facebook gemeinsame verantwortlichkeit 26 dsgvo

Sind Facebook-Fanpages wieder datenschutzkonform einsetzbar?

/von

Seit etwas mehr als einem Jahr ist es fraglich, ob Unternehmen sogenannte Fanpages in Facebook betreiben dürfen. Jetzt gibt es eine erfreuliche Wendung, die eventuell zumindest vorerst den Betrieb wieder datenschutzkonform möglich machen könnte.

Was war passiert?

Facebook wertet das Nutzerverhalten der Besucher von Fanpages aus und stellt dem Betreiber der Fanpage hierzu anonymisierte Auswertungen bereit. Auch wenn die Auswertungen von Facebook anonymisiert an den Betreiber zurückgeliefert werden, so erfolgt die Erstellung der Auswertungen anhand personenbezogener Daten, die Facebook verarbeitet. „Seiten-Insights“ heißt diese Funktion. Der Betreiber der Seite kann diese Funktion weder abschalten noch sonst in irgendeiner Weise beeinflussen.

Die Aufsichtsbehörden taten sich schwer, gegen diese – aus ihrer Sicht unzulässige Verarbeitung – vorzugehen. Gegen Facebook konnten sie nicht vorgehen, da Ihnen ein Ansprechpartner (Verantwortlicher) in Deutschland fehlte. Die Betreiber der Fanpage wiederum argumentierten, dass sie für die Verarbeitung nicht verantwortlich seien, da diese ausschließlich durch Facebook erfolgte und die Betreiber keinerlei Einfluss auf Art und Umfang der Verarbeitung hätten, sondern lediglich Inhalte beisteuerten.

Dieser Argumentation der Betreiber der Fanpages hatte der EuGH im Juni 2018 eine Absage erteilt, da er feststellte, dass Facebook und die Betreiber der Fanpages sogenannte „gemeinsame Verantwortliche“ waren. Selbstverständlich hatten wir die Leser unseres Blogs damals hier darüber informiert. Dies bedeutete, dass sich die Betreiber der Fanpages seitdem nicht mehr darauf berufen konnten, dass sie für die Verarbeitung der personenbezogenen Daten durch Facebook nicht verantwortlich seien.

Gemeinsame Verantwortlichkeit

Für den Fall, dass eine gemeinsame Verantwortlichkeit vorliegt, regelt Art. 26 DSGVO welche Maßnahmen durch die Beteiligten zu ergreifen sind. Demnach ist schriftlich festzulegen, wer von ihnen welche Verpflichtung der DSGVO erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer den Informationspflichten der Artikel 13 und 14 DSGVO nachkommt. Da es eine solche Vereinbarung zwischen Facebook und den Betreibern der Fanpages nicht gab, hatten die Aufsichtsbehörden nun einen Hebel, an dem sie ansetzen konnten. Die fehlende Vereinbarung stellte einen Datenschutzverstoß, der geahndet werden konnte. Als Empfänger für Sanktionen wie Bußgelder oder Anweisungen kamen sowohl Facebook als auch der Betreiber einer Fanpage in Frage. In der Folge wurden viele Fanpages abgeschaltet. Facebook reagierte zwar auf die neue Situation und stellte eine notwendige Vereinbarung gemäß Art. 26 DSGVO als Bestandteil der Facebook AGB zur Verfügung, die man bei Betrieb einer Fanpage automatisch akzeptierte. Die Aufsichtsbehörden vertraten jedoch die Auffassung, dass diese Vereinbarung die Anforderungen der DSGVO und insbesondere des Art. 26 DSGVO nicht erfüllte. Es blieb also dabei: Fanpages konnten entweder nicht oder nur unter erheblichen Rechtsrisiken weiter betrieben werden.

Aktuelle Entwicklung

Man kann das Vorgehen der Behörden, mangels Möglichkeiten, direkt gegen Facebook vorzugehen, sich stattdessen an den Betreibern der Fanpages „abzuarbeiten“ durchaus kritisieren. Tatsache ist aber auch, dass die großen Konzerne bereits in der Vergangenheit nur reagiert hatten, wenn sie unter Druck standen. Und der Druck auf Facebook kam jetzt von den Fanpage-Betreibern, die sich mit der Frage befassten, ob sie ihre Fanpages künftig überhaupt noch weiter betreiben konnten.

Dieser Druck hat nun Wirkung gezeigt: Facebook hat reagiert und neue „Informationen zu Seiten-Insights“ zur Verfügung gestellt. Wer vergleichen möchte findet die neue Version hier. Die bisherige Version wird als archivierte Version ebenfalls noch bereitgehalten und findet sich hier. Auch wenn die Länge eines Textes nicht unbedingt ein Qualitätsmerkmal ist, fällt dennoch sofort auf, dass die aktualisierte Version deutlich ausführlicher ist (aktuell 2241 Wörter zu ehemals 746 Wörter).

Sind Facebook Fanpages jetzt bedenkenlos einsetzbar?

