Facebook-Fanseiten datenschutzkonform betreiben

633

Update 13.09.2018

Bleiben Sie immer „UpToDate“ mit unserem regelmäßigen Datenschutz-Newsletter.

Neues Update und Handlungsempfehlungen zu Facebook-Fanseiten

Mittlerweile hat sich die Deutsche Datenschutzkonferenz (DSK) in einem Beschluss festgelegt und den Betrieb von Facebook-Fanseiten als rechtswidrig eingestuft.

Beschluss der DSK: https://datenschutz-agentur.de/download/7637/

Dies hat sich jedoch mit der aktuellen Veröffentlichung von Facebook überschnitten, die nun endlich ein „Page Controller Addendum“ zur Verfügung gestellt haben. 

https://www.facebook.com/legal/terms/page_controller_addendum

Unter bestimmten Voraussetzungen ist es damit nun möglich, Facebook-Fanseiten mit einem überschaubaren Restrisiko datenschutzkonform zu betreiben.

Wir möchten hier auf folgende Seiten von Herrn Rechtsanwalt Schwenke und Herrn Rechtsanwalt Pilz verlinken, die in Fachbeiträgen ausführlich die Rechtslage erörtern und praktische Umsetzungsempfehlungen für den Betrieb von Facebook-Fanseiten geben.

https://drschwenke.de/anleitung-facebook-datenschutz-page-controller-addendum/

https://www.delegedata.de/2018/09/update-zu-fanpages-facebook-stellt-erforderliche-vereinbarung-zur-verfuegung/

Update: 15.06.2018

Facebook kündigt Update zur DSGVO für Fanpages an

Facebook hat eine Mitteilung veröffentlicht, dass die Nutzungsbedingungen und Richtlinien aktualisiert werden.

https://de.newsroom.fb.com/news/2018/06/ein-update-fuer-betreiber-von-facebook-seiten/

Facebook-Fanpages können für Datenverarbeitungen von Facebook (mit)verantwortlich sein

Der Gerichtshof der Europäischen Union (EuGH) hat mit heutigem Urteil bestätigt, dass der Betreiber einer Facebook-Fanpage – neben Facebook – datenschutzrechtlich dafür verantwortlich ist, dass Facebook Daten der Fanpagebesucher zur Erstellung von Besucherstatistiken erhebt.

Update: Entschließung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder zum EuGH-Urteil vom 05.06.2018: „Die Zeit der Verantwortungslosigkeit ist vorbei!“

Ausgangspunkt der Entscheidung ist ein seit 2011 anhängiger Verwaltungsrechtsstreit zwischen der Wirtschaftsakademie Schleswig-Holstein GmbH und dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD). Das Unternehmen vertrat die Auffassung, es dürfe eine Facebook-Fanpage betreiben, ohne sich darum kümmern zu müssen, ob Facebook das Datenschutzrecht einhält. Der EuGH stellte nun klar, dass diese Auffassung nicht mit europäischem Datenschutzrecht vereinbar ist: „Der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, kann diesen nämlich nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien.“ (Rn. 40)

Datenschutzrechtlich verantwortlich ist, wer über die Zwecke und Mittel einer Verarbeitung personenbezogener Daten entscheidet. Der EuGH hat dazu festgestellt, dass der Begriff des Verantwortlichen weit zu fassen ist, um einen wirksamen und umfassenden Schutz der betroffenen Personen zu gewährleisten. Der Betreiber einer Facebook-Fanpage ist beteiligt an der Entscheidung über die Zwecke und Mittel der Verarbeitung personenbezogener Daten der Besucherinnen und Besucher seiner Fanpage. Er gestaltet sein Informations- und Kommunikationsangebot selbst und trägt damit zur Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage bei. Da Facebook ebenfalls die Zwecke und Mittel der Verarbeitung bestimmt, haben Facebook und Betreiber von Facebook-Fanpages die datenschutzrechtliche Verantwortlichkeit gemeinsam wahrzunehmen.

Der EuGH führt aus, dass ein Fanpage-Betreiber nicht bloßer Facebook-Nutzer ist, sondern als Verantwortlicher Facebook die Möglichkeit gibt, durch den Betrieb der Fanpage Cookies zu setzen, und insbesondere mit Hilfe von durch Facebook zur Verfügung gestellten Filtern die Kriterien festlegen kann, nach denen Statistiken erstellt werden. Für die Verantwortlichkeit ist nicht ausschlaggebend, dass ein Zugang zu den betreffenden personenbezogenen Daten besteht.

