Die Facebook-Fanpage im datenschutzrechtlichen Blickpunkt – Wer ist „Verantwortlicher“?
Das Urteil v. 5.6.2018 (Az. C-210/16) des Europäischen Gerichtshofs (EuGH) – und somit nur zwei Wochen nach dem Wirksamwerden der Datenschutz-Grundverordnung (DS-GVO/VO (EU) 2016/679) (wir berichteten) – war ein kleiner Paukenschlag für Unternehmen, die auf der Seite von Facebook eine Fanpage betreiben. Neben verfahrensrechtlichen Fragestellungen hat der EuGH dort im Wesentlichen festgestellt, dass die Betreiber einer Facebook-Fanpage gemeinsam mit Facebook datenschutzrechtlich verantwortlich sind, soweit über das von Facebook implementierte Tool „Insights“ personenbezogene Daten der Besucher der Fanpage verarbeitet werden. Nun hat Facebook reagiert.
Der EuGH machte in erster Linie Facebook für die Verarbeitung personenbezogener Daten auf der Fanpage verantwortlich, da Facebook über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Gleichzeitig nahm er aber den Betreiber der Fanpage in die Pflicht: Soweit er gemeinsam mit Facebook über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher dieser Fanpage entscheidet bzw. zu dieser Datenerhebung und -verarbeitung beiträgt, soll er nach Auffassung des EuGH gemeinsam mit Facebook im datenschutzrechtlichen Sinne als für die Verarbeitung Verantwortlicher anzusehen sein („gemeinsame Verantwortlichkeit“ – Art. 26 DS-GVO). Dies trifft nach dem EuGH für sämtliche Daten zu, die über das standardmäßig auf der Facebook-Fanpage arbeitende Insights-Tool verarbeitet werden.
Das Urteil verunsicherte viele Unternehmen, die eine Facebook-Fanpage betreiben, da sie ihren damit von der DS-GVO vorgegebenen Pflichten – insbesondere hinsichtlich der Informationspflichten – gar nicht in angemessenem Umfang nachkommen konnten. Denn der Fanpage-Betreiber hat keinen umfassenden Einblick darin, welche Daten Facebook verarbeitet. Letztlich ist der Betreiber noch nicht einmal in der Lage zu prüfen und zu bewerten, für welche Verarbeitungsvorgänge von personenbezogenen Daten ihn überhaupt eine gemeinsame Verantwortlichkeit mit Facebook treffen kann. Auch die datenschutzrechtlichen Hinweise von Facebook gaben insoweit keinen Aufschluss. Die Insights-Funktion lässt sich noch nicht einmal abschalten.
Mit Spannung wurde nun erwartet, wie Facebook auf das vorgenannte Urteil reagieren würde. Vielfach ist man davon ausgegangen, dass Facebook durch entsprechende Änderung in der Benutzeroberfläche und/oder den Allgemeinen Geschäftsbedingungen (AGB) die Verantwortlichkeit für die Datenverarbeitungen alleine übernehmen wird, um so eine nutzerfreundliche Arbeitsweise zu ermöglichen, bestehende Verunsicherungen auszuräumen und den Betrieb für die Betreiber rechtssicher zu gestalten.
Weit gefehlt! Der Betrieb der Fanpage ist auch bei Bestätigung der neuen AGB nicht rechtssicher möglich.
Die Reaktion von Facebook können Sie unter untenstehendem Link einsehen.
https://www.facebook.com/legal/terms/page_controller_addendum
Facebook bietet nun für das gemäß EuGH unter gemeinsamer Verantwortlichkeit stehende Insights-Tool ein Addendum zu den bestehenden Nutzungsbedingungen (AGB) der Facebook-Fanpage an. Facebook festigt darin die vom EuGH angenommene gemeinsame Verantwortlichkeit i.S.d. Art. 26 DS-GVO für Datenverarbeitungen über das Insights-Tool.
