Datenschutz

Facebook-Fanpages nach EuGH-Urteil – Facebook reagiert

Der EuGH hat im Juni 2018 entschieden, Fanpage-Betreiber in der EU gemeinsam mit Facebook Ireland als für die Datenverarbeitung Verantwortlicher anzusehen sind. Danach war klar: Eigentlich müssten massenweise Social-Media-Fanpages aus datenschutzrechtlichen Gründen schließen. Drei Monate später hat die Datenschutzkonferenz einen Beschluss veröffentlicht, in dem es heißt: Facebook-Fanpages sind illegal, weil es keine Vereinbarung mit Facebook gibt. Nun hat Facebook reagiert. Was bedeutet das nun? Und was können Fanpage-Betreiber tun, um auf der sicheren Seite zu sein? 

[Update 11.09.2018]

Facebook reagiert und legt Vereinbarung vor

Kurz, nachdem bekannt wurde, dass die Datenschutzkonferenz (DSK) mangels einer Vereinbarung über die gemeinsame Verantwortlichkeit alle Facebook-Fanpages für illegal erklärt hat, reagiert Facebook und legt eine entsprechende Vereinbarung vor – das sog. „Page Controller Addendum ist “über den Seitenmanager einsehbar. Fanpage-Betreiber stimmen dieser Ergänzung automatisch zu, indem sie ihre Seite weiter nutzen. Wer dem nicht zustimmt, muss die jedwede Nutzung von Seiten beenden, schreibt Facebook.

Erfreulich ist, dass es sich hierbei um die geforderte Vereinbarung über die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO handelt. Somit wird der offensichtlich rechtswidrige Zustand aller Facebook-Fanpages, den die DSK wenige Tage zuvor beschlossen hatte, beendet. Sicherlich werden weitere Fragen zu klären sein, doch Fanpage-Betreiber dürfen jetzt erst einmal aufatmen. Ganz zurücklehnen können sie sich jedoch nicht, denn nach der Zusatzvereinbarung verlangt Facebook von ihnen auch die Erfüllung einiger Pflichten.

Was steht in der Zusatzvereinbarung?

Die Zusatzvereinbarung beschreibt zunächst den Status Quo, nämlich das Facebook und Fanpage-Betreiber gemeinsam für die Datenverarbeitung verantwortlich sind.

Facebook übernimmt in der Vereinbarung die Haupt-Verantwortung für den Datenschutz und kümmert sich insbesondere um die Auskunfts-, Sicherheits-, Informations- und Meldepflichten nach der DSGVO:

  • Informationspflichten (Art. 12 – 13 DSGVO)
  • Betroffenenrechte (Art. 15 – 22 DSGVO)
  • Datensicherheit und Meldung von Datenschutzverletzungen (Art. 32-34 DSGVO)

Doch Fanpage-Betreiber müssen nach dieser Vereinbarung nun folgende Dinge für sich klären bzw. auf ihrer eigenen Seite folgende Informationen bereitstellen:

  • „sicherstellen, dass du eine Rechtsgrundlage für die Verarbeitung von Insights-Daten gemäß DSGVO hast“. Eine Möglichkeit hierfür bietet Art. 6 Abs.1 lit. f der DSGVO, die überwiegenden berechtigten Interessen. Es könnte nämlich ein berechtigtes betriebswirtschaftliches und kommunikatives Interesse an dem Angebot eines Informations- und Kommunikationskanals bestehen. Möglicherweise muss man aber sogar selbst eine Einwilligung der Nutzer einholen.
  • „den Verantwortlichen für die Datenverarbeitung der Seite benennen„.
  • „jedwede sonstigen geltenden rechtlichen Pflichten erfüllen“
  • Außerdem sollen Betreiber alle Nutzeranfragen oder Kontaktaufnahmen der Aufsichtsbehörden mittels eines Formulars direkt an Facebook weiterleiten. Facebook und der Betreiber müssen dann die Angelegenheit gemeinsam klären.

Es bietet sich also an, in der eigenen Datenschutzerklärung noch einige spezielle Datenschutzinformationen speziell für die sozialen Netzwerke bereitzuhalten. Denn obwohl Facebook im Kern alle Informationspflichten übernimmt, hat man als Verantwortlicher für die Seite immer noch eine Pflicht, über die eigene Rechtsgrundlage der Verarbeitung aufzuklären sowie den Verantwortlichen der Seite zu benennen. Auch sollte man die Nutzer über ihre Rechte aufklären, die ja zunächst auch gegenüber dem Seiten-Betreiber geltend gemacht werden können, auch wenn diese intern dann an Facebook weitergeleitet werden. Zusätzlich sollte man die Nutzer darüber aufklären, welche Verantwortung Facebook für die Insights-Daten übernimmt. Schließlich sollte man auch über andere als die betroffenen „Insights“-Daten, die gesammelt werden, vollumfassend informieren. Der Link auf die eigene Datenschutzerklärung muss bei Facebook selbst platziert werden.

Werden die Fragen der DSK nun trotzdem an Fanpage-Betreiber versendet werden?

