Zur Navigation springen Zum Inhalt springen Zum Footer springen

Datenschutzerklärung für Social-Media-Kanäle?

(8)

Für viele Betreiber eines Social-Media-Kanals, z. B. einer Facebook-Fanpage, ist er nahezu unverzichtbar geworden. Der Betrieb ist seit Juni 2018 mit Vorsicht zu genießen.

Mit Urteil vom 04.06.2018 hat der Europäische Gerichtshof (EuGH) entschieden, dass der Ersteller und Betreiber eines Social-Media-Kanals mit dem Betreiber der Plattform datenschutzrechtlich gemeinsam verantwortlich ist.

Bis zum aktuellsten EuGH-Urteil war man als Betreiber einer Facebook-Fanpage nur inhaltlich verantwortlich. Inhaltliche Verantwortlichkeit bedeutet, die Verantwortung für die dort zur Abruf bereitgestellten Inhalte zu tragen. Es war deshalb nötig, dies in Form eines Impressums oder eines Links auf ein Impressum klarzustellen, vergleiche § 5 Telemediengesetz (TMG).

Eine datenschutzrechtliche Verantwortung kam dem Betreiber nicht zu, da er selbst über die Zwecke und Mittel der Datenverarbeitung von personenbezogenen Daten keine Entscheidungskompetenz hat. Über die Art, wie die Daten auf einer Facebook-Fanpage erhoben und verarbeitet werden, bestimmt Facebook ganz alleine. Eine eigene Datenschutzerklärung zusätzlich zum Impressum war daher bisher nicht notwendig.

Was hat sich nach dem 04.06.2018 für Betreiber geändert?

Der EuGH hat in seinem jüngsten Urteil (04.06.2018 – C-210/16 [1]), nun aber aufseiten des Fanpage-Betreibers eine Mitverantwortlichkeit angenommen und deutlich gemacht, dass Facebook mit seiner Zentrale in Irland grundsätzlich verantwortlich ist, aber auch wenn der Fanpage-Betreiber keine Kontrolle über die Datenverarbeitung hat, dieser dann auch als Verantwortlicher haftet, wenn die Seite durch den Betroffenen aufgerufen wird.

Die datenschutzrechtliche Verantwortlichkeit begründe sich dadurch, dass der Fanpage-Betreiber zumindest die hypothetische Möglichkeit hat, Auswertungsfilter zu setzen und Kriterien zu definieren, nach denen für Ihn Statistiken von Facebook erstellt werden. Facebook Insights ermöglicht dann den Abruf dieser Nutzerstatistiken. 

Daher habe der Betreiber, so der EuGH, aufgrund der statistischen Auswertung durch Facebook einen wirtschaftlichen Vorteil. Facebook und der Fanpage-Betreiber seien demnach gegenüber dem Betroffenen „gemeinsam Verantwortliche“ Datenverarbeiter (Joint-Controllers).

Als gemeinsam Verantwortlicher haften Sie darüber hinaus nicht nur für die von Ihnen selbst begangenen datenschutzrechtlichen Verstöße, sondern auch für den Mitverantwortlichen (Facebook).

Konsequenzen – was bedeutet das nun für Sie?

Da das EuGH-Urteil Sie, mit Facebook zusammen, zum Joint-Controller gemacht hat trifft Sie die Pflicht:

  • Ihre Nutzer transparent über die Datenverarbeitung auf Ihrer Fanpage mittels Datenschutzerklärung aufzuklären (auch über die Verarbeitungsvorgänge, die im Hintergrund von Facebook ablaufen).
  • Ersuchen Ihrer Nutzer in Form der Wahrnehmung von Betroffenenrechten zu bearbeiten bzw. zu erfüllen (z. B. Auskunfts- oder Löschersuchen),
  • ein Joint-Controllership-Agreement mit Facebook zu schließen.

Die DSGVO sieht für Joint-Controller in Art. 26 DSGVO einen Vertrag über die gemeinsame Verantwortung vor (Joint-Controller-Agreement). Ein solches Agreement regelt, welcher Controller zu welchem Zweck mit welchen Mitteln personenbezogene Daten verarbeitet. In einem Joint-Controllership-Agreement könnte man ggf. die Haftung für Rechtsverstöße ausschließen, allerdings ist dies von Facebook bisher nicht vorgesehen und wird vermutlich in absehbarer Zeit nicht angeboten werden.

Empfehlung

Um Rechtssicherheit herzustellen und Abmahnungen oder Schadensersatzansprüche zu vermeiden, empfehlen wir zunächst die Fanpage auf „nicht sichtbar“ zu stellen, bis Facebook ein Joint-Controllership-Agreement zur Verfügung stellt und transparente Bedingungen geschaffen hat.

Alternative?

Wenn der wirtschaftliche Nutzen Ihrer Fanpage das Risiko einer Inanspruchnahme durch einen Betroffenen oder eine Aufsichtsbehörde überwiegt, sollten Sie versuchen, auf der Fanpage einen Link in eine externe Datenschutzerklärung zu setzen. Darin sollten Sie, soweit es ihnen möglich ist, den Nutzer über Verarbeitungsvorgänge informieren. Auch der Versuch, ein Joint-Controllership-Agreements mit Facebook zu schließen, sollte unternommen und dokumentiert werden.

Andere Social-Media-Kanäle?

Der EuGH wird, nach unserer Einschätzung, die gleiche gemeinsame Verantwortlichkeit auch für andere Social-Media-Kanäle annehmen. Das dargestellte Vorgehen wird daher auch für den Einsatz eines YouTube-Kanals oder auch Twitter, Google+ oder Instagram nahegelegt. [2]

[1] http://curia.europa.eu/juris/document/document.jsf?text=&docid=202543&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=298398

[2] Aufzählung nicht abschließend; Aufsätze finden Sie von Dr. Thomas Schwenke – heise online.de; Linda Dannenberg – datenschutz-notizen.de; Anja M. Neubauer – meedia.de


Rechtstipp vom 05.08.2018
aus der Themenwelt Datenschutz und DSGVO und dem Rechtsgebiet IT-Recht

Sie haben Fragen? Gleich Kontakt aufnehmen!

Rechtstipps zum Thema

Rechtstipps des Autors