Facebook-Fanpages: Was müssen Fanpage-Betreiber jetzt beachten?

In die Debatte über das datenschutzkonforme Betreiben einer Facebook-Fanpage kommt wieder Bewegung.

Zunächst nahm die Konferenz der unabhängigen Datenaufsichtsbehörden des Bundes und der Länder (DSK) am 05.09.2018 zum zweiten Mal Stellung zum viel diskutierten „Fanpage“- Urteil des EuGH. In dem neuen Beschluss werden nun -im Gegensatz zur eher vagen ersten Stellungnahme- konkrete Vorgaben für Fanpage-Betreiber gemacht. Dabei thematisiert die DSK insbesondere die Vereinbarung über die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO. Der EuGH hatte in seinem Urteil festgestellt, dass neben Facebook selbst, auch die Fanpage-Betreiber für die Verarbeitung der Daten von Fanpage-Besuchern verantwortlich seien. Gemäß dem Art. 26 DSGVO sind gemeinsam Verantwortliche dazu verpflichtet, in transparenter Form eine Vereinbarung darüber zu treffen, wer von ihnen welche Verpflichtung gemäß der DSGVO erfüllt (sog. Joint-Controllership-Agreement). Zu den von der DSGVO geregelten Pflichten gehören insbesondere die Wahrung der Rechte der von der Verarbeitung betroffenen Personen, wie z.B. das Recht auf Information und Auskunft im Sinne der Art. 13 bis 15 DSGVO.

Facebook stellt Dokument über „Ergänzung“ zur Verfügung

Nachdem Facebook bereits wenige Tage nach dem Urteil eine entsprechende Vereinbarung angekündigt hatte, kamen zunächst keine weiteren Schritte, was zusätzliche Unsicherheit bei Seitenbetreibern hervorrief. Nun allerdings hat Facebook wenige Tage nach der Stellungnahme der DSK reagiert und ein Dokument mit dem Titel „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ zur Verfügung gestellt. Zwar geht aus der Überschrift nicht hervor, dass es sich hierbei um die von der DSGVO geforderte Vereinbarung handelt, allerdings ist dies nach Art. 26 DSGVO auch nicht erforderlich, entscheidend ist der Inhalt des Dokuments. Aus diesem geht hervor, dass die Seitenbetreiber und Facebook Ireland gemeinsame Verantwortliche für die Verarbeitung von Insights-Daten sind. Mithilfe dieser von Facebook bereitgestellten Daten können Seitenbetreiber eine statistische Auswertung über die Besucher ihrer Seite vornehmen. Die Möglichkeit der Nutzung dieser Daten war der ausschlaggebende Punkt in der Entscheidung des EuGH, Seitenbetreiber datenschutzrechtlich zu verpflichten.

Im Umkehrschluss bedeutet dies allerdings auch, dass die Ergänzung der Nutzungsbedingungen nicht für jegliche Datenverarbeitung auf der Fanpage, sondern nur für die Verarbeitung der Insights-Daten gilt.

Zudem garantiert Facebook die zur Verfügungstellung der „wesentlichen Aspekte“ des Dokuments für alle betroffenen Personen, womit auch das Kriterium „in transparenter Form“ i.S.d. Art. 26 DSGVO erfüllt werden soll.

Facebook übernimmt primäre Verantwortung

Wie im Vorfeld bereits zu erwarten war, übernimmt Facebook Ireland die primäre Verantwortung für die Verarbeitung von Insights-Daten. Dies gilt insbesondere für die in den Art. 12 bis 22 DSGVO geregelten Betroffenenrechte.

Zusätzlich wird vereinbart, dass Verantwortlicher für die Datenverarbeitung Facebook Ireland (Hauptniederlassung von Facebook in der EU) sein wird. Dies hat gem. Art 56 DSGVO zur Folge, dass die irischen Datenschutzbehörden europaweit „federführend“ in allen diesbezüglichen Angelegenheiten sein werden. Gerichts- und Streitstand wird ebenso Irland sein. Anfragen nationaler Datenschutzbehörden sind innerhalb von 7 Tagen an Facebook Ireland weiterzuleiten (hierfür wurde ein Formular zur Verfügung gestellt).

Pflichten für Seitenbetreiber

Allerdings sprechen die ergänzten Nutzungsbedingungen für Fanpages die Seitenbetreiber nicht von allen datenschutzrechtlichen Pflichten frei. Die Seitenbetreiber müssen dafür Sorge tragen, dass die Verarbeitung der Insights-Daten auf einer Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO beruht. In Betracht wird hierbei wohl vor allem eine Erlaubnis nach Art. 6 Abs. 1 S. 1 lit. f DSGVO kommen. Dieser legitimiert die Verarbeitung von personenbezogenen Daten, wenn der Verarbeitende ein dem Betroffenen gegenüber überwiegendes Interesse an der Verarbeitung hat (z.B. Direktwerbung).

Zusätzlich hat der Seitenbetreiber die Pflicht, die Betroffenen über die Verarbeitung der Daten zu informieren, indem auf der Fanpage im Infobereich unter Datenrichtlinie ein Link zur eigenen Datenschutzerklärung aufgeführt und den Nutzern angezeigt wird.

Dementsprechend muss die eigene Datenschutzerklärung mit einem Textbaustein zur gemeinsamen Verantwortlichkeit beim Betrieb der Fanpage samt Rechtsgrundlage ergänzt werden.

Weiterhin schreibt die Vereinbarung den Seitenbetreibern vor, den für die Datenverarbeitung Verantwortlichen zu benennen. Laut einem englischen Hinweis von Facebook können die Angaben zum verantwortlichen Unternehmen und dessen Datenschutzbeauftragetn einschließlich deren Kontaktdaten im Bereich „About“ über „Edit Page Info“ eingetragen werden.

Fazit

Dieser Schritt von Facebook wird die Diskussion um den datenschutzkonformen Betrieb einer Fanpage größtenteils beenden, da die vorhandenen „Regelungslücken“ durch die Vereinbarung geschlossen werden können. Allerdings ist die Reaktion der deutschen Datenschutzbehörden abzuwarten.

Zusätzlich ist darauf hinzuweisen, dass der oben erwähnte neue Beschluss der DSK im Anhang einen Fragenkatalog enthält, den alle Seitenbetreiber (und Facebook) beantworten können sollten. Dieser geht teilweise über die Vereinbarung nach Art. 26 DSGVO hinaus, weshalb trotz der Reaktion von Facebook weiter Klärungsbedarf in Sachen Facebook-Fanpages bestehen wird. Da naturgemäß nur Facebook über alle erforderlichen Informationen verfügt, wird wiederum ein Schritt von dieser Seite notwendig sein.

Erfolg im digitalen Zeitalter: Der Data Act 2024 und seine Chancen für Ihr Unternehmen

Jetzt lesen

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.