Es ist weiterhin möglich, dass diese Fragen bald vielen Betreibern zugehen, weil die DSK ja mehr Fragen hatte als nur solche zum „ob“ der Vereinbarung. Doch nicht alle Fragen können die Betreiber aber beantworten, gerade wenn es um die konkrete Verwendung der Daten geht. So lässt sich Facebook ausdrücklich absichern, dass Fanpage-Betreiber kein Recht haben, „die Offenlegung von im Zusammenhang mit Facebook-Produkten verarbeiteten personenbezogenen Daten von Facebook-Nutzern zu verlangen, einschließlich für Seiten-Insights, welche wir dir bereitstellen.“ 

Allerdings sind Betreiber dann verpflichtet, solche Anfragen an Facebook weiterzuleiten. Das Unternehmen wird diese Informationen dann offensichtlich selbst in Zusammenarbeit mit dem Betreiber an die Aufsichtsbehörden weiterleiten.

Wie reagiere ich als Fanseitenbetreiber mit Anfragen von Usern oder der Aufsichtsbehörden?

Facebook schreibt in seiner Zusatzvereinbarung ein genaues Verfahren, dass zwingend anlaufen muss, wenn eine Anfrage von Usern oder der Aufsichtsbehörden kommt:

„Wenn eine betroffene Person oder eine Aufsichtsbehörde gemäß DSGVO hinsichtlich der Verarbeitung von Insights-Daten und der von Facebook Ireland im Rahmen dieser Seiten-Insights-Ergänzung übernommenen Pflichten Kontakt mit dir aufnimmt (jeweils eine „Anfrage“), bist du verpflichtet, uns unverzüglich jedoch spätestens innerhalb von 7 Kalendertagen sämtliche relevanten Informationen weiterzuleiten. Zu diesem Zweck kannst du dieses Formular einreichen. Facebook Ireland wird Anfragen im Einklang mit den uns gemäß dieser Seiten-Insights-Ergänzung obliegenden Pflichten beantworten. Du stimmst zu, zeitnah sämtliche angemessenen Anstrengungen zu unternehmen, um mit uns an der Beantwortung jedweder derartigen Anfrage zusammenzuarbeiten. Du bist nicht berechtigt, im Namen von Facebook Ireland zu handeln oder zu antworten.“

Reicht die neue Regelung aus, damit ich mit meiner Fanpage sicher bin?

Zunächst einmal existiert nun eine Vereinbarung nach Art. 26 DSGVO. Deren Fehlen hatte die DSK dazu gebracht, zu beschließen, dass alle Facebook Fanpages rechtswidrig sind. Damit ist allein diese Reaktion von Facebook zu begrüßen.

Zumindest auf den ersten Blick scheint Facebook etwas zu den wesentlichen Fragen geschrieben zu haben. Die Vereinbarung ist aber recht kurz. Ob diese aber den rechtlichen Anforderungen der DSGVO im Detail standhalten, bedarf einer ausgiebigen Prüfung. Manche Formulierungen lassen die Fanpage-Betreiber im Unklaren, etwa darüber, wie weit ihre Informationspflichten reichen und welche anderen Pflichten Facebook meint, wenn es schreibt: „jedwede sonstigen geltenden rechtlichen Pflichten erfüllen“.

Auch muss Facebook noch selbst seine Datenschutzerklärung aktualisieren und die entsprechenden Informationspflichten erfüllen, so wie angekündigt. Dies ist noch nicht geschehen. Darin müsste dann mehr darüber stehen, wie die Nutzerdaten konkret verwendet werden.

Letztlich ist es aber die Entscheidung der Aufsichtsbehörden, ob ihnen die Vereinbarung ausreicht oder nicht. Wenn die Vereinbarung nicht die Formvorschriften erfüllt, können dennoch Bußgelder verhängt werden. Gemeinsame Verantwortlichkeit nach Art. 26 DSGVO bedeutet im Übrigen, dass man als Fanpage-Betreiber zumindest theoretisch sogar für die Fehler von Facebook als sog. Gesamtschuldner (Art. 26 Abs. 3) verantwortlich gemacht werden kann. Am Ende werden die Gerichte entscheiden. Vor allem aber muss hier überprüft werden, ob es akzeptabel ist, dass Facebook allein nach irischem Recht beurteilt werden will.

Darüber hinaus nimmt Facebook die Fanpage-Betreiber selbst in die Pflicht. Somit hängt es nicht nur von Facebook selbst, sondern auch vom Fanpage-Betreiber selbst ab, ob die Bestimmungen der DSGVO eingehalten werden und man mit der eigenen Seite sicher ist.


[Update 10.09.2018] 

DSK-Beschluss – Facebook-Fanpages sind illegal

In einem aktuellen Beschluss hat die Datenschutzkonferenz (DSK) nun festgestellt: Alle derzeit aktiven Facebook-Fanpages sind rechtswidrig. Dies unter anderem deswegen, weil Facebook es versäumt hat, drei Monate nach dem EuGH-Urteil Vereinbarungen über die gemeinsame Verantwortlichkeit auszuarbeiten, um darin die notwendigen datenschutzrechtlichen Aufgaben der beiden Vertragspartner zu regeln. „Ohne Vereinbarung nach Art. 26 DSGVO ist der Betrieb einer Fanpage, wie sie derzeit von Facebook angeboten wird, rechtswidrig,“ heißt es in dem am Montag bekannt gewordenen Dokument. Trotz Ankündigung seitens Facebook habe das Unternehmen noch keine entsprechende Vorlage erstellt. „Die deutschen Datenschutzaufsichtsbehörden wirken daher auf europäischer Ebene auf ein abgestimmtes Vorgehen gegenüber Facebook hin,“ heißt es. Fanpage-Betreiber hängen in der Luft.

