11. September 2018: Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (kurz Datenschutzkonferenz bzw. „DSK“) hat beschlossen, dass der Betrieb von Facebook-Seiten in der bisherigen Form rechtswidrig ist (vgl. DSK, Beschluss vom 05.09.2018).
12. September 2018: Update
Was war passiert?
Genau drei Monate vor dem Beschluss der DSK hatte der Gerichtshof der Europäischen Union (EuGH) entschieden, dass die Facebook-Seiten-Betreiber und Facebook datenschutzrechtlich als gemeinsame Verantwortliche einzustufen seien (vgl. EuGH, Urt. 05.06.2018, Az. C-210/16). Der EuGH führte zur Begründung aus, dass der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutze, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, diesen nämlich nicht von der Beachtung seiner Verpflichtungen im Bereich des Datenschutzes befreien könne (vgl. Rn. 40 des Urteils). Zudem hob der EuGH hervor, dass die bei Facebook unterhaltenen Fanpages auch von Personen besucht werden könnten, die keine Facebook-Nutzer seien und somit nicht über ein Benutzerkonto bei diesem sozialen Netzwerk verfügten. In diesem Fall erscheine die Verantwortlichkeit des Betreibers der Fanpage hinsichtlich der Verarbeitung der personenbezogenen Daten dieser Personen noch höher, da das bloße Aufrufen der Fanpage durch Besucher automatisch die Verarbeitung ihrer personenbezogenen Daten auslöse (vgl. Rn. 41 des Urteils).
Die Entscheidung des EuGH erging noch zu der früheren Datenschutz-Richtlinie 95/46/EG, welche am 25.05.2018 durch die Europäische Datenschutzgrundverordnung (DSGVO) abgelöst wurde. Allerdings stellte die DSK mit Entschließung vom 06.06.2018 fest, dass die vom EuGH festgestellte Mitverantwortung der Fanpage-Betreiber sich jeweils auf das geltende Recht, insbesondere auf die in der DSGVO festgeschriebenen Rechte der Betroffenen und Pflichten der Verarbeiter erstrecke (vgl. Entschließung der DSK vom 06.06.2018, hier abrufbar).
Als Reaktion auf das Urteil des EuGH hatte Facebook angekündigt, „die notwendigen Schritte [zu] unternehmen, um es den Seitenbetreibern zu ermöglichen, ihren rechtlichen Verpflichtungen nachzukommen“ (vgl. Mitteilung von Facebook vom 15.06.2018, hier abrufbar).
Aktueller Beschluss der Datenschutzkonferenz
In dem aktuellen Beschluss vom 05.09.2018 stellt die DSK nun fest, dass die tatsächlich von Facebook vorgenommenen Veränderungen – etwa bezüglich der Cookies – nicht ausreichten, da mitunter weiterhin auch bei solchen Personen, die keine Facebook-Nutzer seien, Cookies mit Identifikatoren gesetzt würden, jedenfalls dann, wenn sie über die bloße Startseite einer Fanpage hinaus dort einen Inhalt aufriefen. Auch die immer noch erfolgende Auswertung der Fanpage-Besuche von Betroffenen im Rahmen der sog. Insights-Funktion sei nach wie vor problematisch. Schließlich habe Facebook entgegen deren Ankündigungen den Seiten-Betreibern immer noch keine Vereinbarung im Sinne des Art. 26 DSGVO zur Verfügung gestellt.
Die DSK fordert, dass die Anforderungen des Datenschutzrechts beim Betrieb der Fanpages erfüllt würden. Hierzu gehöre insbesondere, dass den Betroffenen die erforderliche Information zukäme und die Rechtmäßigkeit der gemeinsam zu verantwortenden Datenverarbeitung in nachweisbarer Weise gewährleistet würde. Zudem erinnert die DSK in ihrem Beschluss nochmals daran, dass Betroffene ihre Datenschutzrechte gemäß Art. 26 Abs. 3 DSGVO bei und gegenüber jedem Verantwortlichen – also auch gegenüber dem Fanpage-Betreiber – geltend machen könnten.
Abschließend stellt die DSK noch einen Fragekatalog zur Verfügung, deren Fragen sowohl Facebook als auch Fanpage-Betreiber müssten beantworten können.
