Datenschutzkonferenz (DSK): Beschluss zu Facebook-Fanpages

Die Datenschutzkonferenz (DSK) hat vor wenigen Tagen einen aktuellen Beschluss zur Facebook-Entscheidung des EuGH (Urt. v. 05.06.2018 - Az.: C-210/16) veröffentlicht. Der Beschluss ist hier einsehbar.

Bekanntlich hatte der EuGH (Urt. v. 05.06.2018 - Az.: C-210/16) entschieden, dass  Fanpage-Betreiber neben Facebook mit verantwortlich sind für die Einhaltung der Datenschutzvorschriften. Die DSK hatte kurz danach bereits Stellung genommen, vgl. unsere News v. 07.06.2018. Bereits die Überschrift zeigte, in welche Richtung das damalige Dokument und die Interpretation ging:

"Die Zeit der Verantwortungslosigkeit ist vorbei: EuGH bestätigt gemeinsame Verantwortung von Facebook und Fanpage-Betreibern" 

Wenig später hatte der Landesbeauftragte für Datenschutz in Nordrhein-Westfalen (NRW) konkrete Handlungsempfehlungen für Facebook Fanpage-Betreiber herausgegeben, vgl. unsere News v. 13.06.2018.

Nun hat die DSK noch einmal nachgelegt und einen offiziellen Beschluss zu der Problematik veröffentlicht.

Zunächst konstatiert das Dokument, dass Facebook sich bislang kaum bewegt habe:

"Seit dem Urteil des EuGH sind drei Monate vergangen. Zwar hat Facebook einige Änderungen in seinem Angebot – zum Beispiel bezüglich der Cookies – vorgenommen, doch weiterhin werden auch bei Personen, die keine Facebook-Nutzerinnen und Nutzer sind, Cookies mit Identifikatoren gesetzt, jedenfalls wenn sie über die bloße Startseite einer Fanpage hinaus dort einen Inhalt aufrufen.

Auch werden nach wie vor die Fanpage-Besuche von Betroffenen nach bestimmten, teilweise voreingestellten Kriterien im Rahmen einer sogenannten Insights-Funktion von Facebook ausgewertet und den Betreiberinnen und Betreibern zur Verfügung gestellt. (...)

Offizielle Verlautbarungen vonseiten Facebooks, ob und welche Schritte unternommen werden, um einen rechtskonformen Betrieb von Facebook-Fanpages zu ermöglichen, sind bisher ausgeblieben. Eine von Facebook noch im Juni 2018 angekündigte Vereinbarung nach Art. 26 DSGVO (Gemeinsam für die Verarbeitung Verantwortliche) wurde bislang nicht zur Verfügung gestellt. Die deutschen Datenschutzaufsichtsbehörden wirken daher auf europäischer Ebene auf ein abgestimmtes Vorgehen gegenüber Facebook hin."

Viel wichtiger und interessanter für die Betreiber einer Facebook-Fanpage sind die dann nachfolgenden Ausführungen:

"Auch Fanpage-Betreiberinnen und Betreiber müssen sich ihrer datenschutzrechtlichen Verantwortung stellen. Ohne Vereinbarung nach Art. 26 DSGVO ist der Betrieb einer Fanpage, wie sie derzeit von Facebook angeboten wird, rechtswidrig.

Daher fordert die DSK, dass nun die Anforderungen des Datenschutzrechts beim Betrieb von Fanpages erfüllt werden. Dazu gehört insbesondere, dass die gemeinsam Verantwortlichen Klarheit über die derzeitige Sachlage schaffen und die erforderlichen Informationen den betroffenen Personen (= Besucherinnen und Besucher der Fanpage) bereitstellen.

Eine gemeinsame Verantwortlichkeit bedeutet allerdings auch, dass Fanpage-Betreiberinnen und -Betreiber (unabhängig davon, ob es sich um öffentliche oder nicht-öffentliche Verantwortliche handelt) die Rechtmäßigkeit der gemeinsam zu verantwortenden Datenverarbeitung gewährleisten und dies nachweisen können. Zudem können Betroffene ihre Rechte aus der DSGVO bei und gegenüber jedem Verantwortlichen geltend machen (Art. 26 Abs. 3 DSGVO)."