Zwar sind DSK-Beschlüsse rechtlich nicht bindend. Sie haben jedoch auf Grund der fachlichen Kompetenz und der Autorität der Konferenzteilnehmer faktische Auswirkungen auf die Entwicklung des Datenschutzes.

Weiter heißt es in dem Dokument: Auch die Änderungen, die Facebook an seinem Dienst vorgenommen hat, reichen nach Ansicht der DSK nicht aus, Facebook-Fanpages datenschutzkonform zu gestalten. Weiterhin würden auch bei Personen, die keine Facebook-Nutzer sind, Cookies mit Identifikatoren gesetzt, jedenfalls wenn sie über die bloße Startseite einer Fanpage hinaus dort einen Inhalt aufrufen. Auch würden nach wie vor die Fanpage-Besuche von Betroffenen nach bestimmten, teilweise voreingestellten Kriterien im Rahmen einer sogenannten Insights-Funktion von Facebook ausgewertet und den Betreiberinnen und Betreibern zur Verfügung gestellt.

Daher fordert die DSK, dass nun die Anforderungen des Datenschutzrechts beim Betrieb von Fanpages erfüllt werden. Dazu gehört insbesondere, dass auch die Seitenbetreiber die erforderlichen Informationen den betroffenen Besuchern bereitstellen. Auch müssten sie die Rechtmäßigkeit der Datenverarbeitung gewährleisten und dies nachweisen können. Schließlich ist ein Fragenkatalog angehängt, den nicht nur Facebook, sondern auch alle Fanpage-Betreiber werden beantworten müssen. Es ist möglich, dass diese Fragen bald vielen Betreibern zugehen.

Das Perfide ist: Auch der DSK ist klar, dass Betreiber diese Fragen nicht ohne Facebook beantworten können. Schließlich hat man weder Einsicht in die Datenverarbeitung bei Facebook noch Einfluss auf das Unternehmen. Auch die Vereinbarung nach Art. 26 DSGVO können Betreiber ohne Facebook nicht schließen. Und obwohl sich der Beschluss wie eine Mahnung an Facebook liest, konkretisiert der Beschluss das Damoklesschwert, das über den Fanpages liegt: So könnte, da die Erfüllung der datenschutzrechtlichen Anforderungen derzeit unmöglich ist, zumindest theoretisch bald die Schließung von Facebook-Fanpages angeordnet werden. So würde der Druck auf Facebook verlagert werden – wenn die Fanpages dicht gemacht werden, müsste auch Facebook reagieren, denn ohne Fanpages entgeht ihnen deren wichtigstes Kapital, die Werbetreibenden. Leidtragende wären Fanpage-Betreiber, die sehr viel Zeit und Mühe in den Aufbau einer Community betrieben haben. So wie wir von WBS. Wir jedenfalls gehen das Risiko ein, warten ab und gehen mit unserer Fanpage nicht offline.

[Update Ende]


Worum ging es eigentlich vor dem EuGH?

„Die Wirtschaftsakademie Schleswig-Holstein ist (WAK) ein auf den Bereich Bildung spezialisiertes Unternehmen. Sie bietet u. a. über eine auf Facebook unter der Adresse www.facebook.com/wirtschaftsakademie unterhaltene Fanpage Bildungsdienstleistungen an. Die Betreiber von Fanpages wie die Wirtschaftsakademie können mit Hilfe der Funktion Facebook Insight, die ihnen Facebook als nicht abdingbaren Teil des Benutzungsverhältnisses kostenfrei zur Verfügung stellt, anonymisierte statistische Daten betreffend die Nutzer dieser Seiten erhalten. Diese Daten werden mit Hilfe sogenannter Cookies gesammelt, die jeweils einen eindeutigen Benutzercode enthalten, der für zwei Jahre aktiv ist und den Facebook auf der Festplatte des Computers oder einem anderen Datenträger der Besucher der Fanpage speichert. Der Benutzercode, der mit den Anmeldungsdaten solcher Nutzer, die bei Facebook registriert sind, verknüpft werden kann, wird beim Aufrufen der Fanpages erhoben und verarbeitet. Das unabhängige Landeszentrum für Datenschutz Schleswig Holtstein (ULD) hatte der WAK angeordnet, ihre Fanpage zu deaktivieren. Warum? Nun, weder die Wirtschaftsakademie selbst noch Facebook wiesen Besucher der Fanpage darauf hin, dass Facebook mittels Cookies ihre personenbezogenen Daten erhebe und diese für Werbezwecke sowohl nutze als auch verarbeite, um Besucherstatistiken für die Akademie, der Betreiberin der Seite, zu generieren. Diese Cookies würden genutzt, ohne dass die Nutzer hierüber hinreichend aufgeklärt würden und in diese Nutzung eingewilligt hätten.

Im Kern ging es um die Frage, ob auch Betreiber von Facebook-Fanpages für Datenschutzverstöße, die durch Facebook begangen werden, verantwortlich sind. Sollten sie Verantwortlicher sein, drohen bei datenschutzrechtlichen Verstößen hohe Bußgelder.