Praxishinweis
Zwar sind die Beschlüsse der DSK formal nicht verbindlich, nichtsdestotrotz handelt es sich eben um die Sicht der Aufsichtsbehörden. Es ist durchaus möglich, dass die zuständigen Aufsichtsbehörden der Länder den veröffentlichten Fragenkatalog an Fanpage-Betreiber versenden und je nach Antwort mit entsprechenden behördlichen Maßnahmen reagieren. Die Beantwortung der Fragen dürfte den jeweiligen Fanpage-Betreibern aber ohne die Mitwirkung von Facebook größtenteils äußerst schwer, wenn nicht unmöglich sein. Daher sollten Betreiber von Fanpages die weitere Entwickelung im Auge behalten. Eine Reaktion von Facebook scheint wahrscheinlich. Es bleibt allerdings abzuwarten, ob diese – jedenfalls aus der Sicht der DSK – ausreichen wird. Je nach dem weiteren Verlauf müssen sich Fanpage-Betreiber ernstlich fragen, ob sie ihre Facebook-Seiten weiter betreiben oder ob sie sich zukünftig ihre „Likes“ anderweitig beschaffen. Dies dürfte nicht nur private Unternehmen betreffen, sondern auch öffentliche Einrichtungen, wie etwa die Bundesregierung, die eigene Facebook-Seiten unterhalten.
Quelle: Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder, Beschluss vom 05.09.2018 (abrufbar u. a. hier)
Update: 12. September 2018
Facebook hat unerwartet schnell reagiert und eine Vereinbarung im Sinne des Art. 26 DSGVO geliefert, die im Gewand einer AGB daherkommt (sog. „Page Controller Addendum“, hier abrufbar; vgl. auch die Pressemitteilung, hier abrufbar). Damit dürfte Facebook einem der Hauptkritikpunkte der DSK entgegentreten und jedenfalls die Grundvoraussetzungen der vom EuGH festgestellten gemeinsamen Verantwortlichkeit erfüllen.
In diesem „Page Controller Addendum“ erkennt die Facebook Ireland Limited u.a. die gemeinsame Verantwortung in Bezug auf die Insights-Daten an und übernimmt die „primäre Verantwortung gemäß DSGVO“. Explizit übernimmt Facebook die Verantwortung für die datenschutzrechtlichen Pflichten bzgl. der Informationspflichten (Art. 12–13 DSGVO), der Betroffenenrechte (Art. 15–22 DSGVO) sowie der Datensicherheit und Meldung von Datenschutzverletzungen (Art. 32–34 DSGVO). Gleichzeitig legt Facebook den Seiten-Betreiber aber auch Pflichten auf und betont deren verbleibende eigene datenschutzrechtliche Verantwortung. Insbesondere besteht für die Betreiber nun die Pflicht, Anfragen von Nutzern oder Datenschutzaufsichtsbehörden an Facebook weiterzuleiten.
Fazit Update
Das Betreiben von Facebook-Seiten dürfte damit aus datenschutzrechtlicher Sicht ein großes Stück sicherer geworden sein. Ein Risiko verleibt allerdings, insbesondere mit Blick auf die Rechtmäßigkeit der Datenverarbeitung an sich, die derzeitig Gegenstand von laufenden Gerichtsverfahren ist. Die Meinung der DSK zu der Ausgestaltung der „Page Controller Addendum“ bleibt abzuwarten. Facebook dürfte mit dieser Ergänzung jedenfalls hinreichend die Zuordnung der datenschutzrechtlichen Verantwortung und Pflichten im Sinne des Art. 26 Abs. 1 und 2 DSGVO geregelt haben. Ob es den Seiten-Betreibern allerdings nun möglich sein wird, sämtliche Fragen des von der DSK aufgestellten Fragekatalogs beantworten zu können, dürfte fraglich bleiben.
In jedem Fall sollten Betreiber von Facebook-Seiten ihre Verantwortung mit Blick auf die Rechtsgrundlage der Datenverarbeitung im Blick behalten sowie ihre eigene Datenschutzerklärung – soweit eben möglich – entsprechend aktualisieren. Im Übrigen bleibt die weitere Entwicklung mit Spannung abzuwarten.
