Am 5. Juni 2018 entschied der Europäische Gerichtshof (EuGH), dass bereits das Anlegen einer Facebook-Fanpage eine datenschutzrechtliche Verantwortlichkeit des Fanpage-Betreibers begründet (Az. C-210/16). Daraus ergibt sich, dass Facebook und die Fanpage-Betreiber diesbezüglich gemeinsam verantwortlich sind und daher gemäß Art. 26 Datenschutzgrundverordnung (DSGVO) eine entsprechende Vereinbarung abschließen müssen.
Zudem müssen die betroffenen Personen und Datenschutzbehörden sich mit der Geltendmachung datenschutzrechtlicher Ansprüche nun nicht mehr zwangsläufig an Facebook selbst wenden, sondern können direkt gegen den jeweiligen Fanpage-Betreiber vorgehen. Ihm könnten somit mittelfristig u. a. Abmahnungen, Untersagungsverfügungen oder Geldbußen seitens der Datenschutzbehörden und Verbraucherschutzorganisationen drohen.
Mit dem Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vom 5. September 2018 hat sich dieses rechtliche Risiko nunmehr weiter erhöht. Das vollständige Dokument kann hier abgerufen werden.
Die wichtigsten sich daraus ergebenden Fragen beantworten wir im Folgenden:
Die DSK stellt zunächst fest, dass sich trotz des EuGH-Urteils an der grundsätzlichen Facebook-Praxis nichts geändert habe: Cookies mit Idenfitikatoren würden unverändert auch bei Personen gesetzt, die kein Facebook-Konto besitzen, wenn diese über die bloße Startseite der Fanpage hinaus einen Inhalt aufrufen. Ferner würde nach wie vor eine Auswertung der Fanpage-Besuche von Betroffenen im Rahmen der „Insights“-Funktion nach bestimmten, teilweise voreingestellten Kriterien vorgenommen und den Seitenbetreibern zur Verfügung gestellt. Die DSK bemängelt ferner, dass es Facebook bislang nicht gelungen sei, eine Vereinbarung über die gemeinsame Verantwortlichkeit für die Verarbeitung bereitzustellen.
Aber auch die Betreiber werden in die Pflicht genommen. So betont die DSK, dass der Betrieb einer Fanpage, wie sie derzeit von Facebook angeboten wird, ohne eine entsprechende Vereinbarung rechtswidrig sei. Beide Beteiligten (Facebook und die Fanpage-Betreiber) müssten Klarheit über die Sachlage schaffen und die erforderlichen Informationen für die die Fanpage-Besucher als betroffenen Personen bereitstellen. Erneut weist die DSK darauf hin, dass Betroffene auch gegenüber den Fanpage-Betreibern ihre aus der DSGVO folgenden Rechte (bspw. das Auskunftsrecht) geltend machen können.
In diesem Zusammenhang stellt die DSK einen Katalog mit Fragen auf, die sowohl Facebook als auch der Fanpage-Betreiber beantworten können müssen. Dabei geht es u.a. darum, wie die Pflichten zwischen Betreibern und Facebook verteilt werden, zu welchen Zwecken und auf welcher Rechtsgrundlage die personenbezogenen Daten verarbeitet werden, wie die wesentlichen Aspekte der Vereinbarung über die gemeinsame Verantwortlichkeit zur Verfügung gestellt werden und wie sichergestellt wird, dass die Betroffenenrechte gewahrt bleiben.
In Reaktion auf den Beschluss hat Facebook seine AGB zum Einsatz von „Insights“ mit einer „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ ergänzt.
Darin wiederholt Facebook zunächst die Feststellung des EuGH-Urteils und führt aus, dass der Fanpage-Betreiber gemeinsam mit Facebook Ireland Ltd. für die Verarbeitung von Insights-Daten verantwortlich ist, Facebook jedoch die primäre Verantwortung für die Verarbeitung der Insights-Daten sowie sämtliche sich diesbezüglich aus der DSGVO ergebenden Pflichten übernimmt.
Dem Betreiber der Fanpage erlegt Facebook dann vor allem die Pflicht auf, sicherzustellen, dass für die Verarbeitung von Insights-Daten eine Rechtsgrundlage besteht, eine für die Verarbeitung verantwortliche Stelle benannt wird und jedwede sonstigen geltenden rechtlichen Pflichten erfüllt werden. Ferner müssen die Betreiber Meldepflichten nachkommen (dazu ausführlich sogleich unter Ziffer 5.)
Soweit Fanpages geschäftlich oder gewerblich genutzt bzw. auf diese zugegriffen werden, sollen gemäß der Ergänzung sämtliche Rechtsstreitigkeiten in Verbindung mit Insights dem irischen Recht unterfallen und vor irischen Gerichten geltend gemacht werden.
Die vollständige Regelung kann bei Facebook abgerufen werden:
Nach Art. 26 DSGVO müssen die gemeinsam für die Verarbeitung Verantwortlichen in transparenter Form festlegen, wer von ihnen welche datenschutzrechtlichen Verpflichtungen erfüllt. Dies betrifft insbesondere die Wahrnehmung der Rechte der betroffenen Person und die Informationspflichten.
Weiterhin muss keine Facebook-Fanpage unmittelbar abgeschaltet werden. Es ist aber zu berücksichtigen, dass ein 100% rechtssicherer Betrieb einer solchen Seite derzeit praktisch nicht möglich ist. Gleichwohl kann das Risiko eines Einschreitens der Verbraucherschutzorganisationen und Aufsichtsbehörden durch die Umsetzung bestimmter Maßnahmen verringert werden.