Die Akademie ging 2013 zunächst erfolgreich gegen die Anordnung vor dem Verwaltungsgericht (VG) Schleswig-Holstein vor. Die Wirtschaftsakademie erhob beim Verwaltungsgericht in Deutschland eine verwaltungsgerichtliche Klage gegen diesen Bescheid und machte geltend, dass ihr die Verarbeitung personenbezogener Daten durch Facebook nicht zugerechnet werden könne und sie Facebook auch nicht mit einer von ihr kontrollierten oder beeinflussbaren Datenverarbeitung beauftragt habe. Daraus leitete die Wirtschaftsakademie ab, dass das Unabhängige Landeszentrum direkt gegen Facebook und nicht gegen sie hätte vorgehen müssen.

Über das Oberverwaltungsgericht (OVG) Schleswig-Holstein, welches die Berufung zurückgewiesen hatte, gelangte der Rechtsstreit zum Bundesverwaltungsrecht (BVerwG). Nach einem mehr als fünf Jahre andauernden Rechtsstreit blieb die erhoffte Klärung durch das BVerwG allerdings aus, denn das BVerwG hatte in seinem Beschluss keine Entscheidung getroffen. Vielmehr wurde das Verfahren ausgesetzt und es wurden am 25. Februar 2017 sechs Vorlagefragen im Rahmen eines Vorabentscheidungsverfahrens an den EuGH gerichtet.

Die Vorlagefragen des BVerwG

Die Vorlagefragen betrafen insgesamt drei Themenkomplexe: Im Fokus stand die Frage, wer für die Datenverarbeitung verantwortlich sei (Vorlagefragen 1 und 2). Das BVerwG hatte in der Vorlage an den EuGH -an die Vorentscheidungen anknüpfend- eine Verantwortlichkeit der Fanpage-Betreiber abgelehnt.

Der zweite Komplex betraf die Frage nach dem anwendbaren Recht, welches zugleich die Zuständigkeiten der Aufsichtsbehörden regelt (Vorlagefragen 3 und 4).

Der dritte Themenkomplex betraf die Frage inwieweit europäische Aufsichtsbehörden ihr Vorgehen miteinander abstimmen müssen (Vorlagefragen 5 und 6).

Der Generalanwalt bezog bereits Stellung

Der EuGH-Generalanwalt Yves Bot hatte bereits im Oktober 2017 in seinen Schlussanträgen zu den rechtlichen Fragen des BVerwG Stellung genommen.

Der EuGH-Generalanwalt betonte in seinen Schlussanträgen, das BVerwG gehe in seinen Vorlagefragen 1 und 2 von einer falschen Prämisse aus und bejahte, anders als die deutschen Gerichte zuvor, eine gemeinsame Verantwortlichkeit von Facebook und dem Betreiber.

Facebook-Fanpage der Kanzlei WBS: „Die Aufklärer“

Der Generalanwalt stellte fest, dass er für den Verarbeitungsschritt der Erhebung der Daten eine gemeinsame Verantwortlichkeit von Facebook Ireland, Facebook Inc. und der privaten Wirtschaftsakademie als Betreiberin der Fanpage sehe. Der Begriff des „Verantwortlichen“ sei weit zu verstehen. Zwar seien hauptsächlich Facebook Ireland und Facebook Inc. verantwortlich, doch auch der Betreiber einer Fanpage sei bei der Erhebung von Daten mitverantwortlich, auch weil er in die geltenden Bestimmungen Facebooks bei der Erstellung der Fanpage eingewilligt habe. Zumal jedem Fanpage-Betreiber freistehe, die Datenverarbeitung durch Facebook jederzeit zu beenden, indem man die Seite einfach lösche.

Bei der Frage des anwendbaren Rechts gibt es neben der amerikanischen Facebook Inc. für die Verarbeitung der Daten europäischer Nutzer noch die Facebook Ireland und Facebook Germany, welches sich um das nationale Werbegeschäft kümmert. Dem BVerwG war unklar, ob überhaupt deutsches Datenschutzrecht Anwendung findet. Je nach dem welches Recht anwendbar ist, ergibt sich dann auch die Zuständigkeit der Aufsichtsbehörde. Sollte nicht deutsches Recht anwendbar sein und damit auch keine deutsche Aufsichtsbehörde zuständig sein, so hätte im konkreten Fall das unabhängige Landeszentrum für Datenschutz Schleswig Holtstein, wegen fehlender Kompetenz,  gar nicht anordnen dürfen, die Seite der WAK zu deaktivieren.

Allerdings würden auch bei der deutschen Facebook Niederlassung Daten verarbeitet, wenn man als Nutzer auf eine Fanpage gehe, da diese das nationale Werbegeschäft betreibe. Der Generalanwalt sah hier eine untrennbare Verknüpfung zwischen dem Werbegeschäft und der Verarbeitung von Daten. Die Datenerhebung und Verarbeitung diene ja gerade dazu, noch effektivere Werbung zu schalten. Daher seien auch deutsche Aufsichtsbehörden zuständig. Der EuGH-Generalanwalt favorisierte hier zwar die Option, dass sich die Aufsichtsbehörde direkt an die verarbeitende Facebook-Niederlassung wende, doch sei der Behörde freigestellt, sich auch an die Betreiber der Fanpages zu wenden.

