Facebook Fanpage abschalten? Neueste Entwicklungen bzgl. Datenschutz

Die Betreiber von Facebook-Seiten müssen weiterhin mit einer unsicheren Rechtslage leben. Die auch „Fanpages“ genannten Auftritte können datenschutzwidrig sein, was zu Abmahnungen und Bußgeldzahlungen führen kann. Es muss sich zeigen, wie die Praxis, die Datenschutzbehörden und die Gerichte mit der aktuellen Sach- und Rechtslage umgehen. In diesem Artikel rekapitulieren wir die bisherige und jüngste Entwicklung.

Der EuGH sagt: Fanpage-Betreiber ist mitverantwortlich

Der Europäische Gerichtshof hatte mit Urteil vom 5. Juni 2018 der Auffassung deutscher Gerichte widersprochen und die Betreiber von Facebook-Fanpages datenschutzrechtlich neben Facebook selbst mitverantwortlich gemacht. Auslöser der gerichtlichen Auseinandersetzung war die Untersagung des Betriebs der Facebook-Fanpage der Wirtschaftsakademie Schleswig-Holstein durch das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein. Der EuGH sieht die Betreiber der Fanpages insbesondere wegen den Möglichkeiten der Facebook-Insights-Funktion mit in der Verantwortung – neben Facebook mit EU-Sitz in Irland.

Nach Ansicht der Luxemburger Richter ändert es nichts an der Verantwortung der Fanpage-Betreiber, dass die Plattform selbst von Facebook eingerichtet wurde. Die Richter führten weiter aus, dass die Datenschützer aber durchaus aus direkt gegen Facebook Irland hätten vorgehen können. Klar ist: die Betreiber von Fanpages haben wie Facebook selbst ebenfalls wirtschaftliche Interessen am Betrieb der Seiten. Unternehmen schätzen Facebook gerade wegen der hohen Reichweite unter potenziellen Kunden. Eine gewisse Verantwortung beim Einsatz der Facebook-Plattform ist daher kaum abzustreiten.

Datenschützer: Fanpages sind datenschutzwidrig

Drei Monate nach dem Urteil des EuGH, am 5. September 2018 hat die Konferenz der unabhängigen deutschen Datenschutz-Aufsichtsbehörden seine Ansicht bestätigt, dass Fanpages gegen die datenschutzrechtlichen Bestimmungen verstoßen und damit rechtswidrig sind.

Die Datenschützer nahmen Änderungen von Seiten Facebooks zur Kenntnis, störten sich aber weiterhin insbesondere am Einsatz von Cookies, die – so wie von Facebook verwendet – auch das Verhalten von Internet-Nutzern tracken, die gar kein Mitglied von Facebook sind.

Ferner sehen die Datenschützer den Betrieb der Fanpages als rechtswidrig an, weil zwischen Betreiber und Facebook keine Vereinbarung nach Art. 26 DSGVO geschlossen werde. In dieser Vereinbarung soll in transparenter Form festgelegt werden, wer welche Verpflichtung gemäß DSGVO erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Personen und die Informationspflichten gemäß Artikel 13 und 14 betrifft. Die Vereinbarung soll außerdem die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber den betroffenen Personen gebührend widerspiegeln. Gerade hierzu fehlen den Fanpage-Betreibern aber die erforderlichen Informationen von Facebook.

Facebook stellt das „Page Controller Addendum“ bereit

Facebook hat am 11. September 2018 nunmehr einen Zusatz zu den Richtlinien für Seitenbetreiber veröffentlicht. Facebook kündigte an, die europäischen Betreiber von Fanpages in dieser Woche über diesen Zusatz zu informieren. (Link: https://www.facebook.com/business/news/updates-for-page-admins-in-the-eu-and-the-eea ) Das „Page Controller Addendum“ stellt den Betreiber Informationen zur Verfügung und trifft Regelungen, wie sie im Rahmen einer Vereinbarung nach Art. 26 DSGVO erforderlich wären. Dem will Facebook offenbar entgegenkommen.

Facebook empfiehlt allen Seitenbetreibern, das Addendum zu lesen, Informationen zum Betreiber der Fanpage im Info-Bereich einzustellen und Nutzeranfragen zu Fragen des Datenschutzes mittels eines im Addendum verlinkten Formulars an Facebook weiterzuleiten.

Facebook will das Addendum selbst auf den Seiten veröffentlichen, um die Nutzer darüber zu informieren. Fanpage-Betreiber sollten trotzdem selbst aktiv werden und eine Datenschutzerklärung veröffentlichen, die die von Facebook im Addendum gegebenen Informationen berücksichtigt – oder zumindest darauf verweisen. Das Page Controller Addendum (Link: https://www.facebook.com/legal/terms/page_controller_addendum ) enthält Informationen zur umstrittenen Insights-Funktion (Informationen über das Verhalten der Nutzer auf den Fanpages).