Die DSK (Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder) hatte insbesondere kritisiert, dass die von Facebook zur Verfügung gestellten Informationen hinsichtlich der Verarbeitungstätigkeiten, die im Zusammenhang mit Fanpages und insbesondere Seiten-Insights durchgeführt werden und der gemeinsamen Verantwortlichkeit unterfallen nicht hinreichend transparent und konkret dargestellt wurden. Nach Auffassung der DSK genügen die zur Verfügung gestellten Informationen nicht, um den Fanpage-Betreibern die Prüfung der Rechtmäßigkeit der Verarbeitung der personenbezogenen Daten der Besucherinnen und Besucher ihrer Fanpage zu ermöglichen.

Hinsichtlich der Ausführlichkeit hat Facebook nun definitiv nachgebessert. Beispielsweise werden nun erstmals auch technische und organisatorische Maßnahmen beschrieben. Ob allerdings alle von den Aufsichtsbehörden bemängelten Punkte nun zu deren Zufriedenheit nachgebessert wurden, ist derzeit noch unklar. Die Aufsichtsbehörden haben sich diesbezüglich noch nicht geäußert.

Fazit

Die aktuelle Situation lässt sich wohl am besten wie folgt beschreiben: Es bleibt spannend.

Die aktualisierten Informationen zu den Seiten-Insights von Facebook zeigen, dass die Kritikpunkte der Aufsichtsbehörden grundsätzlich aufgegriffen und umgesetzt wurden. Komplette Entwarnung kann jedoch noch nicht gegeben werden. Letztlich fehlt noch eine Aussage der Aufsichtsbehörden, dass die Bedenken gegen die durchgeführten Verarbeitungen im Rahmen der Funktionalitäten von Seiten-Insights gänzlich ausgeräumt wurden. Allerdings halten wir es für unwahrscheinlich, dass die Behörden nun kurzfristig aktiv gegen Fanpage-Betreiber vorgehen, ohne zuvor eine Stellungnahme zu den nun durch Facebook durchgeführten Änderungen abgegeben zu haben. Wir halten daher das Rechtsrisiko, das durch den Betrieb einer Facebook-Fanpage besteht, derzeit für vertretbar. Dies könnte sich aber durch die Veröffentlichung einer Stellungnahme durch die Aufsichtsbehörden auch schnell ändern. Darüber hinaus könnten nach einer solchen Stellungnahme konkrete Maßnahmen wie eine Untersagungsanordnung oder die Verhängung eines Bußgelds folgen. Wir werden weiter berichten.

Möchten Sie Social-Media-Plattformen wie Facebook oder Instagram nutzen? Sprechen Sie uns an, wir unterstützen Sie bei der datenschutzkonformen Umsetzung Ihrer Vorhaben.

Das könnte Sie auch interessieren
bdsg-neu abdsg recht gesetz ldsg bdsg landesdatenschutzgesetz bundesdatenschutzgesetz datenschutzbeauftragter besondere arten kategorien personenbezogener daten ds-gvo bundesrat bundestag ausweis kopieren scannen pauswg personalausweisgesetz beschäftigtendatenschutz abmahnung eprivacy-verordnung epvo stberg steuerberater auftragsverarbeitungStörerhaftung bei öffentlichen WLAN-Zugängen
bdsg-neu bdsg ds-gvo eu-dsgvo dsanpug-eu 203 stgb berufsgeheimnistraeger voßhoff kelber bundesdatenschutzbeauftragter ttdsgBDSG-neu: Kabinett beschließt Entwurf des DSAnpUG-EU
gesetz rechtliche verpflichtung double opt in schrems standardvertragsklauseln scc c2p einwilligung drittstaaten transfersSerie zu den neuen Standardvertragsklauseln – Datenübermittlung zwischen Verantwortlichen (C2C)
ds-gvo datenschutzbeauftragter vorabkontrolle beratung verpflichtung datengeheimnis active sourcing einwilligung gemeinsam verantwortliche verpflichtung datengeheimnis vertraulichkeit rechtsgrundlage foto erhebung auskunft art. 15 dsgvoAufgaben des Datenschutzbeauftragten nach der DSGVO
bdsg-neu abdsg recht gesetz ldsg bdsg landesdatenschutzgesetz bundesdatenschutzgesetz datenschutzbeauftragter besondere arten kategorien personenbezogener daten ds-gvo bundesrat bundestag ausweis kopieren scannen pauswg personalausweisgesetz beschäftigtendatenschutz abmahnung eprivacy-verordnung epvo stberg steuerberater auftragsverarbeitungPflicht zur Benennung von Datenschutzbeauftragten für Notare
betriebsrat verantwortlich stellenangebot job datenschutzbeauftragterModernisierung des Rechts der Mitarbeitervertretungen
Serie Rechtsgrundlagen: Die lebenswichtigen Interessen nach Art. 6 Abs. 1 lit....rechtsgrundlage lebenswichtige interessen übermittlung an anwalt rechtsverteidigung rechtsdurchsetzung bem einwilligung eugh bußgeld löschung von daten auftragsverarbeitungDatenübertragbarkeit 20 dsgvoSerie Betroffenenrechte: Das Recht auf Datenübertragbarkeit nach Art. 20 D...