Aktuelles

Urteile, Vorfälle, Kommentierungen...
148/18 Facebook-Fanpage: Datenschutzbehörden beziehen Stellung

148/18 Facebook-Fanpage: Datenschutzbehörden beziehen Stellung

8. Juni 2018

Der Europäische Gerichtshof hat – wieder mal – mächtig für Wirbel gesorgt: Am Dienstag hat er entschieden, dass der Betreiber einer Fanpage bei Facebook gemeinsam mit Facebook verantwortlich ist.

Das Urteil ist auch im Volltext da.

Er hat nicht gesagt, dass der Betrieb einer Fanpage rechtswidrig oder gar verboten sei – nur, dass der Betreiber datenschutzrechtlich (mit) verantwortlich sei. Nun muss das Bundesverwaltungsgericht, dass Fragen diesbezüglich an den EuGH gestellt hatte, zunächst einmal im laufenden Verfahren mit den Aussagen des EuGH umgehen.

Es stellt sich derzeit die Frage, was man als Betreiber tun soll.

Variante „sicher“:

Wer auf Nummer sicher gehen will, stellt seine Fanpage zunächst einmal offline, bis weitere Rechtsfragen geklärt sind oder bis Facebook reagiert; so könnte Facebook bspw. einen Vertrag zur Verfügung stellen, in dem er sich verpflichtet, den Betreiber bei datenschutzrechtlichen Fragen zu unterstützen – bspw. wenn ein Betroffner Auskunftsrechte beim Betreiber geltend macht: Denn der Betreiber weiß vieles ja gar nicht.

Lehnt man sich an die „gemeinsame Verantwortlichkeit“ nach Art. 26 DSGVO an, dann

  1. müssen Facebook und Fanpage-Betreiber in einer Vereinbarung in transparenter Form festlegen, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten nachkommt.
  2. Die Vereinbarung muss die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln (der EuGH hat in seinem Urteil ja auch festgestellt, dass der Betreiber nicht genauso „hoch“ verantwortlich ist wie Facebook).
  3. Das Wesentliche der Vereinbarung wird der betroffenen Person zur Verfügung gestellt.

Dennoch kann die betroffene Person ihre Rechte im Rahmen dieser Verordnung bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen, also sowohl gegenüber Facebook als auch gegenüber dem Betreiber. Und dem Betreiber verbleibt ein gewisses Restrisiko, da er nie wirklich wissen kann, was Facebook tatsächlich mit den Daten anstellt.

Variante „abwarten“:

Das andere Extrem ist, einfach so weiter zu machen wie bisher. Wie so oft im Leben, ist das eine Risikoabwägung – aber natürlich die (rechtsethische) Frage, inwieweit einem derart datenschutzrechtlich wichtige Grundsatzfragen egal sind.

Variante Kompromiss:

Ein Kompromiss kann sein, auf seine Fanpage ähnlich wie das Impressum auch Datenschutzhinweise einzustellen und auf die Datenschutzhinweise von Facebook zu verweisen. Lange nicht toll, aber besser als gar nichts tun.

Was sagen die Aufsichtsbehörden?

Heute haben auch die Aufsichtsbehörden Stellung bezogen:

Die Bundesbeauftragte sagt:

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Andrea Voßhoff:

„Die Anerkennung der gemeinsamen Verantwortlichkeit von Facebook und Fanpage-Betreiber ermögliche es, Besuchern einer Fanpage den vom Gesetz bezweckten umfassenden Rechtsschutz zu gewährleisten.

 Auch wenn das Urteil noch auf der vor der Datenschutzgrundverordnung geltenden Rechtslage beruht, ist der vom Gericht festgelegte Grundsatz der gemeinsamen Verantwortlichkeit auch auf das neue Recht übertragbar. Welche konkreten Auswirkungen das Urteil für das weitere aufsichtsrechtliche Vorgehen mit sich bringt, werden die Aufsichtsbehörden von Bund und Ländern nun zeitnah entscheiden.

Vor allem öffentlichen Stellen rät die BfDI, die Entscheidung des EuGH zum Anlass zu nehmen, die Rechtskonformität ihrer Fanpages zu überprüfen und – soweit erforderlich – Facebook zu datenschutzrechtlichen Anpassungen zu bewegen. Andrea Voßhoff: Gerade den in besonderem Maß an Recht und Gesetz gebundenen öffentlichen Stellen kommt hier eine Vorbildfunktion zu. Vor allem und in erster Linie steht aber Facebook nun umso mehr in der Pflicht, all seinen öffentlichen Beteuerungen endlich Taten folgen zu lassen und sein Angebot uneingeschränkt datenschutzkonform auszugestalten.

