Dein wichtigster Touchpoint zur Digitalbranche.
Dein wichtigster Touchpoint zur Digitalbranche.
Social Media Marketing
Sind Facebooks Fanpages rechtswidrig? Die Datenschutzkonferenz sagt ja
Fanpages bei Facebook vor dem Aus?, Screenshot YouTube, © Facebook

Sind Facebooks Fanpages rechtswidrig? Die Datenschutzkonferenz sagt ja

Niklas Lewanczik | 11.09.18

Die Datenschutzkonferenz hält die Fanpages im derzeitigen Zustand für rechtswidrig, da keine Vereinbarung zur Datenschutzverantwortung der Betreiber vorliegt.

Im Juni hatte der EuGH geurteilt, dass Betreiber von Fanpages bei Facebook ebenso wie das Soziale Netzwerk für die Durchsetzung von Datenschutzbestimmungen verantwortlich sind. Allerdings bemängelt die Datenschutzkonferenz in einem Beschluss nun, dass eine Vereinbarung zur gemeinsamen Verantwortlichkeit gemäß der DSGVO nicht vorliegt – was die Facebook-Seiten grundsätzlich zu widerrechtlichen mache.

Die Datenschutzkonferenz betont die gemeinsame Verantwortung

Infolge des Urteils des EuGH hatte Facebook im Juni angekündigt, man werde „die notwendigen Schritte unternehmen, um es den Seitenbetreibern zu ermöglichen, ihren rechtlichen Verpflichtungen nachzukommen.“ Weiter hieß es im Blogpost:

Wir werden unsere Nutzungsbedingungen bzw. Richtlinien für Seiten aktualisieren, um die Verantwortlichkeiten sowohl von Facebook als auch von Seitenbetreibern klarzustellen, und damit auch die Einhaltung der rechtlichen Vorgaben für die Seitenbetreiber zu erleichtern.

Doch ist in der Datenrichtlinie Facebooks keine konkrete Vereinbarung nachzuvollziehen, die klarstellt, welche Partei für welche Aspekte des Datenschutzes im Kontext der Fanpages verantwortlich zeichnet. Allerdings bedarf es nach der DSGVO, Art. 26 genau solch einer transparenten Vereinbarung:

Gemeinsam für die Verarbeitung Verantwortliche

(1)   Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind. In der Vereinbarung kann eine Anlaufstelle für die betroffenen Personen angegeben werden.

(2)   Die Vereinbarung gemäß Absatz 1 muss die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln. Das wesentliche der Vereinbarung wird der betroffenen Person zur Verfügung gestellt.

(3)   Ungeachtet der Einzelheiten der Vereinbarung gemäß Absatz 1 kann die betroffene Person ihre Rechte im Rahmen dieser Verordnung bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen

Nun macht die Konferenz der unabhängigen Datenschutzaufsichtsbehörden
des Bundes und der Länder in ihrem Beschluss deutlich, dass die Fanpages auf Grundlage der aktuellen Datenschutzrichtlinie bei Facebook rechtlich nicht haltbar seien:

Auch Fanpage-Betreiberinnen und Betreiber müssen sich ihrer datenschutzrechtlichen Verantwortung stellen. Ohne Vereinbarung nach Art. 26 DSGVO ist der Betrieb einer Fanpage, wie sie derzeit von Facebook angeboten wird, rechtswidrig.

Die Datenschutzkonferenz fordert Maßnahmen und stellt einen Fragenkatalog zur Verfügung

Damit die Facebook-Seiten rechtskonform bleiben beziehungsweise wieder werden, ersucht die DSK Facebook eine gemeinsame Verantwortlichkeit transparent zu machen – wie es vor Monaten schon angekündigt worden war. Diese würde auch bedeuten, dass User ebenso von Seitenbetreibern erwarten können Auskunft über die Datenverarbeitung zu erhalten (DSGVO Art. 26, Abs. 3).

Im Zuge ihrer Beratung hat die Datenschutzkonferenz acht Fragen ausgearbeitet, die die gemeinsam Verantwortlichen beantworten können sollen. Darunter finden sich Fragen wie:

In welcher Art und Weise wird zwischen Ihnen und anderen gemeinsamen Verantwortlichen festgelegt, wer von Ihnen welche Verpflichtung gemäß der DSGVO erfüllt? (Art. 26 Abs. 1 DSGVO)

oder :

Wie stellen Sie sicher, dass die Betroffenenrechte (Art. 12 ff. DSGVO) erfüllt werden können, insbesondere die Rechte auf Löschung nach Art. 17 DSGVO, auf Einschränkung der Verarbeitung nach Art. 18 DSGVO, aus Widerspruch nach Art. 21 DSGVO und auf Auskunft nach Art. 15 DSGVO?

Nun können die Seitenbetreiber all die Fragen aber nur mit Facebooks Kooperation beantworten. Das heißt, dass Facebook tatsächlich auf eine Vereinbarung zur gemeinsamen Verantwortlichkeit pochen müsste, um die Fanpages aus Sicht der Datenschutzaufsichtsbehörden des Bundes und der Länder legitim zu gestalten. Dass Facebook aber den Seitenbetreibern so rundheraus Einblick in ihre Praktiken gewährt, dass sie die vorliegenden Fragen selbst beantworten könnten, ist unwahrscheinlich.

Facebook ist in der Pflicht; aber sind die Seiten wirklich gefährdet?