Die EuGH-Entscheidung: Die wichtigsten Fragen und Antworten von RA Solmecke

Der Europäische Gerichtshof (EuGH) hat am 05. Juni 2018 entschieden, dass die datenschutzrechtliche Verantwortung von Facebook-Fanpages beim Betreiber und bei Facebook liegt. Wer eine Seite bei Facebook betreibt, muss also auch für Datenschutzverstöße mithaften (Rechtssache C‑210/16).

Der EuGH hat geurteilt, dass Betreiber einer Fanpage gemeinsam mit Facebook Ireland für die Datenverarbeitung als Verantwortlicher anzusehen sind. Das heißt: Betreiber sind für die Verarbeitung personenbezogener Daten durch den Facebook-Konzern mitverantwortlich. Darüber hinaus entschied der EuGH, dass deutsche Datenschutzbehörden zuständig sind und z.B. die Nutzung von Facebook-Fanpages untersagen dürfen.

Das Urteil ist übrigens nicht nur für Betreiber von Fanpages, sondern auch für Privatpersonen von Relevanz, denn das Datenschutzrecht unterscheidet grundsätzlich nicht zwischen Privatpersonen oder Unternehmen. Lediglich die Risiken dürften für Privatpersonen geringer sein. Und: die Entscheidung des EuGH bezieht sich zwar im konkreten Fall nur auf Facebook, doch meiner Auffassung nach lässt sich das Urteil auch auf alle anderen Dienste und Tools übertragen, ganz gleich ob diese Instagram, Twitter oder YouTube heißen.

Für alle Betreiber bedeutet das heutige Urteil, dass die aktuelle Fanpage-Nutzung rechtswidrig ist. Denn mit heutigen Urteil ist klar, dass Betreiber einer Fanpage u.a. beispielsweise eine Datenschutzerklärung vorhalten müssen, wie es bislang  „nur“für Webseiten vorgesehen war. Auch müssen Betreiber nun Nutzern gegenüber Auskunft erteilen, ob Daten gespeichert und verarbeitet werden und wenn ja, wie genau. Dass jedoch kann nur Facebook, da Betreibern überhaupt nicht bekannt ist, in welcher Art und Weise Daten von Facebook erhoben und verarbeitet werden. Ein Irrsinn, denn damit steht es derzeit Fanpage-Betreibern nur noch offen, ihre Seiten zu löschen. Eine rechtskonforme Umsetzung ist derzeit schlicht unmöglich. Unternehmer müssen nun den Nutzen der eigenen Seite einerseits und das Risiko von etwaigen Abmahnkosten abwägen. Wer keine hohen Kosten tragen kann oder will, der muss seine Seite wohl oder übel offline stellen“.

[Update 08.06.2018]:

DSK äußerte sich überraschend schnell

Das EuGH-Urteil hat europaweit für Aufsehen und zu erheblicher Rechtsunsicherheit, vor allem bei Unternehmen, geführt. Das war leider auch zu erwarten, ist es doch nicht die Aufgabe des EuGH, konkrete Handlungsanweisungen zu geben, wie die Urteile letztlich in die Praxis umgesetzt werden sollen. Die Datenschutzkonferenz (DSK) hat nun sehr zeitnah eine Entschließung zu den sich aus ihrer Sicht ergebenden Folgen der Entscheidung für Betreiber von Fanpages veröffentlicht.

Zur kurzen Information: Die Beschlüsse und Entschließungen der Konferenz sind rechtlich nicht bindend. Sie sind weder Gesetz noch Verwaltungsakt. Sie haben jedoch auf Grund der fachlichen Kompetenz und der Autorität der Konferenzteilnehmer faktische Auswirkungen auf die Entwicklung des Datenschutzes.

Die DSK begrüßt das EuGH-Urteil und stellt fest, dass Betreiber einer Fanpage „selbst mitverantwortlich für die Einhaltung des Datenschutzes gegenüber den Nutzenden ihrer Fanpage“ sind. Das ist wenig überraschend, ist es doch die Kernaussage des EuGH-Urteils. Zudem folgt die DSK unserer bereits mehrfach geäußerten Auffassung, dass Betreiber „die Verpflichtungen aus den aktuell geltenden Regelungen der Datenschutz-Grundverordnung (DSGVO) beachten“ müssen.

Im Einzelnen sind laut DSK nun Folgende vier Punkte zu beachten.

  • Wer eine Fanpage besucht, muss transparent und in verständlicher Form darüber informiert werden, welche Daten zu welchen Zwecken durch Facebook und die Fanpage-Betreiber verarbeitet werden. Dies gilt sowohl für Personen, die bei Facebook registriert sind, als auch für nicht registrierte Besucherinnen und Besucher des Netzwerks.
  • Betreiber von Fanpages sollten sich selbst versichern, dass Facebook ihnen die Informationen zur Verfügung stellt, die zur Erfüllung der genannten Informationspflichten benötigt werden.
  • Soweit Facebook Besucherinnen und Besucher einer Fanpage durch Erhebung personenbezogener Daten trackt, sei es durch den Einsatz von Cookies oder vergleichbarer Techniken oder durch die Speicherung der IP-Adresse, ist grundsätzlich eine Einwilligung der Nutzenden erforderlich, die die Anforderung der DS-GVO erfüllt.
  • Für die Bereiche der gemeinsamen Verantwortung von Facebook und Fanpage-Betreibern ist in einer Vereinbarung festzulegen, wer von ihnen welche Verpflichtung der DS-GVO erfüllt. Diese Vereinbarung muss in wesentlichen Punkten den Betroffenen zur Verfügung gestellt werden, damit diese ihre Betroffenenrechte wahrnehmen können.