Es bleibt sodann abzuwarten, ob der Bundesgerichtshof (BGH) in Umsetzung des EuGH-Urteils bei Verarbeitung der personenbezogenen Daten im Rahmen der generellen Facebook-Nutzung Datenschutzverstöße feststellt oder nicht. Sollte dies der Fall sein, wird sich vor allem auf Seiten von Facebook weiterer Handlungsbedarf ergeben.
Der Fanpage-Betreiber muss eine für die Verarbeitung verantwortliche Stelle benennen. Dies ist in aller Regel der Betreiber selbst, so dass dessen Name und Kontaktdaten (postalische Anschrift, elektronische und/oder telefonische Erreichbarkeit) anzugeben sind. Soweit der Verantwortliche auch einen Datenschutzbeauftragten hat, sind dessen Kontaktdaten ebenfalls zu benennen.
Außerdem muss der Fanpage-Betreiber eine Rechtsgrundlage für die Verarbeitung der Insights-Daten angeben. Hierfür kommen zwei denkbare Ansätze in Betracht.
Die Betreiber könnten sich auf berechtigte Interessen (Art. 6 Abs. 1 lit. f) DSGVO) stützen, da durch Insights Einblicke in die Besucher-Struktur ermöglicht werden und die Seiteninhalte zur Steigerung von Relevanz und Zufriedenheiten daran ausgerichtet werden können. Dadurch wiederum kann eine Erhöhung der Reichweite und eine Vergrößerung des Nutzerkreises erreicht werden, was für den Fanpage-Betreiber einen wirtschaftlichen oder auch ideellen Nutzen mit sich bringen kann. Auf Seiten des Nutzers ist davon auszugehen, dass dieser aufgrund der wiederholten Thematisierung in den Medien vernünftigerweise davon ausgehen kann, dass seine Daten bei jeder Facebook-Nutzung auch zu Analysezwecken verarbeitet werden.
Die Aufsichtsbehörden vertreten hierzu aber eine strengere Meinung; sie gehen davon aus, dass bei derartigen Tracking-Maßnahmen eine Einwilligung des Betroffenen erfolgen muss.
Die Einholung einer solchen Einwilligung ist derzeit technisch für den Betreiber einer Facebook-Fanpage jedoch nicht umsetzbar, da dieser keine Möglichkeit hat, den Nutzer vor Beginn der Verarbeitung über die internen Verarbeitungstätigkeiten von Facebook aufzuklären.
Keiner der beiden Ansätze kann daher den rechtssicheren Betrieb einer Fanpage gewährleisten. Angesichts der Tatsache, dass die Einholung einer informierten Einwilligung des Nutzers für den Betreiber faktisch gar nicht möglich ist, erscheint es ratsam, die Verarbeitung auf Art. 6 Abs. 1 lit. f) DSGVO zu stützen. Da Insights für den Fanpage-Betreiber tatsächlich für wirtschaftliche und ideelle Zwecke verwendet werden kann und der Nutzer mit einer Verarbeitung seiner Daten rechnet, erscheint dies bis auf Weiteres auch als gangbarer Weg. Im Streitfall müsste dann ein Gericht klären, ob die strenge Interpretation der Aufsichtsbehörden überhaupt zutreffend ist.
Für denjenigen Betreiber, der das verbleibende Risiko aufsichtsbehördlicher Maßnahmen scheut, verbleibt gegenwärtig als einzige Alternative tatsächlich nur die (vorübergehende) Deaktivierung seiner Fanpage.
Soweit sich eine betroffene Person oder Aufsichtsbehörde hinsichtlich der Verarbeitung von Insights-Daten und der von Facebook übernommenen Pflichten an den Betreiber wenden sollte, verlangt Facebook, dass solche Anfragen binnen sieben Tagen inklusive sämtlicher Informationen an Facebook weitergeleitet werden. Dazu stellt Facebook ein besonderes Formular bereit.
Die „Seiten-Insights-Ergänzung“ stellt Facebook den Betroffenen zur Verfügung. In Anbetracht der Tatsache, dass dieses aber auch Nicht-Facebook-Nutzern leicht zugänglich sein muss, empfiehlt es sich für den Fanpage-Betreiber, ebenfalls einen Link zu der Ergänzung auf der Fanpage vorzuhalten. Sofern vorhanden, sollte noch ein Link zur eigenen Datenschutzerklärung gesetzt werden, andernfalls sollte eine Datenschutzerklärung in den Story-Bereich der Fanpage integriert werden.
Da Facebook nicht vollumfänglich auf die Fragen der DSK geantwortet hat, bleibt abzuwarten, wie die Datenschutzbehörden weiter vorgehen. Im Hinblick auf die transparente Darstellung der gemeinsamen Verantwortlichkeit sind die Voraussetzungen mit der Bereitstellung der „Seiten-Insights-Ergänzung“ zunächst erfüllt.
Für die Fanpage-Betreiber verbleibt aber das Risiko, eine wirksame Rechtsgrundlage für die Verarbeitung festzulegen.
Gewerbliche Fanpage-Betreiber sollten zudem bedenken, dass Facebook sämtliche im Zusammenhang mit Insights entstehenden Rechtsstreitigkeiten nach Irland auslagern möchten.
Betreiber sollten daher zumindest die vorstehend unter Ziffer 5 empfohlenen Maßnahmen durchführen, um das datenschutzrechtliche Risiko zu verringern.
(Rechtsanwalt)
(Rechtsanwalt)