Tatsächlich steht Facebook in der Pflicht, die Verantwortlichkeit für die Durchsetzung von Datenschutzrichtlinien bei Facebook-Seiten transparenter darzustellen. Das fordert die DSGVO und die europäische Gerichtsbarkeit. Allerdings sind auch bis heute die Fanpages trotz dieser Anforderungen und eines Mangels an der Erfüllung derselben nicht von der Bildfläche verschwunden. Dennoch dürfte der Beschluss für viele Unternehmen Auswirkungen haben, sofern er deren Fanpages ihre Legitimität nicht nur theoretisch abspricht, sondern auch eine Prüfung bedingt. Im Facebookpost von Rechtsanwalt Dr. Thomas Schwenke wird deutlich, wie das Szenario sich entfalten könnte.

Viele Seitenbetreiber sind nun besorgt; womöglich zurecht, sollte von Datenschutzseite die Forderung an diese gestellt werden alle Maßnahmen zur Durchsetzung der Datenschutzrichtlinien bei Facebook aufzudecken. Denn das ist derzeit wohl nicht möglich. Im Übrigen dürften diese Anforderungen auch bei anderen sozialen Plattformen Geltung erlangen.

Seitenbetreiber stehen im Lichte dieser Aussagen nun vor der Frage, ob sie ihre Seiten einstellen sollten oder nicht. Zunächst könnten sie auch einfach nur offline geschaltet werden. Letztlich handeln sie rechtlich in einem Graubereich, wenn sie es nicht tun. Facebook selbst ist nun gefragt und sollte Klarheit in die Sache bringen. Andernfalls könnte es dazu kommen, dass viele Fanpages demnächst von der Bildfläche verschwinden. Oder mit Bußgeldern etc. zu rechnen haben. Die Entwicklung wird mit Spannung zu verfolgen sein. Für Datenschützer ebenso wie für die Seitenbetreiber und die User.

Die Rechtsgrundlage zur Datenverarbeitung bei Facebook könnt ihr übrigens hier nachvollziehen.

UPDATE

Wie jüngst bekannt wurde, hat Facebook nun eine Ergänzung zu den bisherigen Bestimmungen für Seitenbetreiber vorgelegt. Diese beginnt wie folgt:

Facebook Ireland Limited („Facebook Ireland“) und du seid gemeinsam Verantwortliche für die Verarbeitung von Insights-Daten. Diese Seiten-Insights-Ergänzung legt die jeweiligen Verantwortlichkeiten von Facebook Ireland und dir im Hinblick auf die Verarbeitung von Insights-Daten fest.

Den Seitenbetreibern wird geraten sich ihrer Rechtsgrundlage für die Verarbeitung von Insights-Daten zu versichern. Allerdings übernimmt Facebook Ireland die „primäre Verantwortung“ und:  „Facebook Ireland entscheidet nach seinem alleinigen Ermessen, wie es seine Pflichten gemäß dieser Seiten-Insights-Ergänzung erfüllt.“ Sollte eine Person oder Aufsichtsbehörde sich in Bezug auf die Datenverarbeitung bei Seitenbetreibern melden, müssen diese die Anfrage an Facebook weiterleiten und können dazu ein Formular einreichen. Dazu heißt es dann auch:

Du stimmst zu, zeitnah sämtliche angemessenen Anstrengungen zu unternehmen, um mit uns an der Beantwortung jedweder derartigen Anfrage zusammenzuarbeiten. Du bist nicht berechtigt, im Namen von Facebook Ireland zu handeln oder zu antworten.

Kommentare aus der Community

Sabine Tränert am 11.09.2018 um 15:17 Uhr

Mit der DSGVO wird vielen Angst und somit viel Geld gemacht. Dabei beteffen 95% der Regelungen ausschließlich Fotos. Wer Fotos von sich selbst postet oder Fotos mit freien Lizenzen hat nichts zu befürchten.

Antworten
Niklas Lewanczik am 12.09.2018 um 09:01 Uhr

Hallo Sabine,

der ersten Aussagen kann man sicherlich in Teilen zustimmen. Allerdings bezieht sich die DSGVO tatsächlich nicht zum überwiegenden Teil auf Fotos. Die Verordnung regelt schließlich So heißt es in Art. 2 Abs. 1 DSGVO:

„Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.“

Diese Daten sind nach Art. 4 Abs. 1 DSGVO:

„[…] alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;“

Demnach ist es richtig, dass das Posten eigener Bilder unproblematisch ist. Die DSGVO aber regelt in umfassenderem Maße die rechtlichen Grundlagen zur Verarbeitung personenbezogener Daten; und diese können eben auch ganz anderer Natur sein.

Das zeigt sich in der Verordnung: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=celex%3A32016R0679

Beste Grüße

Antworten
Niklas Lewanczik am 11.09.2018 um 12:27 Uhr

Hallo Swiss Fanpager,

das ist eine gute Frage. Zunächst gab es ein Update, nach dem Facebook nun eine Ergänzung als Vereinbarung vorgelegt hat (siehe UPDATE im Beitrag). Damit dürfte die Legitimität der Seiten vorerst ohnehin gesichert sein.
In der Schweiz wäre in solchen Fällen wohl ebenfalls ein potentielles Gerichtsurteil ein Gradmesser. Allerdings gilt die DSGVO auch dann, wenn etwa bei Schweizer Internetpräsenzen Daten von Personen aus der EU verarbeitet werden, wenn Daten im Auftrag eines EU-Unternehmens verarbeitet werden.
Es käme also ganz darauf an, was die Seite beinhaltet und welche Daten sie verarbeitet.
Mit Facebooks Ergänzung sollte aber das Problem erstmal aus der Welt geschafft sein.

Beste Grüße

Antworten
Swiss Fanpager am 11.09.2018 um 11:46 Uhr

Ich nehme an Schweizer Fan-Seiten Betreiber betrifft das zum Glück (noch) nicht?

Antworten
Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*
*