Für das Betreiben einer Facebook-Fanpage hat sich für Unternehmen in den letzten Wochen aus Datenschutz-Sicht einiges geändert. In dem Urteil des Europäischen Gerichtshof Anfang Juni 2018 wurde entschieden, dass eine gemeinsame Verantwortlichkeit bei dem Führen einer Facebook-Fanpage besteht. Damit liegt die Verantwortung nicht mehr nur bei Facebook, sondern auch bei dem Besitzer der Facebook-Seite. In diesem Zusammenhang gilt es nun zu klären, welche Maßnahmen Unternehmen ergreifen sollten, um einen datenschutzkonformen Auftritt auf der Plattform zu gewährleisten und welche Regelungen bei einer gemeinsamen Verantwortlichkeit bestehen.
Urteil des EuGHs
Anfang Juni dieses Jahres entschied der Europäische Gerichtshof (EuGH), dass der Betreiber einer Facebook-Fanpage aus der EU als gemeinsamer Verantwortlicher zusammen mit dem Unternehmen Facebook Irland anzusehen ist. Demnach sind Unternehmen mit einer solchen Online-Präsenz mitverantwortlich für Facebooks Datenschutzverstöße. Hintergrund des Rechtsstreits war eine Klage der Wirtschaftsakademie Schleswig-Holstein GmbH gegen einen Bescheid des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD). Nach dem Bescheid sollte die Wirtschaftsakademie ihre Facebook-Fanpage deaktivieren. Der Grund war, dass keine Hinweise für Betroffene auf der Facebook-Fanpage zu den – mittels Cookies – verarbeiteten personenbezogenen Daten aufgeführt waren. Die Wirtschaftsakademie war der Ansicht, dass ausschließlich Facebook verantwortlich für die Verarbeitung der personenbezogenen Daten sei und reichte daraufhin Klage ein. Der Fall ging bis zum EuGH, welcher sich letztendlich für eine gemeinsame Verantwortlichkeit beim Betreiben einer Facebook-Fanpage entschied. Ausschlaggebend für das Urteil war vor allem, dass durch das Betreiben einer solchen Seite, Facebook erst die Möglichkeit gegeben wird, Daten über Betroffene zu sammeln und dies somit die Grundlage für die Verarbeitung der personenbezogenen Daten liefert. Betreiber nehmen zudem beim Erstellen einer Fanpage eine sogenannte Parametrierung vor und entscheiden damit durch ihre Vorauswahl, welches Zielpublikum Grundlage für die Statistik sein soll. Dabei ist es nicht von Bedeutung, ob Besucher der Seite selbst beim sozialen Netzwerk ein eigenes Benutzerkonto besitzen. Es können sowohl Nutzer mit als auch ohne Benutzerkonto die Fanpages auf Facebook aufrufen, wodurch mit Hilfe von Cookies entsprechende Nutzerprofile erstellt werden. Hierbei ist es auch nicht von Bedeutung, dass das Urteil des EuGHs zum BDSG in alter Fassung entschieden wurde. Die Entscheidung hat ebenso Bedeutung für die aktuelle Rechtslage nach der Datenschutz-Grundverordnung.
Vereinbarung bei gemeinsamer Verantwortlichkeit
Am 05. September – 3 Monate nach dem Urteil – äußerte sich nun auch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) mit einem Beschluss zu Facebook-Fanseiten, da sich seitens Facebook keine ausschlaggebenden Änderungen seit dem Urteil des EuGHs ergeben haben. Anpassungen wurden zwar von Facebook im Bereich von Cookies vorgenommen. Es werden jedoch nach wie vor Daten von Nutzern, die keine Mitglieder des sozialen Netzwerks sind, erhoben, wenn der Betroffene über die bloße Startseite einer Fanpage einen Inhalt aufruft. Zudem werden weiterhin die Besuche durch voreingestellte Kriterien mit der sogenannten Insights-Funktion durchsucht und ausgewertet sowie den Betreibern letztendlich zur Verfügung gestellt. Der DSK fordert bei einer gemeinsamen Verantwortlichkeit eine entsprechende Vereinbarung nach Art. 26 DS-GVO, die die Pflichten der Verantwortlichen genau darstellt.