Klare Antworten und eine klare Positionierung bleibt die DSK jedoch schuldig. Unternehmen dürften sich darüber sicher enttäuscht zeigen. Ihnen sollte klar sein, dass es mit der Umsetzung der wenigen DSK-Vorgaben sicherlich nicht getan ist, wenn man seine Fanpage DSGVO-konform einsetzen möchte. Interessant ist aber die Tatsache, dass die DSK nicht erwähnt, dass Fanpages abgeschaltet werden sollen. Und zwar selbst dann nicht, wenn die von der DSK zwingend vorgegeben Anforderungen nicht eingehalten werden

[Update Ende].

Was konkret hat der EuGH bezüglich Fanpages entschieden?

Der EuGH hat entschieden, dass das Betreiben einer Fanpage bei Facebook eine Mitverantwortung bezüglich der Einhaltung der Datenschutzbestimmungen begründet. Hierfür führt der EuGH als Begründung insbesondere an, dass der Betreiber Facebook ermöglicht, Daten über Personen zu erheben, die nicht über ein Facebook- Konto verfügen. Außerdem macht sich der Betreiber der Fanpage die Infrastruktur von Facebook inklusive der Datenerhebung zu Nutze.

Es ist nicht erforderlich, dass der Betreiber Zugriff auf die Daten hat die verarbeitet werden, da er an der Erhebung der Daten mitgewirkt hat und die Ergebnisse der Datenverarbeitung in Form von Auswertungen abrufen kann.

Als Konsequenz hieraus ergibt sich, dass der Betreiber der Fanpage alle datenschutzrechtlichen Pflichten erfüllen muss, um sich nicht rechtswidrig zu verhalten. Insbesondere muss er bei Anfrage Auskunft erteilen, welche Daten bei wem, wo und für welchen Zweck gespeichert sind. Er müsste außerdem sämtliche Datenverarbeitungsvorgänge in einer eigenen Datenschutzerklärung darlegen und eine Widerspruchsmöglichkeit für den Nutzer vorhalten.

Diese Informationen fehlen jedoch dem Fanpage-Inhaber in der Regel, sodass er diese Pflichten nicht erfüllen kann. Daher ist er darauf angewiesen, dass Facebook alle datenschutzrechtlichen Vorgaben einhält und kein Verstoß vorliegt. Wenn ein solcher Verstoß vorliegt, dann ist der Betreiber verantwortlich, obwohl er keine Chance hatte, etwas dagegen zu unternehmen.

Ob ein Datenschutzverstoß vorliegt, hat der EuGH allerdings gar nicht entschieden. Diese Entscheidung muss nun wieder das BVerwG treffen, wobei es nicht unwahrscheinlich ist, dass ein Datenschutzverstoß angenommen werden kann, da die Datenschutzerklärung von Facebook nicht ohne Weiteres verständlich und einfach aufzufinden war. Insofern gibt es erhebliche Bedenken, ob nicht doch ein Datenschutzverstoß vorliegt.

Gilt das Urteil auch für private Facebook-Nutzer?

Die klare Antwort lautet: Ja! Das Datenschutzrecht unterscheidet nicht zwischen Unternehmen und Privaten oder Verbrauchern, sondern stellt nur auf die Datenverarbeitung oder Erhebung ab. Daher ist das oben benannte grundsätzlich auch auf private Facebook- Nutzer anwendbar. Dies gilt in erster Linie für Fanpage- Betreiber, jedoch gibt es auch Stimmen, die diese Rechtsprechung auf private persönliche Facebook- Profile ausdehnen wollen.

Man muss jedoch festhalten, dass das Verfolgungsrisiko für Privatpersonen weitaus geringer ist. Jedoch sind werden die meisten Facebook-Profile nicht rein persönlicher und familiärer sein. Außerdem können Privatpersonen auch nicht von Wettbewerbern abgemahnt werden.

Was passiert nun? Was sollen Fanpage-Betreiber tun?

Zunächst einmal muss nun das BVerwG sein eigenes Urteil aufgrund der Entscheidung des EuGH treffen. Dabei muss nun konkret geklärt werden, ob ein Datenschutzverstoß vorlag und wie sich die Mitverantwortung konkret darstellt, denn Mitverantwortung bedeutet nicht das der Fanpage-Betreiber und Facebook zu gleichen Teilen haften. Außerdem muss auch zumindest in diesem Fall geklärt werden, ob die Datenschutzbehörde sich an die Wirtschaftsakademie wenden durfte oder direkt gegen Facebook vorgehen musste.

Wenn Datenschutzverstöße vom BVerwG festgestellt werden, dann müssen alle Fanpage-Betreiber und möglicherwiese auch private Facebook- Nutzer mit Abmahnungen und Untersagungsverfügungen rechnen. Die daraus entstehenden Kosten muss auch grundsätzlich Facebook nicht erstatten.