Auf folgende Regelungen des Addendums ist für den Fall, dass die Fanpage weiterbetrieben werden soll, besonders zu achten:
- Facebook zeichnet sich nun „primär“ – aber eben nicht alleine – verantwortlich für die Datenverarbeitungen über das Insights-Tool und übernimmt sämtliche aus der DS-GVO erwachsenden Pflichten betreffend der Insights-Daten. Hierunter fallen insbesondere die Informationspflichten aus Art. 12 und 13 DS-GVO sowie die Erfüllung der Betroffenenrechte aus Art. 15 f. DS-GVO.
- Facebook fixiert das Prozedere bei Anfragen von Aufsichtsbehörden oder Nutzern vertraglich zwischen Facebook und Fanpage-Betreiber.
- Mit der nun von Facebook angebotenen Ergänzung der AGB wird darüber hinaus der Gerichtsstand für Streitigkeiten im Zusammenhang mit dem Insights-Tool auf Irland festgelegt. Das für derartige Streitigkeiten anwendbare Recht soll ebenfalls das irische sein.
Die nun von Facebook angebotene Ergänzung ist nach unserer Einschätzung ein schwacher Trost für die Fanpage-Betreiber. Facebook spielt damit klar seine Marktmacht aus.
Nach dem Willen von Facebook soll es bezüglich der Datenverarbeitungen im Rahmen des Insights-Tools bei der gemeinsamen datenschutzrechtlichen Verantwortlichkeit bleiben. Hintergrund dessen dürfte die damit verbundene gemeinsame Haftung sein. Auch ein Opt-out für das Insights-Tool wird nicht bereitgestellt – weder für den Fanpage-Betreiber noch den Fanpage-Besucher. Immerhin gibt Facebook an, dass die wesentlichen Verarbeitungsvorgänge den Betroffenen gegenüber offen gelegt werden – wohl allerdings nur im Anfragefall. Nicht nachvollziehbar ist, dass diese Informationen nicht auch dem Fanpage-Betreiber als Mitverantwortlichem grundsätzlich offen gelegt werden.
Zu begrüßen ist indes, dass Facebook zumindest Informationspflichten und Betroffenenrechte für den Betreiber wahrnimmt. Dies dürfte, vorausgesetzt der von Facebook vorgegebene Prozess wird eingehalten (!), eine der wesentlichen Unsicherheiten im Umgang mit Nutzer-Anfragen beseitigen.
Kritisch ist hingegen die Festlegung des Gerichtsstandes für Streitigkeiten im Zusammenhang mit dem Insights-Tool zu bewerten – ebenso die für diese Streitigkeiten nun von Facebook vorgesehene Anwendung irischen Rechts. Hiermit will Facebook offensichtlich vermeiden, dass Rechtsstreitigkeiten in Deutschland bzw. anderen EU-Staaten verhandelt werden. Dieser Schritt dürfte Rechtsuchenden den Rechtsweg erheblich erschweren.
Facebook hat somit zwar den aus der gemeinschaftlichen Verantwortlichkeit für die Betreiber erwachsenden Aufwand und das mit dem Betrieb der Fanpage verbundene Risiko reduziert, jedoch nicht ausgeräumt. In der Gesamtschau ist die Nutzung der Fanpage nach wie vor datenschutzrechtlich bedenklich. Damit muss jeder Fanpage-Betreiber selbst entscheiden, ob er den nun von Facebook beschrittenen Weg mitgehen will. Um das auch nach Bestätigung des Addendums mit dem weiteren Betrieb der Fanpage einhergehende Risiko für das Unternehmen zu reduzieren, sollten Betreiber von Fanpages flankierende Maßnahmen (wie z.B. eine eigenen Datenschutzerklärung auf der Fanpage o.ä.) ergreifen.
Ansprechpartner: Nils Langeloh/Alexander Bartsch/Thomas Schmeding