Facebook reagiert
Eine Reaktion von Facebook ließ daraufhin nicht sehr lange auf sich warten. Kurz darauf, am 11. September, veröffentlichte das Social Media Unternehmen in einer Pressemitteilung, dass Betreiber einer Fanpage in der kommenden Woche über ein Update der „Richtlinie für Seiten, Gruppen und Veranstaltungen“ informiert werden. Das Update soll vor allem die Forderung nach einer entsprechenden Vereinbarung zwischen Fanpage-Betreiber und Facebook erfüllen. Seit dem 12. September ist die „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ nun über Facebook abrufbar und soll von Fanpage-Betreiber akzeptiert werden. Bei der „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ handelt es sich um eine Art Ergänzung zu den bestehen Nutzungsbedingungen. In der Vereinbarung ist aufgeführt, dass Facebook die primäre Verantwortung gemäß DS-GVO für die Verarbeitung von Insights-Daten übernimmt und sämtliche Pflichten in Hinblick auf die Verarbeitung der Daten erfüllt. Weiterhin wird dort erklärt, dass der Betreiber einer Fanpage sich damit einverstanden erklärt, dass ausschließlich Facebook Entscheidungen in Bezug auf die Verarbeitung von Insights-Daten treffen und umsetzen kann. Dies führte in der Vergangenheit vor allem zu Unstimmigkeiten bei der Akzeptanz der gemeinsamen Verantwortlichkeit, da der Besitzer einer Fanpage keinen wirklichen Einfluss auf die Verarbeitung der erhobenen Insights-Daten besitzt. Zusätzlich müssen die Fanpage-Inhaber, sofern sich ein Betroffener oder eine Aufsichtsbehörde an sie wendet, die Anfrage unverzüglich bzw. spätestens innerhalb von 7 Tagen an Facebook Irland weiterleiten. Facebook hält in der Vereinbarung explizit fest, dass der Betreiber einer Fanpage nicht berechtigt ist, im Namen von Facebook Irland zu handeln oder zu antworten. Dem Fanpage-Betreiber werden aber nicht gänzlich alle Pflichten genommen. Die Unternehmen haben ebenfalls auf ihrer Fanpage dafür zu sorgen, dass eine Rechtsgrundlage für die Verarbeitung von Insights-Daten besteht, die Verantwortlichen für die Verarbeitungen auf der Seite aufgeführt sind sowie jede sonstige rechtliche Pflicht erfüllt wird.
Gerade mit Blick auf die Rechtsgrundlage für die Verarbeitung von Insights-Daten könnte die Einhaltung problematisch werden. In Betracht kämen entweder die Einwilligung des Betroffenen nach Art. 6 Abs. 1 lit. a DS-GVO oder das berechtigte Interesse des Unternehmens nach Art. 6 Abs. 1 lit. f DS-GVO. Nach dem Beschluss vom 26. April 2018 fordert der DSK, dass insbesondere für die Verarbeitung mit Tracking-Tools, worunter die Insights-Funktion zählen dürfte, eine vorherige Einwilligung des Betroffenen eingeholt werden muss. Damit dürfte das berechtigte Interesse des Unternehmens als Rechtsgrundlage überhaupt nicht in Frage kommen. Eine technische Umsetzung zur Einholung vorheriger Einwilligungen des Betroffenen ist wiederrum momentan überhaupt nicht verfügbar. Es bleibt zudem fraglich, ob jeder Fanpage-Betreiber über die Verarbeitung der Insights-Daten Bescheid weiß und wie letztendlich solche, die überhaupt keine Kenntnis vom Vorgang der Verarbeitung haben, eine entsprechende Rechtsgrundlage aufführen sollen. Außer Frage steht jedoch, dass Handlungsbedarf für die Betreiber einer Fanpage besteht. Allein die Vereinbarung reicht aus Datenschutzsicht keinesfalls aus. Es sollte zudem zumindest eine entsprechende Datenschutzerklärung auf der Facebook-Seite hinterlegt werden, welche die Seitenbesucher – entsprechend den Vorhaben aus Art. 13 und 14 DS-GVO – über die Verarbeitung von personenbezogenen Daten informiert. Facebook selbst bietet die Funktion an, Datenschutzhinweise auf der Info-Seite zu hinterlegen. Wichtig in diesem Zusammenhang ist es vor allem auf die gesamte Verarbeitung von personenbezogenen Daten – beim Besuch der Facebook-Fanpage – einzugehen und nicht nur ausschließlich auf die Verarbeitung von Insights-Daten.
Fazit
Aufgrund des Urteils des EuGHs besteht Handlungsbedarf für die Fanpage-Betreiber. Es sollte eine geeignete Datenschutzerklärung für Betroffene auf der Facebook-Seite hinterlegt werden. Zusätzlich darf man davon ausgehen, dass das Urteil sich auch auf weitere Social-Media-Plattformen ausweiten wird. Die konservativste und damit auch datenschutzfreundlichste Lösung wäre es natürlich die Seite komplett vom Netz zu nehmen, was jedoch vermutlich für die wenigsten Unternehmen in Betracht kommen wird. Verschiedene Aufsichtsbehörden haben zudem angekündigt Fragebögen an die Unternehmen zu entsenden, in denen transparent offengelegt werden muss, welche Daten verarbeitet werden und wie letztendlich die interne Kommunikation der beiden Verantwortlichen abläuft. Den Anfang machte bereits die Berliner Datenschutzbehörde Anfang November. Unternehmen mit einer solchen Facebook-Seite sollten sich mit der Thematik auseinandersetzen und ihren Datenschutzbeauftragten einbeziehen.