Daher kann man sich nur vollumfänglich absichern, indem man die eigene Fanpage löscht. Diese Vorgehensweise ist sicherlich für die meisten Fanpage- Betreiber sehr unattraktiv, so dass man auch das Abmahnrisiko gegen das eigene wirtschaftliche Interesse an der Seite abwägen kann. Es sprechen momentan viele Gründe dafür, dass auch die Abmahner noch die endgültige Entscheidung in diesem Fall abwarten, um Rechtssicherheit zu erlangen. Daher ist es nicht geboten sofort den Betrieb der Fanpage einzustellen.

In jedem Fall sollte in der eigenen Datenschutzerklärung ein entsprechender Hinweis aufgenommen werden, dass Daten erhoben werden. Jedoch ist damit noch nicht das gesamte Problem gelöst, denn die Informationspflicht ist nur eine von vielen datenschutzrechtlichen Pflichten, die der Betreiber einer Fanpage, in der Regel nicht erfüllen kann, da er keinen unmittelbaren Zugriff auf die Daten erhält.

Was ist mit der DSGVO?

Der Entscheidung des EuGH liegt ein Sachverhalt aus dem Jahr 2011 zu Grunde. Daher stimmt es, was viele Medien schrieben, dass der EuGH über die Auslegung der Datenschutzrichtlinie (Richtlinie 95/46/EG, dort Art.2 lit d, 4 und 28) entschieden hat. Diese Richtlinie aus dem Jahre 1995 wurde auch tatsächlich durch die Datenschutzgrundverordnung (DSGVO) aufgehoben und abgelöst. Da aber auch die seit dem 25. Mai 2018 wirksame DSGVO regelt, dass es mehrere Verantwortliche für die Verarbeitung von Daten geben kann, wenn sie jeweils über die Mittel und Zwecke der Datenverarbeitung bestimmen können (Art. 4 Nr. 7 Satz 1 DSGVO), kann die EuGH-Entscheidung ohne weiteres auf die DSGVO übertragen werden. In der DSGVO lautet es an entsprechender Stelle:

„Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.“

Insofern muss klar gesagt werden, dass die gestrige EuGH-Entscheidung keineswegs nur symbolischen Charakter hat, sondern sehr wohl auf aktuelle Fanpages übertragen werden kann. Denn derjenige, der eine Facebook-Seite betreibt, ist auch für die Verarbeitung personenbezogener Daten durch Facebook und für die Erfüllung der Informationspflichten sowie die Ansprüche der betroffenen Nutzer mitverantwortlich.

Die Datenschutzbehörde nach der DSGVO wesentlich empfindlichere Strafen verhängen, so dass sie in der Zukunft wohl auch in der Lage ist Facebook zu belangen und entsprechende Verstöße direkt durch Facebook, ohne Umwege über die Fanpage- Betreiber, beseitigen zu lassen.

Welche Auswirkungen hat das Urteil auf Facebook und auf mögliche andere Dienste?

Das Urteil des EuGH hat mit einem Schlag eine mögliche Haftung aller Facebook- Nutzer begründet. Dieses Risiko hat Konsequenzen für Facebook und die gesamte Internetlandschaft.

Facebook steht nun vor dem Problem, dass die Datenschutzbehörden in jedem Land gegen Facebook vorgehen können. Darüber hinaus besteht für Facebook die Gefahr Nutzer zu verlieren, da diese nicht in die Haftung genommen werden möchten.

Die Rechtsprechung bezieht sich zwar nur auf Facebook, sie lässt sich jedoch auf sämtliche Konstellationen anbieten, bei denen nutzergenerierte Inhalte genutzt werden, um Daten zu sammeln und zu verarbeiten. Dies könnte also ebenso Google Analytics, Twitter oder Youtube betreffen. Es wird sich zeigen müssen, wie sich die Situation hier langfristig entwickelt. Denkbar ist, dass die großen Plattformbetreiber sich schützend vor ihre Nutzer stellen. Ebenso kann es auch sein, dass die Datenschutzbehörden sich in erster Linie an die Plattformbetreiber halten. Jedoch bleibt das Schreckensszenario, dass auch die Nutzer in die Haftung genommen werden. Diese Konstellation hat der EuGH mit seinem Urteil ermöglicht.

Christian Solmecke ist Partner der Kanzlei WILDE BEUGER SOLMECKE und inbesondere in den Bereichen des IT-, des Medien- und des Internetrechts tätig. Darüber hinaus ist er Autor zahlreicher juristischer Fachveröffentlichungen in diesen Bereichen.

Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (16 Bewertungen, Durchschnitt: 4,75 von 5)

RSSKommentare (15)

Kommentar schreiben

  1. Daniel sagt:

    Offenbar gab es eine Entscheidung:
    Der Europäische Gerichtshof in Luxemburg hat entschieden, dass nicht nur Facebook, sondern auch auch der Betreiber einer Facebookseite für die Daten der Besucher verantwortlich ist.
    Quelle in Webseite eingetragen

  2. teena sagt:

    Hat die Kanzlerin eine Fanpage?

