Hinsichtlich des Betriebes von Fanpages gibt es Neuigkeiten von Seiten der Aufsichtsbehörden (wir berichteten am 11. September) und von Seiten Facebooks.
Zur Erinnerung
Vor einiger Zeit hat sich der Europäische Gerichtshof (EuGH) mit Urteil vom 05.06. zur Frage geäußert, inwieweit Seitenbetreiber für die Datenverarbeitung auf Ihrer Facebook-Fanpage verantwortlich sind und welche Verantwortlichkeit Facebook als Plattformbetreiber trifft. Im Ergebnis kam der EuGH dazu, dass Fanpage-Betreiber und Facebook gemeinsam verantwortlich sind und dies entsprechend vertraglich zu regeln ist.
DSK legt Fragenkatalog vor
Nachdem von Facebook kein ausreichender Vertrag vorgelegt wurde, hat die Datenschutzkonferenz (ein Gremium der deutschen Datenschützer) zu dem Thema nun Anfang September Position bezogen und einen Fragenkatalog vorgestellt, den sich Fanpage-Betreiber stellen sollten. Zu finden ist er hier.
Hierbei geht es unter anderem darum, wie die gemeinsame Verarbeitung abläuft, wer die Besucher informiert und wer sich um deren Betroffenenrechte kümmert. Außerdem fragen die Behörden nach den Zwecken der Verarbeitung, nach der Rechtsgrundlage und aus welchen Gründen auch bei Nichtmitgliedern Daten im Browser abgelegt werden. Schließlich wird zum Abschluss die praktisch sehr relevante Frage gestellt, wie das ganze vertraglich mit Facebook geregelt ist.
Facebook legt nach
Recht zeitgleich mit dem Fragenkatalog der Datenschutzkonferenz hat nun auch Facebook eine Ergänzung der Regelungen vorgelegt, die mit der weiteren Nutzung der Fanpages durch den Betreiber in Kraft treten sollen. Die Ergänzung regelt unter anderem, dass Facebook in weiten Teilen verantwortlich bleibt und alleine darüber entscheidet, wie die Daten von Facebook Insights verarbeitet werden (Bei Insights handelt es sich um die Möglichkeit, statistische Auswertungen der Nutzung der Fanpage anzuzeigen). Zwar kümmert sich Facebook um die Auskunftsansprüche und die Informationspflichten nach Art. 13 DSGVO und die IT-Sicherheit. Um die Rechtsgrundlage der Verarbeitung der Daten der Fanpage-Besucher soll sich dann wiederum der Fanpage-Betreiber kümmern. Dies findet sich in Punkt 3 der Ergänzung und liest sich so:
„Du solltest sicherstellen, dass du eine Rechtsgrundlage für die Verarbeitung von Insights-Daten gemäß DSGVO hast, den Verantwortlichen für die Datenverarbeitung der Seite benennst und jedwede sonstigen geltenden rechtlichen Pflichten erfüllst.„
Fazit
Die Ergänzung von Facebook geht in die richtige Richtung. Viele Probleme, wie etwa die Verantwortlichkeit, die Informationspflichten und Regelungen von Datenschutzverletzungen wurden jetzt angegangen. Der zentrale Punkt der Rechtmäßigkeit bleibt aber weiterhin offen. Das Restrisiko ist durch die Facebook-Insights-Ergänzung zwar etwas reduziert worden. Allerdings ist der Betrieb weiterhin nicht risikofrei, weil nicht klar ist, ob den Aufsichtsbehörden die Verarbeitung der Daten ohne Einwilligung der Besucher über die Interessenabwägung ausreichen wird. Jeder Fanpage-Betreiber sollte in der Lage sein, auch die übrigen Fragen beantworten zu können.
Empfehlung
Sofern Sie trotz der aktuellen Lage und der damit verbundenen Risiken eine Fanpage betreiben, sollten Sie folgendes tun:
- Auch wenn Facebook die Informationspflichten nach Art. 13 DSGVO übernimmt, müssen Sie nach wie vor über die Datenverarbeitungen informieren, die Sie selbst durchführen. Eine Datenschutzerklärung für Social Media ist also weiterhin notwendig. Die Erklärung können Sie bei Facebook über den Punkt „Datenrichtlinie“ im Infobereich einbinden. Schließlich müssen Sie auch noch darauf verweisen, dass Facebook für die übrigen Verarbeitungen zuständig ist.
- Da Facebook den Fanpage-Betreiber anhält, für eine Rechtsgrundlage zur Verarbeitung zu sorgen, müssen Sie auch über diese Rechtsgrundlage informieren. Hier kommt zum einen eine Einwilligung oder eine Verarbeitung über die Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO in Frage. Eine wirksame Einwilligung wird praktisch kaum umsetzbar sein, da für eine solche Lösung ein Banner oder eine sonstige Möglichkeit geschaffen werden müsste, die der Fanpage-Betreiber aus technischen Gründen nicht ohne Facebooks Hilfe einbinden kann. Als einzig praktikable Lösung bleibt hier also nur die Verarbeitung über die Interessenabwägung.