Im Addendum, das als Erweiterung der Richtlinien zwischen Facebook und den Fanpage-Betreibern wohl automatisch zur Geltung kommen soll, regelt Facebook u.a.:

„Facebook Ireland Limited („Facebook Ireland“) und du seid gemeinsam Verantwortliche für die Verarbeitung von Insights-Daten. Diese Seiten-Insights-Ergänzung legt die jeweiligen Verantwortlichkeiten von Facebook Ireland und dir im Hinblick auf die Verarbeitung von Insights-Daten fest.“ […]

„Facebook Ireland stimmt zu, die primäre Verantwortung gemäß DSGVO für die Verarbeitung von Insights-Daten zu übernehmen und sämtliche Pflichten aus der DSGVO im Hinblick auf die Verarbeitung von Insights-Daten zu erfüllen […]“

„Du solltest sicherstellen, dass du eine Rechtsgrundlage für die Verarbeitung von Insights-Daten gemäß DSGVO hast, den Verantwortlichen für die Verarbeitung der Seite benennst und jedwede sonstigen geltenden rechtlichen Pflichten erfüllst.“

Während Facebook mit dem zitierten zweiten Absatz u.a. auch die Verantwortung übernimmt, die Betroffenen durch eine Datenschutzerklärung gemäß Art. 13 DSGVO zu informieren, ist dies mit Vorsicht zu genießen, denn Facebook kann nicht wissen, wie die Seitenbetreiber die zur Verfügung gestellten Daten letztlich nutzen.

Die Datenschutzerklärung der Fanpage-Betreiber sollte daher beschreiben, zu welchem Zweck diese Funktion vom Seitenbetreiber selbst genutzt wird, aufgrund welcher Rechtsgrundlage die Verarbeitung dieser Daten erlaubt ist. Die Rechtsgrundlage könnte in einem berechtigten Interesse des Seitenbetreibers liegen, so dass Art. 6 Abs. 1 f DSGVO einschlägig wäre.

Im lesenswerten Addendum wird mit geschäftlichen oder gewerblichen Betreibern außerdem eine Gerichtsstandsvereinbarung für Fälle getroffen, in denen sich Seitenbetreiber und Facebook über das Addendum streiten sollten. Als Gerichtsstand wird Irland vereinbart.

Es bleibt abzuwarten, ob das Page Controller Addendum hinreichend ist, den Bedenken der Datenschützer – und ggf. letztlich der Gerichte – Rechnung zu tragen.

Ergebnis und Ausblick

Die Fanpage-Betreiber müssen ihre Seiten entweder schließen – oder im Bewusstsein eines weiterhin bestehenden gewissen rechtlichen Risikos wenigstens Änderungen an ihren Facebook-Fanpages vornehmen. Sie sollten insbesondere eine eigene Datenschutzerklärung einbinden und das Page Controller Addendum dabei berücksichtigen. Die Betreiber müssen sich darüber informieren, ob das Addendum mit Facebook gesondert zu vereinbaren ist.

Berücksichtigt man die enorme Bedeutung der Facebook-Auftritte für die Kommunikation der Unternehmen, werden die meisten ein Abschalten scheuen und darauf hoffen, dass die bestehenden rechtlichen Unsicherheiten bald gelöst werden – z.B. durch eine Änderung der Tracking-Funktionen durch Facebook und eine Neubewertung durch die Datenschützer. Doch auch kommende Gerichtsentscheidungen könnten die Hauptlast der Verantwortung von Facebook betonen und so dafür sorgen, dass Facebook selbst und nicht die einzelnen Fanpage-Betreiber im Fokus stehen.

Es sollte letztlich nicht vergessen werden, dass die Facebook-Problematik wahrscheinlich auf andere soziale Netzwerke oder sogar nicht ausschließlich privat genutzte Profilseiten in beruflichen Netzwerken übertragbar ist. Es bleibt den Betreibern von Social-Media-Auftritten empfohlen, sich für das Thema Datenschutz zu sensibilisieren und ggf. Beratung einzuholen.

Unsere Anleitung zur Einbindung von Facebook finden Sie unter:
https://www.website-check.de/blog/datenschutzrecht/anleitung-zur-einbindung-der-datenschutzerklaerung-bei-facebook-fanpages/

Kontaktieren Sie uns gerne, falls Sie eine DSGVO-konforme Facebook-Datenschutzerklärung benötigen. Wir helfen Ihnen gerne dabei Ihre Social-Media Präsenzen rechtssicher zu machen.

Autor: Johnny Chocholaty LL.B. (Verfasst am 25. September 2018)

Johnny Chocholaty LL.B. ist Wirtschaftsjurist und Geschäftsführender Gesellschafter bei der Website-Check GmbH. Außerdem ist er vom TÜV-Rheinland zertifizierter interner und externer Datenschutzbeauftragter. Johnny Chocholaty ist verantwortlich für die Betreuung von mehr als 2.000 Website-Check Kunden im In – und Ausland.
Xing Twitter Facebook Linkedin

Falls Sie weitere Fragen zur rechtssicheren Gestaltung Ihres Internetauftritts oder Online Shops haben, können Sie uns gerne kontaktieren. Unsere Website-Check Pakete enthalten neben der rechtlichen Prüfung auch die Erstellung der relevanten Rechtstexte.
Fordern Sie Ihre kostenlose Ersteinschätzung an!