IT-Recht aktuell

Facebook Fanpage: Facebook stellt Vereinbarung gemäß Art. 26 DSGVO zur Verfügung

Das Problem

Anfang Juni 2018 hat der Europäische Gerichtshof entschieden, dass die Betreiber von Facebook Fanpage -Seiten (nachfolgende Seitenbetreiber genannt) datenschutzrechtlich als sog. „gemeinsame Verantwortliche“ gemeinsam mit Facebook für die Einhaltung des Datenschutzrechts zuständig sind (EuGH, 05.06.2018, Az. C-210/16).

Damit gingen zahlreiche Probleme für Seitenbetreiber der Fanpage einher, denn die Datenschutzgrundverordnung legt gemeinsamen Verantwortlichen in Art. 26 DSGVO gesonderte Pflichten auf.  So müssen die gemeinsamen Verantwortlichen eine transparente Vereinbarung darüber treffen, wer die Verpflichtungen aus der DSGVO gegenüber Betroffenen ausübt (bspw. Auskunftsersuchen beantwortet, etc.) und diese den betroffenen Personen zur Verfügung stellen.

Die Datenschutzkonferenz der deutschen Datenschutzbehörden (DSK) stellten daher im Rahmen eines Anfang September 2018 veröffentlichten Beschluss fest, dass der Betrieb einer Facebook Fanpage rechtswidrig sei, weil die notwendige Vereinbarung zwischen Facebook und Seitenbetreiber nicht vorläge.

 

Die Reaktion von Facebook

Facebook hat inzwischen nachgebessert und eine Vereinbarung („Seiten-Insights-Ergänzung bezüglich des Verantworten“ / Page Controller Addendum) für die Fanpage veröffentlicht. Die Vereinbarung betrifft Seitenbetreiber, die die Funktion „Seiten-Insights“ nutzen. Sie finden die Vereinbarung hier:

https://www.facebook.com/legal/terms/page_controller_addendum

Im Rahmen dieser Vereinbarung übernimmt Facebook grundsätzlich die primäre Verantwortung für die Erfüllung der datenschutzrechtlichen Pflichten im Hinblick auf die Insights-Daten der Fanpage. Ferner übernimmt Facebook die Verantwortung im Hinblick auf

  • die Erfüllung der Informationspflichten (Art. 12-13 DSGVO),
  • die Betroffenenrechte (Art. 15-22 DSGVO9,
  • der Datensicherheit
  • Meldung von Datenschutzverstößen (Art. 32-34 DSGVO).

Unklar ist allerdings, wie die Vereinbarung Vertragsbestandteil wird. Im Rahmen des Unternehmensblogs von Facebook heißt es hierzu, dass bestehende Kunden mit Fanpage informiert werden und die Vereinbarung durch Weiternutzung Vertragsbestandteil wird.

 

Die Pflichten der Seitenbetreiber

Nichts desto trotz obliegen auch dem Seitenbetreiber weiterhin Pflichten im Hinblick auf seine Fanpage. Diese sind

  • Die grundsätzliche Pflicht zur datenschutzkonformen Verarbeitung personenbezogener Daten. Seitenbetreiber müssen folglich –wie bei jeder Datenverarbeitung personenbezogener Daten- eine Rechtsgrundlage (Art. 6 Abs. 1 DSGVO) für die Nutzung der Insights-Daten festlegen. Zu denken ist hier an Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse), da die Einholung einer Einwilligung technisch kaum umsetzbar ist.

 

  • Die Weiterleitung von Anfragen Betroffener, wenn diese bei dem Seitenbetreiber eingehen. Facebook stellt insoweit ein Kontaktformular zur Verfügung.

 

  • Auch, wenn Facebook angekündigt hat Datenschutzhinweise zur Verfügung zu stellen, besteht für den Seitenbetreiber weiterhin die Pflicht eigene Datenschutzhinweise zu verwenden. Nur der Seitenbetreiber kann letztendlich über die Rechtsgrundlage und die Interessenabwägung im Falle von berechtigten Interessen informieren. Insoweit sollte auf der Hauptseite eine eigene Datenschutzerklärung (hierzu gibt es das Feld „Datenrichtlinie“) verlinkt werden (ähnlich wie bei dem Impressum). Der Link  solle auch in der Facebook-App sichtbar sein. Im Rahmen dieser Datenschutzerklärung sollte auch die gemeinsame Verantwortung im Hinblick auf die Fanpage hingewiesen und auf die Datenschutzerklärung von Facebook verwiesen werden.

 

Erwähnungswert erscheint insoweit für Seitenbetreiber noch, dass Facebook eine Vereinbarung über die Geltung irischen Rechts und des Gerichtsstands in Irland trifft und auch die irische Datenschutzbehörde als aufsichtsführend bestimmt wird. Private Seitenbetreiber betrifft die Gerichtstandsvereinbarung nicht, da für diese Personen das Gericht am Wohnsitz zuständig ist.

 

Das Restrisiko

Mit der Vereinbarung werden die Anforderungen des Art. 26 DSGVO vordergründig erfüllt, dennoch bleibt ein Restrisiko, da zweifelhaft erscheint, ob die Datenverarbeitung der Internetnutzer bei Besuch von Facebook-Seiten grundsätzlich rechtskonform erfolgt. Es bleibt hier abzuwarten, wie sich die Rechtsprechung hierzu entwickelt.

Auch die Frage, ob die Entscheidung des EuGH auf andere Plattformen und Geschäftsmodelle anwendbar ist, bleibt offen.

 


Benötigen Sie Beratung im Bereich des Datenschutzrechts?

Dann kontaktieren Sie mich unter 0221 – 200 517 6.

Gerne stehe ich Ihnen für eine erste Einschätzung zur Verfügung.


« Alle Artikel anzeigen