Datenschutz-Blog der SDG

Update: Facebook-Fanpages

12. September 2018 von Lea Voß

Anfang Juli haben wir schon das Urteil des EuGH vom 05.06.2018 zur Verantwortlichkeit für Facebook Fanpages besprochen. Dabei betonte die DSK, dass ohne Mitwirkung von Facebook ein datenschutzkonformer Einsatz von Facebook-Fanpages nicht möglich sei. Wie sich die DSK das weitere Vorgehen vorstellte, ließ sie jedoch offen – bis jetzt!

Wie stellt sich die DSK die Umsetzung des EuGH-Urteils vor?

Sie fordert Facebook und Fanpage-Betreiber mit einem Beschluss vom 05.09.2018 auf, die Anforderungen des Datenschutzrechts, vor allem der DSGVO, endlich zu erfüllen. Aufgrund der festgestellten gemeinsamen Verantwortlichkeit bezüglich der Funktion „Pages Insights“ ist es unumgänglich eine Vereinbarung nach Art. 26 DSGVO zu treffen. Andernfalls ist der Betrieb einer Facebook-Fanpage datenschutzrechtlich kritisch.

Was sieht eine Vereinbarung nach Art. 26 DSGVO grundsätzlich vor?

Mindestinhalt einer solchen Vereinbarung gem. Art. 26 DSGVO sind:

  • Art und Weise der Verantwortlichkeit,
  • Informationspflichten, Art. 13, 14 DSGVO,
  • Wahrnehmung der Rechte der betroffenen Personen, Art. 15 ff. DSGVO,
  • Sicherheit der Datenverarbeitung und Umgang mit Verletzungen der Datensicherheit, Art. 32-34 DSGVO.

Die DSK hat ihrem Beschluss einen Fragenkatalog angefügt, der den Verantwortlichen ihre datenschutzrechtlichen Pflichten erläutern und zugleich eine Hilfestellung bieten soll.

Wie hat Facebook die Anforderungen erfüllt?

„Nur“ drei Monate nach Verkündung des EuGH-Urteils und einen kritischen Beschluss der DSK später setzte Facebook endlich die am 15.06.2018 versprochen Maßnahmen um. Am 11.09.2018 stellte Facebook die lang ersehnte Vereinbarung über die gemeinsame Verantwortlichkeit (eng. „Page Insights Controller Addendum“) zur Verfügung und veröffentlichte einen erläuternden Beitrag.
Dieses Addendum muss nun dem Art. 26 DSGVO und dem Fragenkatalog der DSK gerecht werden.

Was beinhaltet die von Facebook gestellte Vereinbarung?

Zunächst ist festzustellen, dass Facebook die primäre Verantwortung für die Verarbeitung von Insights-Daten übernimmt. Dementsprechend sieht sich Facebook auch in der Verantwortung, die maßgeblichen Pflichten aus der DSGVO zu erfüllen. Hierzu zählen insbesondere:

  • Art. 12 u. 13 DSGVO: Informationspflichten,
  • Art. 15-22 DSGVO: Rechte der betroffenen Person,
  • Art. 32-34 DSGVO: Sicherheit der Verarbeitung und Maßnahmen bei Datenschutzverletzungen,
  • Art. 26 Abs. 3 DSGVO: Bereitstellung des Wesentlichen dieser Vereinbarung an die betroffenen Personen,
  • Bearbeitung jeglicher Anfragen betroffener Personen.

Sofern die Fanpage-Betreiber Anfragen Betroffener erhalten, sollen diese mithilfe des zur Verfügung gestellten Formulars weitergeleitet werden.

Was sind die Pflichten der Fanpage-Betreiber?

Die Pflicht zur Angabe der im Einzelfall einschlägigen Rechtsgrundlage für die Datenverarbeitung wird den Fanpage-Betreibern aufgetragen .
Unbeachtet bleibt, ob die Fanpage-Betreiber dazu überhaupt juristisch und technisch in der Lage sind.
Als Rechtsgrundlage kommt in Betracht:

  • Art. 6 Abs. 1 Satz 1 lit. f) DSGVO: Wahrung der berechtigten Interessen des Verantwortlichen.
    Berechtigtes Interesse könnte die Erhebung und Auswertung der Daten mithilfe „Pages-Insight“ zur Optimierung der Facebook-Fanpage sein. In Deutschland wird seit April 2018 aber die strenge Auffassung seitens der Aufsichtsbehörden vertreten, dass eine Datenverarbeitung durch einen solchen Tracking-Mechanismus nur durch ausdrückliche Einwilligung rechtmäßig ist.
  • Art. 6 Abs. 1 Satz 1 lit. a) DSGVO: Einwilligung
    Das Einholen einer Einwilligung ist den Fanpage-Betreibern ohne das Mitwirken von Facebook technisch schon gar nicht möglich. Seitens Facebook wurde bislang auch keinerlei Hilfe zur Verfügung gestellt. Abgesehen davon ist eine solche Einwilligung auch stets widerrufbar und somit keine verlässliche Rechtsgrundlage.

Fazit

Für Fanpage-Betreiber ist es weiterhin riskant eine Facebook-Fanpage inklusive der nicht abschaltbaren Funktion „Page Insight“ in Einklang mit der DSGVO zu nutzen. Dies zeigt der Fragenkatalog der DSK, den die Betreiber mangels Informationen nur unzureichend beantworten können. Sie haben keinerlei Einsicht in die Arbeitsweise von Facebook. Schließlich liegt es an Facebook, Transparenz und Klarheit bei der Datenverarbeitung zu bieten. Das Addendum ist in dieser Hinsicht ein erster Schritt in die richtige Richtung. Fanpage-Betreiber sollten sich unter Berücksichtigung der unsicheren Rechtslage die Frage stellen, ob sie die Facebook-Fanpage tatsächlich benötigen. In Angesicht der Risiken ist es eine Überlegung wert, ob vorerst darauf verzichtet werden kann.

Haben wir Ihr Interesse geweckt?
Termin vereinbaren