DSGVO: Update Facebook und Datenschutz – Joint-Controller-Vereinbarungen und Datenschutzhinweise für Facebook-Fanpages

Betreiber von Facebook-Fanpages sollten zur Risikominimierung ihre Datenschutzhinweise an die von Facebook bereitgestellte Joint-Controller-Vereinbarung anpassen. Rechtssicherheit bezüglich des datenschutzkonformen Betreibens von Social-Media-Auftritten besteht hierdurch jedoch weiterhin nicht.

Im Juni 2018 hatte der EuGH (Az. C-210/16) in einem viel beachteten Urteil entschieden, dass Betreiber einer Facebook-Fanpage gemeinsam mit Facebook verantwortlich für die Verarbeitung personenbezogener Daten der Besucher sind, sog. „Joint Controllership“.

Eine gemeinsame datenschutzrechtliche Verantwortlichkeit erfordert nach Maßgabe des seit Mai 2018 anzuwendendem Art. 26 DS-GVO insbesondere auch eine sog. Joint Controller-Vereinbarung, die klarstellt, wie die gemeinsam Verantwortlichen die Pflichten aus der DSGVO erfüllen werden. Zudem müssen Fanpage-Besucher vom Betreiber der Fanpage in transparenter und verständlicher Form über die gemeinsame Datenverarbeitung informiert werden (Datenschutzhinweise).

Die Datenschutzaufsichtsbehörden haben nach Veröffentlichung des EuGH-Urteils im Rahmen der sog. Konferenz der unabhängigen Datenschutzaufsichtsbehörden (DSK) reagiert und in zwei Positionspapieren Stellung zu den daraus resultierenden Konsequenzen für Fanpage-Betreiber bezogen. In dem im September 2018 zuletzt veröffentlichten DSK-Beschluss kündigte die DSK an, auf europäischer Ebene gegen Facebook vorgehen zu wollen. Darüber hinaus wiederholte sie ihre Position, dass sich auch Fanpage-Betreiber ihrer Verantwortung stellen müssten und der Betrieb einer Fanpage ohne entsprechende Joint Controller-Vereinbarung rechtswidrig sei. Ihrem Beschluss hatte die DSK acht Fragen beigefügt, wobei sie nicht nur Facebook, sondern auch die Fanpage-Betreiber in der Pflicht sieht, diese beantworten zu können.

Facebook hat mittlerweile reagiert und bietet eine solche Joint Controller-Vereinbarung für alle Nutzer an, die Zugang zu den sogenannten Seiten-Insights auf Facebook haben. Die Vereinbarung soll automatisch gelten, so dass es insofern keiner weiteren Handlung des Fanpage-Betreibers bedarf. Durch die Bereitstellung dieser Vereinbarung werden daher zumindest in formaler Hinsicht die Anforderungen der DSGVO bzw. der DSK in Bezug auf die gemeinsame Verantwortlichkeit für die Datenverarbeitung im Rahmen der Facebook-Fanpages umgesetzt. Gleichwohl verbleibt eine nicht unerhebliche Rechtsunsicherheit, insbesondere auch, da die Rechtsmäßigkeit der Datenverarbeitung vom Fanpage-Betreiber zu bewerten bleibt und die DSK im Rahmen eines umstrittenen Positionspapiers zu sog. Trackingmethoden das berechtigte Interesse der Verantwortlichen als Rechtsgrundlage der Datenverarbeitung verneint hat. Konsequenz daraus ist, dass der Fanpage-Besucher grundsätzlich seine Einwilligung erteilen müsste, was technisch durch Facebook bislang nicht umgesetzt worden ist.

Unbeschadet dieser weiteren Problemstellungen ist Fanpage-Betreibern zu empfehlen, Datenschutzhinweise für die Facebook-Fanpages vorzuhalten und diese zumindest der Joint-Controller-Vereinbarung entsprechend anzupassen. Darüber hinaus sollte kritisch geprüft werden, ob diese Hinweise den seitens der DSK gestellten Anforderungen bezüglich der Datenverarbeitung auf Facebook genügen.

Bei Fragen zur Joint-Controller-Vereinbarung oder anderen datenschutzrechtlichen Aspekten stehen wir gern zur Verfügung.