Der EuGH (Urteil vom 5.6.2018 – C-210/16) hatte entschieden, dass Fanpage-Betreiber in der EU gemeinsam mit Facebook Ireland als für die Datenverarbeitung Verantwortlicher anzusehen sind.
Streng genommen hätten eigentlich massenweise Fanpages aus datenschutzrechtlichen Gründen geschlossen werden müssen. Diesen Standpunkt untermauerte der – drei Monate später veröffentlichte – Beschluss der Datenschutzkonferenz, in dem es heißt: „Ohne Vereinbarung nach Art. 26 DSGVO ist der Betrieb einer Fanpage, wie sie derzeit von Facebook angeboten wird, rechtswidrig.“
Facebook reagiert und legt nunmehr über den Seitenmanager eine Vereinbarung als Vertragsvereinbarung vor. Fanpage-Betreiber stimmen dieser Ergänzung automatisch zu, indem sie ihre Seite weiter nutzen. Wer der Ergänzung nicht zustimmen will, muss – laut Facebook – jedwede Nutzung von Seiten beenden.
Was steht in dieser Zusatzvereinbarung?
Die Zusatzvereinbarung beschreibt zunächst, dass Facebook und der jeweilige Fanpage-Betreiber gemeinsam für die Datenverarbeitung verantwortlich sind. Facebook übernimmt insofern die Haupt-Verantwortung für den Datenschutz.
Der Fanpage-Betreiber muss gemäß der Vereinbarung nun folgende Dinge klären bzw. auf der eigenen Seite folgende Informationen bereitstellen:
„…sicherstellen, dass du eine Rechtsgrundlage für die Verarbeitung von Insights-Daten gemäß DSGVO hast,…“
„…, den Verantwortlichen für die Datenverarbeitung der Seite benennst,…“
„…und jedwede sonstigen geltenden rechtlichen Pflichten erfüllst.“
Es ist also weiterhin möglich, dass Anfragen den Betreibern zugehen, weil die Datenschutzkonferenz in ihrem Fragen-Katalog mehr Fragen hatte als nur zum „ob“ der Vereinbarung. Problematisch ist jedoch, dass die Betreiber derzeit gerade nicht alle dieser Fragen beantworten können. Vor allem mit Blick auf die konkrete Verwendung der Daten. Facebook schreibt hierzu: „Diese Seiten-Insights-Ergänzung gewährt dir kein Recht, die Offenlegung von im Zusammenhang mit Facebook-Produkten verarbeiteten personenbezogenen Daten von Facebook-Nutzern zu verlangen, einschließlich für Seiten-Insights, welche wir dir bereitstellen.“ Die Betreiber sind folglich verpflichtet, solche Anfragen an Facebook weiterzuleiten, damit die angefragten Informationen Betreiber direkt von Facebook an die Aufsichtsbehörden gegeben werden können.
Die Frage, die sich Fanseitenbetreibern nun aufdrängt, ist, wie mit Datenschutzanfragen von Usern oder den Fragen der Aufsichtsbehörden umgegangen werden soll?
Facebook schreibt in seiner Zusatzvereinbarung ein genaues Verfahren, dass zwingend anlaufen muss, wenn eine Anfrage von Usern oder der Aufsichtsbehörden kommt:
„Wenn eine betroffene Person oder eine Aufsichtsbehörde gemäß DSGVO hinsichtlich der Verarbeitung von Insights-Daten und der von Facebook Ireland im Rahmen dieser Seiten-Insights-Ergänzung übernommenen Pflichten Kontakt mit dir aufnimmt (jeweils eine „Anfrage“), bist du verpflichtet, uns unverzüglich jedoch spätestens innerhalb von 7 Kalendertagen sämtliche relevanten Informationen weiterzuleiten. Zu diesem Zweck kannst du dieses Formular einreichen. Facebook Ireland wird Anfragen im Einklang mit den uns gemäß dieser Seiten-Insights-Ergänzung obliegenden Pflichten beantworten. Du stimmst zu, zeitnah sämtliche angemessenen Anstrengungen zu unternehmen, um mit uns an der Beantwortung jedweder derartigen Anfrage zusammenzuarbeiten. Du bist nicht berechtigt, im Namen von Facebook Ireland zu handeln oder zu antworten.“
Das Kontaktformular ist derzeit aber nicht abrufbar.
Ist mit der Neuregelung meine Fanpage nun rechts- bzw. abmahnsicher?
Mit der Vereinbarung nach Art. 26 DSGVO wird nunmehr die Forderung an die Rechtmäßigkeit der Datenschutzkommission grundsätzlich erfüllt. Entsprechend ist diese Reaktion von Facebook ein guter Schritt.
Facebook hat sich zu den wesentlichen Fragen geäußert, dies jedoch recht oberflächlich. Ob dies letztlich den rechtlichen Anforderungen der DSGVO standhalten wird, bedarf einer ausgiebigen Prüfung. Insbesondere Formulierungen wie beispielsweise: „jedwede sonstigen geltenden rechtlichen Pflichten erfüllen“ sind für den durchschnittlichen Fanpage-Betreiber viel zu weit gefasst. Facebook selbst muss darüber hinaus noch seine Datenschutzerklärung aktualisieren und die entsprechenden Informationspflichten erfüllen. Darin müsste dann klar formuliert sein, wie die Nutzerdaten konkret verwendet werden.
Letztlich muss klargestellt werden, dass die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO bedeutet, dass man theoretisch als Fanpage-Betreiber sogar für die Fehler von Facebook als sog. Gesamtschuldner (Art. 26 Abs. 3) verantwortlich gemacht werden könnte. Facebook nimmt die Fanpage-Betreiber ebenfalls in die Pflicht. Entsprechend hängt es also nicht nur von Facebook, sondern auch vom Fanpage-Betreiber selbst ab, ob die Bestimmungen der DSGVO eingehalten werden und man mit der eigenen Seite sicher ist.
Gerichtsstand: Irland!
Im Falle der gewerblichen Nutzung unterwirft sich der Fanpage-Betreiber gemäß der Vereinbarung ausschließlich irischem Recht. Im Falle eines Rechtsstreits müsste der Betreiber seine Ansprüche folglich in Irland durchsetzen. Ob diese Regelung letztlich Bestand haben wird, sei dahingestellt, derzeit muss man sich jedoch darauf einstellen.
Fazit
Die Aufsichtsbehörden werden sich das „Page Controller Addendum“ mit Sicherheit näher anschauen und einzelne Nachforderungen stellen. Dennoch muss jedem Fanpage-Betreiber dringend empfohlen werden, die Ergänzung mit Facebook zu schließen, da dieser damit deutlich mehr Rechtssicherheit gewinnt.
Sie sind sich nicht sicher, wie Sie mit Ihrer Facebook-Fanpage verfahren sollen?
Das Datenschutz-Team von List+ Lohr berät Sie gerne!