    Abmahnen bitte… mal sehen was passiert 😉

  3. Mustafa sagt:

    @teena, ich würde sogar vermuten, dass nahezu jeder Politiker bei Facebook (abseites eines rein privaten Profils) aktiv ist. Selbst der Bundestag als solcher 😀
    Aber ich glaub, da kann man nicht abmahnen(?), sondern nur jeden Fall als Beschwerde der Datenschutzbehörde melden – die werden jetzt versinken in eingehenden Beschwerden…
    Wie ist es mit Twitter? – gibt es da eine ähnliche Konstellation bzgl. dem Datenschutz?

  4. thomas molck sagt:

    Sie schreiben „Ein Irssinn, denn damit steht es derzeit Fanpage-Betreibern nur noch offen, ihre Seiten zu löschen. Eine rechtskonforme Umsetzung ist derzeit schlicht unmöglich.“ Was bedeutet das denn für Ihre Fanpage:
    https://www.facebook.com/die.aufklaerer

    Und trifft die Argumentation des EuGH nicht auch Profile auf anderen Sozial Medie Kanälen?

  5. Dirk Sundmäker sagt:

    Wie sieht es denn dann bei Privatprofilen (wenn ich keine Fanpage sondern nur ein normales Profil anlege) und Facebookgruppen aus? Gibt es da einen Unterschied?

  6. Ist es schlimm, wenn ich mit der Einschätzung von Christian nicht 100% d’accord gehe? Und das aus mehreren Gründen. Das Urteil bezieht sich auf einen Fall von 2011, wo die EU-Richtlinie 95/46 noch galt, die wurde ja durch die DSGVO abgelöst. Schaue ich nun mir Artikel 26 EU-DSGVO an, steht dort:

    1. Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind. In der Vereinbarung kann eine Anlaufstelle für die betroffenen Personen angegeben werden.

    Somit müsste Facebook meines Erachtens nach einfach nur ne ADV anbieten und als Betreiber einer Facebook-Page müsste man eine Datenschutzerklärung anbieten. Oder habe ich da nun einen Denkfehler?

  7. Sephi sagt:

    Tut mir leid, das wird mir am A**** vorbei gehen und ich werde die Briefe einfach verfeuern, sofern da irgendwas kommt

  8. winston sagt:

    Wenn ich das richtig sehe, ist die Fanpage immer noch online und hat zudem keine Datenschutzerklärung bzw. keinen Link zu einer solchen 😉 Wie stützt das nun Ihre Argumentation, die ich ansonsten schlüssig finde. Nichts desto trotz vielen Dank für Ihre Aufklärung!!

  9. der Dsb sagt:

    „Update 19.09.2018: DSK-Beschluss – Facebook-Fanpages sind illegal“ -> Gibt es dann ein Update oder können Sie die Zukunft schauen 🙂 ?

  10. Leser sagt:

    „das sog. „Page Controller Addendum ist “über den Seitenmanager einsehbar.“

    WO ist denn dieser ominöse „Seitenmanager“ versteckt? Oder heißt der gar nicht „Seitenmanager“?

    Über Google findet man nur den Hinweis, dass man sich eine App installieren soll, damit man seine Seiten auch per Smartphone managen kann.

    Sollten die „Einstellungen“ gemeint sein, hinter welcher der zahlreichen Tabs verbirgt es sich denn.

  11. Rüdiger M. sagt:

    Hallo, sehr viel Info’s zum Thema… Offen gesagt, mir fehlt ein Handlungsleitfaden „Was genau muss ein Fanpage Betreiber jetzt tun“? Kommt sowas noch?

    Danke im voraus!

    Rüdiger

  12. Max sagt:

    Hallo,
    vielen Dank für das Update vom 11.09.2018.
    Wurde der auf der Seite verfügbare Datenschutzgenerator um die neuen, erforderlichen Angaben ergänzt oder waren diese bereits enthalten?
    Konkret: Wenn man im Juli über den Generator eine Datenschutzerklärung erstellt hat, ist diese noch aktuell oder muss sie neu erstellt werden?
    Danke für eine Nachricht bzw. Info.
    Max

  13. Detlef sagt:

    dito, da offenbar keine Antworten öffentlich gemacht werden.
    Hallo,
    vielen Dank für das Update vom 11.09.2018.
    Wurde der auf der Seite verfügbare Datenschutzgenerator um die neuen, erforderlichen Angaben ergänzt oder waren diese bereits enthalten?
    Konkret: Wenn man im Juli über den Generator eine Datenschutzerklärung erstellt hat, ist diese noch aktuell oder muss sie neu erstellt werden?
    Danke für eine Nachricht bzw. Info.
    MfG
    Detlef

  14. Pflanziska sagt:

    Zwei Fragen hierzu: „Das sog. Page Controller Addendum ist über den Seitenmanager einsehbar. Fanpage-Betreiber stimmen dieser Ergänzung automatisch zu, indem sie ihre Seite weiter nutzen.“
    1. Was ist denn der Seitenmanager? Also wo findet man dieses Addendum, wenn man nicht direkt einen Link dazu hat?
    2. Wurden Seiten-Betreiber irgendwo darüber informiert, dass sie dieser Ergänzung automatisch zustimmten?

    Danke!

Kommentar schreiben

Mit dem Absenden des Kommentars erklären Sie sich mit den Datenschutzbestimmungen einverstanden.