreiber in der Mitverantwortung
Beim Besuch einer Fanpage werden auf dem Endgerät des Nutzers Cookies platziert, die die Speicherung von Informationen in den Web-Browsern bezwecken und für die Dauer von zwei Jahren wirksam bleiben, sofern sie nicht gelöscht werden. Facebook empfängt die in den Cookies gespeicherten Informationen und verarbeitet diese. Das Unternehmen kann dadurch sein System der Werbung verbessern. Für den Betreiber einer Fanpage hat es den Vorteil, dass ihm Statistiken zur Verfügung gestellt werden, mit welchen er seinen Web-Auftritt besser steuern und vermarkten kann. Mit der Einrichtung einer Fanpage ist der Betreiber auch an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten seiner Besucher beteiligt und damit gemeinsam mit Facebook für die Verarbeitung verantwortlich.
Vereinbarung zur gemeinsamen Verantwortung
Inzwischen hat Facebook auf das Urteil des EuGH reagiert und eine Vereinbarung zur gemeinsamen Verantwortung im Sinne des Art. 26 DSGVO vorgelegt. Hierin stimmt Facebook zu, die primäre Verantwortung gemäß DSGVO für die Verarbeitung von Insights-Daten zu übernehmen und sämtliche Pflichten aus der DSGVO im Hinblick auf die Verarbeitung von Insights-Daten zu erfüllen. Gleichzeitig wird aber gefordert, dass eine Rechtsgrundlage für die Verarbeitung von Insights-Daten gemäß DSGVO besteht, der Verantwortliche für die Verarbeitung der Seite benannt und jedwede sonstigen geltenden rechtlichen Pflichten erfüllt sind.
Update vom 01.04.2019
In ihrer Positionierung vom 01.04.2019 geht die Datenschutzkonferenz (DSK) allerdings davon aus, dass die Vereinbarung nicht den Anforderungen aus Art. 26 DSGVO entspricht. Zum einen seien die dargestellten Verarbeitungstätigkeiten nicht hinreichend transparent und konkret. Zum anderen stehe einer gemeinsamen Verantwortung entgegen, dass sich Facebook die alleinige Entscheidungsmacht hinsichtlich der Verarbeitung von Insights-Daten einräumen lassen will.
Datenschutzerklärung
Aufgrund des vorgenannten Urteils müssen Nutzer einer Fanpage transparent und in verständlicher Form darüber informiert werden, welche Daten zu welchen Zwecken und aufgrund welcher Rechtsgrundlage durch Facebook und die Fanpage-Betreiber verarbeitet werden. Ebenso sind Name und Kontaktdaten des Verantwortlichen und ggfls. die Kontaktdaten des Datenschutzbeauftragten anzugeben. Idealerweise sollte dies durch eine separate Datenschutzerklärung umgesetzt werden, welche auf der Fanpage unter Info / Datenrichtlinie verlinkt oder direkt in die Fanpage eingefügt werden kann. Aus Gründen der besseren Darstellung sollte die Datenschutzerklärung zusätzlich als separater Link im Impressum hinterlegt werden.
Informationen zu Seiten-Insights-Daten finden sich unter: https://www.facebook.com/legal/terms/information_about_page_insights_data.
Konsequenz
Absolute Rechtssicherheit lässt sich vorerst nur erreichen, wenn die Sichtbarkeit der eigenen Fanpage aufgehoben wird.Bis Facebook entsprechend nachbessert, geht die DSK davon aus, dass der Betrieb von Fanpages rechtswidrig ist.
In jedem Fall sollten Seitenbetreiber das bestehende Risiko und den Vorteil einer Weiternutzung sorgfältig abwägen. Zudem ist zu beachten, dass sich die Entscheidung des Europäischen Gerichtshofs auch auf Dienste wie Twitter, Instagram und Youtube auswirkt.
Meiner Meinung nach sollten Fanpage-Betreiber Ruhe bewahren und die weitere Entwicklung abwarten. Das Urteil des Gerichtshofes erging im Vorabentscheidungsverfahren. Das heißt, dass das Bundesverwaltungsgericht in der Sache noch entscheiden muss, ob die Datenschutzbehörde direkt gegen den Betreiber einer Facebook-Fanpage vorgehen kann oder ob eher Facebook der richtige Adressat ist. Es ist daher zu erwarten, dass auch die Datenschutzbehörden die Entscheidung des Bundesverwaltungsgerichts abwarten.