Unternehmen, die auf Facebook eine Fanpage betreiben, müssen sich auf einige Veränderungen gefasst machen. Der Europäische Gerichtshof (EuGH) hatte über die Frage zu entscheiden, ob diese Fanpagebetreiber gemeinsam mit Facebook für die Verarbeitung der Nutzerdaten verantwortlich sind. Wir berichteten bereits über den Prozessverlauf und den Schlussantrag des Generalanwalts, dem das Gericht in seiner Entscheidung folgt. Fast 7 Jahre nach den ersten Beanstandungen des ULD gegenüber Fanpage-Betreibern schafft der EuGH nun Klarheit in der umstrittenen Frage der Verantwortlichkeit: Der Betreiber einer Facebook-Fanpage ist gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich. Das heißt, dass der Betreiber einer Fanpage umfangreiche datenschutzrechtlichen Pflichten erfüllen muss und für Datenschutzverstöße durch Facebook haften könnte.

Warum sind Fanpage-Betreiber gemeinsam mit Facebook verantwortlich?

Verantwortlicher aus datenschutzrechtlicher Sicht ist, wer über die Zwecke und Mittel einer Verarbeitung personenbezogener Daten entscheidet. Der EuGH legte diese Verantwortung weit aus, um einen wirksamen Datenschutz zu gewährleisten. Nach Ansicht des EuGH sei der Betreiber einer Facebook-Fanpage schon durch die Eröffnung dieser Fanpage beteiligt an der Entscheidung über die Zwecke und Mittel der Verarbeitung personenbezogener Daten der Seitenbesucher. Dabei stützte sich das Gericht insbesondere auf die Facebook Insights. Dabei handelt es sich um Statistiken, die Betreiber aufrufen können, um unter anderem demografische Daten über ihre Zielgruppe und Informationen über den Lebensstil und die Interessen dieser Zielgruppe zu erhalten. Diese Statistiken basieren auf einem Tracking durch Cookies, die Facebook auf den Endgeräten der Nutzer speichert.

Das Gericht führte hierzu aus, dass diese Daten für den Seitenbetreiber zwar nur als aggregierte, also anonyme Daten erscheinen, es aber ausreichend sei, wenn einer der gemeinsam Verantwortlichen (in diesem Fall Facebook) auf personenbezogene Daten zugreifen könne. Es genüge, dass der Seitenbetreiber auf der Grundlage dieser Statistiken wirtschaftliche oder sonstige Vorteile erziele. Da die Seitenbetreiber zudem mithilfe von Filtern Kriterien festlegen können, nach denen diese Statistiken erstellt werden sollen, nahm der EuGH eine gemeinsame Festlegung von Zwecken und Mitteln der Verarbeitung an. Zudem verfolgen die Betreiber der Facebook-Seiten auch insoweit gemeinsame Interessen mit Facebook, als sie mithilfe der verarbeiteten Nutzerdaten z.B. Werbeanzeigen genauer schalten können.

Was bedeutet das Urteil für Betreiber einer Fanpage?

Müssen Facebook-Fanpages nun gelöscht werden, um dem Risiko eines Bußgeldes zu entgehen? Ein datenschutzkonformer Betrieb einer Fanpage auf Facebook ist aktuell nicht möglich.

Es ist anzunehmen, dass Facebook auf dieses Urteil vorbereitet war und zeitnah Maßnahmen implementieren wird, um die Anforderungen an eine gemeinsame Verantwortung umzusetzen. Diese Anforderungen sind in der Datenschutz-Grundverordnung (DSGVO) in Artikel 26 geregelt: Gemeinsam Verantwortliche müssen eine Vereinbarung treffen, in der festgelegt wird, wer welche datenschutzrechtlichen Pflichten erfüllt. Hier könnte Facebook entsprechende Regelungen in seine AGB aufnehmen. Da beispielsweise die Erfüllung von Betroffenenrechten wie Auskunft oder Löschung nur durch Facebook erfüllt werden kann, wäre es wünschenswert, wenn Facebook hierfür auch die alleinige Verantwortung übernehmen würde. Seitenbetreiber sollten Hinweise zur Datenverarbeitung auf ihrer Fanpage hinterlegen, um die Informationspflichten aus der DSGVO – zumindest soweit es Ihnen möglich ist und bis Facebook die nötige Transparenz herstellt – zu erfüllen.

Deutsche Aufsichtsbehörden positionieren sich

Die deutschen Datenschutzaufsichtsbehörden haben gestern bereits eine Entschließung zu dem Thema herausgegeben. Wie zu erwarten war, legen die Aufsichtsbehörden hohe Maßstäbe an den Betrieb einer Fanpage. Ob und wie Fanpagebetreiber diesen Aufforderungen zeitnah nachkommen können, ist unklar. Die Aufsichtsbehörden fordern folgendes:

  • Wer eine Fanpage besucht, muss transparent und in verständlicher Form darüber informiert werden, welche Daten zu welchen Zwecken durch Facebook und die Fanpage-Betreiber verarbeitet werden. Dies gilt sowohl für Personen, die bei Facebook registriert sind, als auch für nicht registrierte und Besucher des Netzwerks.
  • Betreiber von Fanpages sollten sich selbst versichern, dass Facebook ihnen die Informationen zur Verfügung stellt, die zur Erfüllung der genannten Informationspflichten benötigt werden.
  • Soweit Facebook Besucher einer Fanpage durch Erhebung personenbezogener Daten trackt, sei es durch den Einsatz von Cookies oder vergleichbarer Techniken oder durch die Speicherung der IP-Adresse, ist grundsätzlich eine Einwilligung der Nutzenden erforderlich, die die Anforderung der DSGVO erfüllt.
  • Für die Bereiche der gemeinsamen Verantwortung von Facebook und Fanpage-Betreibern ist in einer Vereinbarung festzulegen, wer von ihnen welche Verpflichtung der DSGVO erfüllt. Diese Vereinbarung muss in wesentlichen Punkten den Betroffenen zur Verfügung gestellt werden, damit diese ihre Betroffenenrechte wahrnehmen können.

Gilt das Urteil nur für Fanpages?

Die Urteilsgründe lassen sich nicht nur auf Facebook-Fanpages anwenden, sondern auf jegliche Dienste, die Facebook anbietet (z. B. Social Media Buttons, Facebook Custom Audience). Ebenso müssen weitere Plattformen wie YouTube, Twitter und Instagram und Tracking- und Remarketing-Tools betrachtet werden. Die datenschutzrechtliche Verantwortlichkeit sollten Unternehmen bei der Nutzung von Plattformen und Dienstleistern also jeweils kritisch prüfen.

Unternehmer müssen eine Risikoabwägung durchführen, ob Fanpages mit angepasster Datenschutzerklärung und dem dokumentierten Versuch einer vertraglichen Regelung mit Facebook ggf. weiter betrieben werden können und bis zum abschließenden Urteil des Bundesverwaltungsgerichts abgewartet werden kann. Es bleibt jedoch festzuhalten, dass ein absolut rechtssicherer Betrieb von Fanpages derzeit nicht möglich erscheint.

| | , , | , , , , , , , ,