Zur Navigation springen Zum Inhalt springen Zum Footer springen

DSGVO/Facebook-Fanpage: FB stellt Vereinbarung wegen gemeinsamer Verantwortlichkeit zur Verfügung

(2)

Das Problem

Anfang Juni 2018 hat der Europäische Gerichtshof entschieden, dass die Betreiber von Facebook-Fanpage-Seiten (nachfolgend Seitenbetreiber genannt) datenschutzrechtlich als sog. „gemeinsame Verantwortliche“ gemeinsam mit Facebook für die Einhaltung des Datenschutzrechts zuständig sind (EuGH, 05.06.2018, Az. C-210/16).

Damit gingen zahlreiche Probleme für Seitenbetreiber einher, denn die Datenschutz-Grundverordnung legt gemeinsamen Verantwortlichen in Art. 26 DSGVO gesonderte Pflichten auf. So müssen die gemeinsamen Verantwortlichen eine transparente Vereinbarung darüber treffen, wer die Verpflichtungen aus der DSGVO gegenüber Betroffenen ausübt (bspw. Auskunftsersuchen beantwortet etc.) und diese den betroffenen Personen zur Verfügung stellen.

Die Datenschutzkonferenz der deutschen Datenschutzbehörden (DSK) stellten daher im Rahmen eines Anfang September 2018 veröffentlichten Beschlusses fest, dass der Betrieb einer Facebook-Fanpage rechtswidrig sei, weil die notwendige Vereinbarung zwischen Facebook und Seitenbetreiber nicht vorläge.

Die Reaktion von Facebook

Facebook hat inzwischen nachgebessert und eine Vereinbarung („Seiten-Insights-Ergänzung bezüglich des Verantworten“/Page Controller Addendum) veröffentlicht. Die Vereinbarung betrifft Seitenbetreiber, die die Funktion „Seiten-Insights“ nutzen. Sie finden die Vereinbarung hier: https://www.facebook.com/legal/terms/page_controller_addendum.

Im Rahmen dieser Vereinbarung übernimmt Facebook grundsätzlich die primäre Verantwortung für die Erfüllung der datenschutzrechtlichen Pflichten im Hinblick auf die Insights-Daten. Ferner übernimmt Facebook die Verantwortung im Hinblick auf

  • die Erfüllung der Informationspflichten (Art. 12-13 DSGVO),
  • die Betroffenenrechte (Art. 15-22 DSGVO9,
  • die Datensicherheit und
  • die Meldung von Datenschutzverstößen (Art. 32-34 DSGVO).

Unklar ist allerdings, wie die Vereinbarung Vertragsbestandteil wird. Im Rahmen des Unternehmensblogs von Facebook heißt es hierzu, dass bestehende Kunden mit Fanpage informiert werden und die Vereinbarung durch Weiternutzung Vertragsbestandteil wird.

Die Pflichten der Seitenbetreiber

Nichtsdestotrotz obliegen auch dem Seitenbetreiber weiterhin Pflichten im Hinblick auf seine Fanpage. Diese sind

  • Die grundsätzliche Pflicht zur datenschutzkonformen Verarbeitung personenbezogener Daten. Seitenbetreiber müssen folglich –wie bei jeder Datenverarbeitung personenbezogener Daten – eine Rechtsgrundlage (Art. 6 Abs. 1 DSGVO) für die Nutzung der Insights-Daten festlegen. Zu denken ist hier an Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse), da die Einholung einer Einwilligung technisch kaum umsetzbar ist.
  • Die Weiterleitung von Anfragen Betroffener, wenn diese bei dem Seitenbetreiber eingehen. Facebook stellt insoweit ein Kontaktformular zur Verfügung.
  • Auch wenn Facebook angekündigt hat, Datenschutzhinweise zur Verfügung zu stellen, besteht für den Seitenbetreiber weiterhin die Pflicht, eigene Datenschutzhinweise zu verwenden. Nur der Seitenbetreiber kann letztendlich über die Rechtsgrundlage und die Interessenabwägung im Falle von berechtigten Interessen informieren. Insoweit sollte auf der Hauptseite eine eigene Datenschutzerklärung (hierzu gibt es das Feld „Datenrichtlinie“) verlinkt werden (ähnlich wie bei dem Impressum). Der Link solle auch in der Facebook-App sichtbar sein. Im Rahmen dieser Datenschutzerklärung sollte auch auf die gemeinsame Verantwortung im Hinblick auf die Fanpage hingewiesen und auf die Datenschutzerklärung von Facebook verwiesen werden.

Erwähnenswert erscheint insoweit für Seitenbetreiber noch, dass Facebook eine Vereinbarung über die Geltung irischen Rechts und des Gerichtsstands in Irland trifft und auch die irische Datenschutzbehörde als aufsichtsführend bestimmt wird. Private Seitenbetreiber betrifft die Gerichtsstandsvereinbarung nicht, da für diese Personen das Gericht am Wohnsitz zuständig ist.

Das Restrisiko

Mit der Vereinbarung werden die Anforderungen des Art. 26 DSGVO vordergründig erfüllt, dennoch bleibt ein Restrisiko, da zweifelhaft erscheint, ob die Datenverarbeitung der Internetnutzer bei Besuch von Facebook-Seiten grundsätzlich rechtskonform erfolgt. Es bleibt hier abzuwarten, wie sich die Rechtsprechung hierzu entwickelt.

Auch die Frage, ob die Entscheidung des EuGH auf andere Plattformen und Geschäftsmodelle anwendbar ist, bleibt offen.

Haben Sie weitere Fragen zum Datenschutzrecht, stehe ich Ihnen gerne zur Verfügung.


Rechtstipp vom 12.09.2018
aus der Themenwelt Haftung für Inhalte und dem Rechtsgebiet IT-Recht

Sie haben Fragen? Gleich Kontakt aufnehmen!

Rechtstipps zum Thema

Rechtstipps des Autors

Alle Rechtstipps von Rechtsanwältin Nina Hiddemann (Fachanwaltskanzlei für IT-Recht)