Erleichterung für Betreiber von Fan-Pages auf Facebook
Geschrieben von Christian Scholtz, veröffentlicht am 05.12.2019Facebook hat seine „Informationen zu Seiten-Insights-Daten“ angepasst und ist mit dieser Überarbeitung den Forderungen der Datenschutzbehörden nachgekommen. Warum und welche das sind, erfahren Sie im folgenden Beitrag.
Bisherige Rechtslage und Kritik der Behörden
Die Rechtsprechung des Europäischen Gerichtshofs (EuGH, 05.06.2018 – C-210/16) zur gemeinsamen Verantwortung von Facebook und den Betreibern einer Fanpage hatte direkte Auswirkungen für die Betreiber einer Fanpage auf Facebook. Denn diese können nach der Rechtsprechung nicht mehr einfach nur auf die datenschutzrechtliche Verantwortung von Facebook verweisen, sondern sind gem. Art. 26 DSGVO selbst mitverantwortlich für die Einhaltung datenschutzrechtlicher Vorgaben. Das hat zur Folge, dass zwischen den Verantwortlichen, also Facebook und den Fanpage-Betreibern, eine Vertrag über die gemeinsame Verantwortung geschlossen werden muss (Details hier im Blogbeitrag).
Die von Facebook zur Verfügung gestellte Vertragsvorlage wurde jedoch von den Datenschutzbehörden bisher abgelehnt, da zum einen die Beschreibung der Verarbeitungsprozesse als nicht ausreichend gesehen werden und zum anderen die Einflussmöglichkeit (z.B. durch Einschränkung der Verarbeitung) der Fanpage-Betreiber auf die Datenverarbeitung von Facebook faktisch nicht vorhanden ist. Abgeschlossen wird der Vertrag über die gemeinsame Verantwortlichkeit im Rahmen des Anmeldeprozesses der Fanpage-Seite auf Facebook – Anpassungen an seiner Vertragsvorlage nimmt Facebook, soweit uns bekannt ist, aber nicht vor.
Neben der erforderlichen Vereinbarung gem. Art. 26 DSGVO haben die Verantwortlichen die in Art. 13, 14 DSGVO geforderten Informationspflichten gegenüber den Besuchern einzuhalten. Facebook stellt hierfür allen Besuchern auf jeder Fanpage „Informationen zu Seiten-Insights-Daten“ zur Verfügung. Doch auch diese Hinweise waren nach Einschätzung der Datenschutzbehörden unzureichend und erfüllten nicht die gesetzlichen Vorgaben.
Facebook kommt den Behörden entgegen
Facebook hat nun reagiert und eine neue Version der „Informationen zu Seiten-Insights-Daten“ bereitgestellt. Neben einer ausführlicheren und detaillierteren Auflistung der Arten der erhobenen Daten, wurden zudem auch neue technische und organisatorische Maßnahmen zur Datensicherheit aufgelistet. Fraglich ist jedoch, ob diese Erneuerungen den Datenschutzbehörden ausreichen. Denn von der Datenschutzbehörde geforderten Einflussmöglichkeiten der Fanpage-Betreiber auf die gemeinsame Datenverarbeitung sucht man in der neuen Vereinbarung weiterhin vergeblich.
Weitere Einflussmöglichkeit überhaupt erforderlich?
Folgt man der Argumentation der Datenschutzbehörden, so stellt diese fehlende Einflussmöglichkeiten der Fanpage-Betreiber ein datenschutzrechtliches Problem dar. An dieser Stelle ist jedoch fraglich, warum die derzeitige Einflussmöglichkeit als nicht ausreichend betrachtet wird. Der EuGH selbst beschränkte in seiner Entscheidung die Verantwortlichkeit des Fanpage-Betreibers lediglich auf die Erhebung der Besucherdaten durch die Eröffnung der Fanpage. Umgekehrt müsste daher deren Schließung als Einflussmöglichkeit ausreichend sein.
Werden Daten von Facebook nun in weiteren Schritten verarbeitet, so geschieht dies außerhalb des Verantwortungsbereich des Fanpage-Betreibers und eine weitere Einflussmöglichkeit wäre demnach obsolet.
Wichtige Klarstellung
In den überarbeiteten „Informationen zu Seiten-Insights“ stellt Facebook zudem ausdrücklich klar, dass beim Besuch einer Fanpage keine statistischen Daten von Nicht-Mitgliedern verarbeitet werden. Mit dieser Aussage entkräftigt Facebook eine der größten Kritikpunkte seitens der Datenschutzbehörden und auch dem EuGH. Denn eine Erhebung personenbezogener Daten von Nicht-Facebook Mitgliedern hätte wohl eine unzulässige Datenverarbeitung zur Folge.
Dass keine personenbezogenen Daten von Nicht-Mitgliedern erhoben werden, wird nach Aussage von Facebook durch die nur einmal vergebenen ID jedes Mitglieds sichergestellt. Erst nach Prüfung und Feststellung, dass es sich um ein Facebook Mitglied handelt, werden personenbezogene Daten der Besucher weiterverarbeitet.
Handlungsempfehlung
Als Fanpage-Betreiber sollten Sie sicherstellen, dass Sie auf Ihrer Facebookseite über die entsprechenden Datenschutzhinweise verfügen. Das gewährleisten Sie am besten durch die Aktivierung des Feldes „Datenrichtlinie“ im Infobereich Ihrer Facebookseite und der Platzierung eines Links zu einer eigenständigen Social-Media-Datenschutzerklärung auf Ihrer Webseite. Hier sollten die Informationen zur vorhandenen Facebook- Fanpage ausreichend Berücksichtigung finden.
Weiterhin ist zu beachten, dass die Nutzung einer Fanpage im Verzeichnis von Verarbeitungstätigkeiten gem. Art. 30 DSGVO dokumentiert werden muss. Falls Sie zur Erstellung einer Datenschutzerklärung und deren Einbindung auf Ihrer Facebookseite Fragen haben, sprechen Sie uns gerne an.
Fazit
Facebook kommt mit der überarbeiteten Version seiner Informationen zu den Seiten–Insights-Daten auf der Fanpage den Aufsichtsbehörden einen großen Schritt entgegen. Das liegt vor allem an der ausbleibenden Erhebung personenbezogener Daten von Nicht-Facebook-Mitgliedern beim Besuch einer Fanpage. Insgesamt bedeutet das für Fanpage-Betreiber also eine kleine Erleichterung. Dennoch bleibt abzuwarten wie die Behörden auf die Anpassung von Facebook reagieren. Wir halten Sie dazu selbstverständlich auf den Laufenden.