Achtung, DSGVO! Was Facebook-Fanpage-Betreiber jetzt wissen müssen

Facebook Fanpages DSGVO

Der EuGH hat in seiner viel beachteten Entscheidung vom 05.06.2018 entschieden, dass die Betreiber von Facebook-Fanpages als gemeinsame Verantwortliche gemäß Art. 26 DSGVO zu sehen sind.

Die grundsätzliche EuGH-Entscheidung

Demnach müssen gemeinsam Verantwortliche im Innenverhältnis festlegen, wie die Verpflichtungen aus der DSGVO umgesetzt werden. Dies betrifft insbesondere auch die Wahrnehmung der Informationspflichten gegenüber den Nutzern der Seiten. Wer bisher glaubte, dass Facebook allen erforderlichen Informationspflichten bereits über die Facebook-Nutzungsbedingungen nachgekommen sei, muss nun umdenken.

Der EuGH verweist in diesem Zusammenhang zusätzlich darauf, dass die Fanpages auch von Besuchern ohne eigene Facebook-Mitgliedschaft aufgerufen werden können und führt in seinen Entscheidungsgründen zur gemeinsamen Verantwortlichkeit weiter aus:

  • Aus Sicht des Betroffenen dürfen bei gemeinsam Verantwortlichen keine Schutzlücken verbleiben
  • In der Gewährung des reinen Zugangs zur Datenverarbeitung (hier durch den Betreiber der Fanpage) liegt bereits die "gemeinsame Entscheidung über Zweck und Mittel" der Verarbeitung
  • Das Ungleichgewicht zwischen Facebook und dem Fanpage-Betreiber entlastet den Betreiber nicht
  • Der tatsächliche Zugriff auf die erhobenen Daten ist keine zwingende Voraussetzung der gemeinsamen Verantwortung

Der sonst übliche Weg, auf akzeptierte Nutzungsbedingungen zu verweisen, schafft für den Betreiber der Fanpage also keine ausreichende Sicherheit. Zumal jeder Betroffene seine vollständigen Rechte gegenüber jedes einzelnen Verantwortlichen geltend machen kann.

Die Sicht der Aufsichtsbehörden

Müssen nun alle kommerziellen Fanpages abgeschaltet werden? Ja und Nein!

Wer ganz sicher gehen möchte, hat tatsächlich derzeit keine Möglichkeit, das Restrisiko einer Intervention der Aufsichtsbehörden vollständig auszuschließen.

Doch selbst die Aufsichtsbehörden lassen erkennen, dass nicht der Betreiber der Fanpage im Fokus steht, sondern selbstverständlich Facebook selbst.

Und so hat Facebook auch bereits reagiert:

Mit diesen Ergänzungen geht Facebook einen wichtigen Schritt zur Umsetzung der sich ergebenden Anforderungen aus dem Entschluss der Datenschutzkonferenz und regelt die Verantwortlichkeiten zwischen Facebook und dem Fanpage-Betreiber.

Was Fanpage-Betreiber zwischenzeitlich tun sollten!

Nach letzten Informationen prüfen die Aufsichtsbehörden derzeit das Page Controller Addendum, lassen jedoch bereits verschiedentlich verlauten, dass das Thema wohl noch nicht abgeschlossen sei. Präzisierungen und Nachbesserungen sind also zu erwarten.

Unabhängig davon scheint es für Fanpage-Betreiber nun unerlässlich zu sein, den Besuchern über die "Page Infos" transparente Informationen im Sinne einer Datenschutzerklärung anzubieten und Unklarheiten ggf. an Facebook heranzutragen:

  • Wer ist der Verantwortliche für die Fanpage?
  • Welche Daten werden erhoben und verarbeitet?
  • Auf welche Rechtsgrundlage stützt der Betreiber die Verarbeitung bei Facebook-Mitgliedern und Nicht-Mitgliedern?
    (Hier dürften die Aufsichtsbehörden weiter Ihre Ansicht vertreten, wonach eine Einwilligung des Fanpage-Besuchers im Sinne des Artikel 6 DSGVO bei Tracking-Cookies und vergleichbaren Techniken erforderlich sei)
  • Welche grundsätzlichen Regelungen haben Facebook und der Seitenbetreiber im Innenverhältnis getroffen?

Fazit

Eine Datenschutzerklärung zur Facebook-Fanpage kann das Risiko eines Datenschutz-Verstoßes für den Betreiber signifikant senken.

Nicht umsonst endet auch die Entschließung der DSK mit dem Hinweis, dass Fanpage-Betreiber ihre datenschutzrechtliche Verantwortung nur erfüllen können, wenn Facebook ein datenschutzkonformes Produkt anbietet.

Wir werden die Situation aufmerksam beobachten, insbesondere auch bezüglich der Wirkung auf andere Online-Dienste und Werbenetzwerke, die über Internetseiten eingebunden werden.

 

Autor: Björn Jansen, IT-Architekt

Das könnte Sie auch interessieren