Entscheidende Bedeutung kommt dabei dem Satz

"Ohne Vereinbarung nach Art. 26 DSGVO ist der Betrieb einer Fanpage, wie sie derzeit von Facebook angeboten wird, rechtswidrig."

zu.

Da derzeit kein User mit Facebook eine Vereinbarung nach Art. 26 DSGVO schließen kann, sind - wenig verwunderlich - sämtliche Fanpage-Seiten datenschutzwidrig.

Die DSK hat auch einen Fragen-Katalog erarbeitet, welchen Inhalt eine solche Vereinbarung haben müsste:

"Anhang: Fragenkatalog

1. In welcher Art und Weise wird zwischen Ihnen und anderen gemeinsam Verantwortlichen festgelegt, wer von Ihnen welche Verpflichtung gemäß der DSGVO erfüllt? (Art. 26 Abs. 1 DSGVO)

2. Auf Grundlage welcher Vereinbarung haben Sie untereinander festgelegt, wer welchen Informationspflichten nach Art. 13 und 14 DSGVO nachkommt?

3. Auf welche Weise werden die wesentlichen Aspekte dieser Vereinbarung den betroffenen Personen zur Verfügung gestellt?

4. Wie stellen Sie sicher, dass die Betroffenenrechte (Art. 12 ff. DSGVO) erfüllt werden können, insbesondere die Rechte auf Löschung nach Art. 17 DSGVO, auf Einschränkung der Verarbeitung nach Art. 18 DSGVO, auf Widerspruch nach Art. 21 DSGVO und auf Auskunft nach Art. 15 DSGVO?

5. Zu welchen Zwecken und auf welcher Rechtsgrundlage verarbeiten Sie die personenbezogenen Daten der Besucherinnen und Besucher von Fanpages? Welche personenbezogenen Daten werden gespeichert? Inwieweit werden aufgrund der Besuche von Facebook-Fanpages Profile erstellt oder angereichert? Werden auch personenbezogene Daten von Nicht-FacebookMitgliedern zur Erstellung von Profilen verwendet? Welche Löschfristen sind vorgesehen?

6. Zu welchen Zwecken und auf welcher Rechtsgrundlage werden beim Erstaufruf einer Fanpage auch bei Nicht-Mitgliedern Einträge im sogenannten Local Storage erzeugt?

7. Zu welchen Zwecken und auf welcher Rechtsgrundlage werden nach Aufruf einer Unterseite innerhalb des Fanpage-Angebots ein Session-Cookie und drei Cookies mit Lebenszeiten zwischen vier Monaten und zwei Jahren gespeichert?

8. Welche Maßnahmen haben Sie ergriffen, um Ihren Verpflichtungen aus Art. 26 DSGVO als gemeinsam für die Verarbeitung Verantwortlicher gerecht zu werden und eine entsprechende Vereinbarung abzuschließen?

Anmerkung von RA Dr. Bahr:

Die DSK schaltet mit dem aktuellen Beschluss einen Gang hoch in Sachen Fanpages. Sollte Facebook sich weiterhin stur stellen und seinen Nutzern keine Vereinbarung nach Art. 26 DSGVO anbieten, wird es über kurz oder lang für die deutschen Datenschutzbehörden unvermeidbar sein, auch gegen die Betreiber von Facebook-Fanpages vorzugehen.

Spätestens an dieser Stelle sollte jedem Unternehmen, das einen Facebook-Auftritt hat. klar sein, dass der Betrieb aktuell mit nicht unerheblichen rechtlichen Risiken in puncto Datenschutz verbunden ist.

Die gegenwärtige Entwicklung zeigt aber auch, wie schizophren die datenschutzrechtliche Situation (inzwischen) ist. Denn nicht nur die Mehrheit der privaten Unternehmen betreiben ihre Fanpages weiter. Auch zahlreiche deutsche Bundes- und Landesbehörden, andere öffentlich-rechtliche Einrichtungen und Amtsträger ignorieren bislang diese Problematik munter und unterhalten weiterhin Facebook-Seiten.

Keinem Mandanten auf dieser Welt ist nachvollziehbar erklärbar, warum er sich an etwas halten soll, was die Mehrheit der Staatsträger selbst geflíssentlich - mehr oder minder vorsätzlich - ignoriert.