Der EuGH bestätigt auch, dass das ULD aufsichtsbehördliche Maßnahmen gegen den in Schleswig-Holstein ansässigen Betreiber einer Facebook-Fanpage richten durfte. Allein die Möglichkeit, aufsichtsbehördlich auf Facebook einzuwirken, schließt Maßnahmen gegen den mitverantwortlichen Anbieter einer Facebook-Fanpage nicht aus.

Stellungnahme des Bundesverbandes der Datenschutzbeauftragten

„In der Praxis könnte das dazu führen, dass viele Unternehmen und Selbständige ihre Fanpages – jedenfalls zunächst – schließen und die Reaktion von Facebook abwarten. Auch könnte das Urteil Auswirkungen auf Tracking-Tools und sogenannte Social Plugins haben, die viele Betreiber von Internet-Webseiten einsetzen. Insgesamt hat die Entscheidung das Potenzial, eine massive Veränderung bei der Nutzung von Analyse-Tools im Internet zu bewirken. Das hat Schatten und Licht. Der Schutz der betroffenen Personen wird verbessert, aber die Nutzer solcher Anwendungen vor nicht leicht und schnell lösbare Herausforderungen gestellt.“

Die Landesbeauftragte für Datenschutz Schleswig-Holstein Marit Hansen begrüßt das Urteil des EuGH: „Die Entscheidung hat meine Einschätzung bestätigt, dass es keine Verantwortungslücken im Datenschutz geben kann. Konkret bedeutet dies nun für alle Fanpage-Betreiber, dass zwischen ihnen und Facebook geklärt sein muss, welche Datenschutzpflichten sie selbst zu erfüllen haben und für welche Facebook zuständig ist. Dies gilt insbesondere für die Informationspflichten: Ohne Transparenz, wie die Daten über alle Nutzenden – d. h. Mitglieder und Nicht-Mitglieder von Facebook – verarbeitet werden, funktioniert dies nicht. Bei den Betroffenenrechten, z. B. dem Recht auf Auskunft oder Berichtigung, gilt: Jeder kann diese Rechte sowohl gegenüber dem Fanpage-Betreiber als auch gegenüber Facebook direkt geltend machen.“

Hansen hält es für nötig, dass Fragen zur Datenschutz-Grundverordnung dem EuGH in Zukunft früher vorgelegt werden: „Für Rechtssicherheit ist eine schnelle gerichtliche Klärung essentiell. Gerichtliche Verfahren zu derartigen Grundsatzfragen gehören auf die Überholspur. Ich bin davon überzeugt, dass einige Fälle von Datenmissbrauch – ich erinnere an Cambridge Analytica – hätten verhindert werden können, wenn bereits 2011 alle deutschen oder gar europäischen Fanpage-Betreiber die Datenschutzkonformität für ihre Angebote eingefordert hätten.“

Der Bayerische Landesbeauftragte für den Datenschutz Thomas Petri empfiehlt den bayerischen öffentlichen Stellen, anhand des Urteils ihre Öffentlichkeitsarbeit bei Anbietern Sozialer Medien kritisch zu überprüfen. Petri: „Der Europäische Gerichtshof hat unmissverständlich klargestellt, dass der Betreiber einer Fanpage nicht dadurch von der Beachtung seiner datenschutzrechtlichen Pflichten freigestellt ist, dass er die von einem anderen Anbieter gestellte Plattform nutzt. Zu Datenverarbeitungen von Facebook und anderen Sozialen Medien sind europaweit bereits zahlreiche Beschwerden bei Datenschutzaufsichtsbehörden eingegangen. Angesichts bisheriger Erfahrungen wäre es im Ergebnis nicht überraschend, wenn Facebook Daten auch am Maßstab der Datenschutz-Grundverordnung rechtswidrig verarbeitet. Entweder müssen Soziale Medien sich an die in Europa geltenden Datenschutzvorschriften halten oder sie können nicht mitverantwortlich genutzt werden. Mögliche Vorteile bei der Öffentlichkeitsarbeit rechtfertigen jedenfalls keine Datenschutzverstöße.“

Quelle:

Marit Hansen                                                                                      Prof. Dr. Thomas Petri

Die Entscheidung des EuGH ist verfügbar unter dem folgenden Link:
https://www.datenschutzzentrum.de/artikel/1242-.html

Die Schlussanträge des Generalanwalts finden sich hier:
https://www.datenschutzzentrum.de/artikel/1170-.html

Näheres zur Entscheidung des BVerwG und den Vorlagefragen an den EuGH:
https://www.datenschutzzentrum.de/artikel/1013-.html

Weitere Informationen zum Hintergrund:
https://www.datenschutzzentrum.de/facebook/