Die Datenschutzkonferenz (DSK) sagt:

„Die unabhängigen Datenschutzbehörden des Bundes und der Länder begrüßen das Urteil des Europäischen Gerichtshofs (EuGH) vom 5. Juni 2018, das ihre langjährige Rechtsauffassung bestätigt.

Das Urteil des EuGH zur gemeinsamen Verantwortung von Facebook und den Betreibern einer Fanpage hat unmittelbare Auswirkungen auf die Seitenbetreiber. Diese können nicht mehr allein auf die datenschutzrechtliche Verantwortung von Facebook verweisen, sondern sind selbst mitverantwortlich für die Einhaltung des Datenschutzes gegenüber den Nutzenden ihrer Fanpage.

Dabei müssen sie die Verpflichtungen aus den aktuell geltenden Regelungen der Datenschutz-Grundverordnung (DS-GVO) beachten. Zwar nimmt das Urteil Bezug auf die frühere Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zum freien Datenverkehr, doch die vom EuGH festgestellte Mitverantwortung der Seitenbetreiber erstreckt sich auf das jeweils geltende Recht, insbesondere auf die in der DS-GVO festgeschriebenen Rechte der Betroffenen und Pflichten der Verarbeiter.

Im Einzelnen ist Folgendes zu beachten:

  • Wer eine Fanpage besucht, muss transparent und in verständlicher Form darüber informiert werden, welche Daten zu welchen Zwecken durch Facebook und die Fanpage-Betreiber verarbeitet werden. Dies gilt sowohl für Personen, die bei Facebook registriert sind, als auch für nicht registrierte Besucherinnen und Besucher des Netzwerks.
  • Betreiber von Fanpages sollten sich selbst versichern, dass Facebook ihnen die Informationen zur Verfügung stellt, die zur Erfüllung der genannten Informationspflichten benötigt werden.
  • Soweit Facebook Besucherinnen und Besucher einer Fanpage durch Erhebung personenbezogener Daten trackt, sei es durch den Einsatz von Cookies oder vergleichbarer Techniken oder durch die Speicherung der IP-Adresse, ist grundsätzlich eine Einwilligung der Nutzenden erforderlich, die die Anforderung der DS-GVO erfüllt.
  • Für die Bereiche der gemeinsamen Verantwortung von Facebook und Fanpage-Betreibern ist in einer Vereinbarung festzulegen, wer von ihnen welche Verpflichtung der DS-GVO erfüllt. Diese Vereinbarung muss in wesentlichen Punkten den Betroffenen zur Verfügung gestellt werden, damit diese ihre Betroffenenrechte wahrnehmen können.
  • Für die Durchsetzung der Datenschutzvorgaben bei einer Fanpage ist die Aufsichtsbehörde zuständig, die für das jeweilige Unternehmen oder die Behörde zuständig ist, die die Fanpage betreibt. Die Durchsetzung der Datenschutzvorgaben im Verantwortungsbereich von Facebook selbst obliegt primär der irischen Datenschutzaufsicht im Rahmen der europäischen Zusammenarbeit.

Die deutschen Aufsichtsbehörden weisen darauf hin, dass nach dem Urteil des EuGH dringender Handlungsbedarf für die Betreiber von Fanpages besteht. Dabei ist nicht zu verkennen, dass die Fanpage-Betreiber ihre datenschutzrechtlichen Verantwortung nur erfüllen können, wenn Facebook selbst an der Lösung mitwirkt und ein datenschutzkonformes Produkt anbietet, das die Rechte der Betroffenen wahrt und einen ordnungsgemäßen Betrieb in Europa ermöglicht.“

Die Datenschutzkonferenz besteht aus den unabhängigen Datenschutzbehörden des Bundes und der Länder. Sie hat das Ziel, die Datenschutzgrundrechte zu wahren und zu schützen, eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten.

Ich habe mal den Datenschutzbeauftragten von Facebook angefragt – der wird gerade viel zu tun haben ;-) Sollten wir von dort eine Antwort bekommen, berichten wir natürlich darüber.

Update vom 18.06.2018:

Zwischenzeitlich hat sich auch Facebook zu Wort gemeldet: „Wir werden unsere Nutzungsbedingungen bzw. Richtlinien für Seiten aktualisieren, um die Verantwortlichkeiten sowohl von Facebook als auch von Seitenbetreibern klarzustellen, und damit auch die Einhaltung der rechtlichen Vorgaben für die Seitenbetreiber zu erleichtern. Details zu unseren aktualisierten Bedingungen werden wir in Kürze bekanntgeben.“

 

Ich bin Rechtsanwalt und Fachanwalt für Urheber- und Medienrecht und der Herausgeber und Autor hier auf eventfaq.de

Urheberangabe für das/die Foto(s) (Symbolfoto):

  • Schlüssel im Schloss: © lucapd - Fotolia.com