Was bisher geschah
Zwei Wochen nach Wirksamwerden der Datenschutzgrundverordnung (DSGVO) verkündete der Europäische Gerichtshof (EuGH) am 5. Juni 2018 ein Urteil, das sich im Wesentlichen mit der datenschutzrechtlichen Verantwortlichkeit von Betreibern von Facebook Fanpages nach der alten Gesetzeslage befasste. Der EuGH hat im Hinblick auf Fanpage-Betreiber die nachfolgende Entscheidung getroffen:
Der Begriff „für die Verarbeitung Verantwortliche“ im Sinne der Datenschutz-Richtlinie umfasst auch Fanpage-Betreiber.
Aufgrund der nahezu identischen Definition in der DSGVO gilt daher, dass Fanpage-Betreiber und Facebook gemeinsam Verantwortliche im Sinne der DSGVO sind. Als Begründung für die gemeinsame Verantwortlichkeit führt der EuGH im Wesentlichen an, dass der Fanpage-Betreiber durch die von ihm vorgenommenen Einstellungen an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher beteiligt ist. Die Einstellungen betreffen insbesondere solche zu seinem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten. Die Verantwortlichkeit des Betreibers soll hinsichtlich Benutzern, die nicht auch Nutzer von Facebook sind, höher ausfallen, da das bloße Aufrufen der Fanpage durch den Besucher automatisch die Verarbeitung ihrer personenbezogenen Daten auslöst.
Die DSK wies mit ihrer Entschließung vom 5. Juni 2018 daraufhin, dass ihrer Ansicht nach dringender Handlungsbedarf für die Fanpage-Betreiber bestehe, und veröffentlichte eine Liste mit vier aus Sicht der DSK zu beachtenden Punkten:
- alle Besucher der Fanpage müssen transparent und in verständlicher Form über die Datenverarbeitung informiert werden,
- Fanpage-Betreiber sollten sich selbst versichern, dass Facebook ihnen die zur Erfüllung der Informationspflichten notwendigen Informationen zur Verfügung stellt,
- es liegt eine Einwilligung für ein Tracking vor,
- es ist eine Vereinbarung zwischen Facebook und den Fanpage-Betreibern abzuschließen, die die Übernahme bzw. Aufteilung der Verantwortlichkeiten festlegt.
Und nun die Fortsetzung
Da Facebook in den nach der Entscheidung vergangenen drei Monaten nur wenig geändert hatte, sah sich die DSK zu ihrem Beschluss vom 5. September 2018 veranlasst. In diesem Beschluss weist die DSK erneut auf die Handlungsnotwendigkeit und Erforderlichkeit einer Vereinbarung zur gemeinsamen Verantwortlichkeit hin. Zudem sei von den Fanpage-Betreibern die Rechtmäßigkeit der gemeinsamen zu verantwortenden Datenverarbeitung zu gewährleisten und nachzuweisen. Dem Beschluss ist eine Liste von Fragen angehängt, die sowohl von Facebook als auch von den Fanpage-Betreibern beantwortet werden können müssen.
Einige dieser Fragen können mit der von Facebook am 11. September 2018 veröffentlichten Seiten-Insights-Ergänzung beantwortet werden. Mit dieser zwischen Facebook und den Fanpage-Betreibern geltenden Vereinbarung übernimmt Facebook laut der Vereinbarung einerseits die primäre Verantwortung für die Verarbeitung von Insights-Daten und erklärt, alle Pflichten aus der DSGVO im Hinblick auf die Verarbeitung von Insights-Daten zu erfüllen. Darunter fielen insbesondere die Informationspflichten, die Rechte der Betroffenen sowie die Pflichten aus den Art. 32 bis 34 DSGVO, u.a. zur Sicherheit personenbezogener Daten .
Andererseits verlangt Facebook, dass der Fanpage-Betreiber sicherstellt, dass er eine Rechtsgrundlage für die Verarbeitung von Insights-Daten hat, den Verantwortlichen auf der Fanpage benennt und jedwede sonstigen geltenden rechtlichen Pflichten einhält. Zudem sind an den Fanpage-Betreiber gerichtete Anfragen von Betroffenen innerhalb von 7 Tagen an Facebook weiterzuleiten.
Andere Fragen aus dem Beschluss der DSK, z. B. nach den Zwecken und der Rechtsgrundlage für die von Besuchern der Fanpages erhobenen Daten und nach den Daten bzw. Datenkategorien selbst, lassen sich nicht mit der Seiten-Insights-Ergänzung beantworten. Auch die Datenschutzerklärung und die Cookie-Richtlinie von Facebook beantworten diese Fragen unserer Ansicht nach nicht vollumfänglich und im Detail.
Zudem lässt sich ein schwerwiegendes Problem durch die Seiten-Insights-Ergänzung nicht lösen: Die Frage nach der Rechtsgrundlage des Fanpage-Betreibers für die Erhebung der personenbezogenen Daten, die Facebook mittels Cookies und ggf. anderer Methoden durchführt. Die DSK vertritt die Ansicht, dass für Tracking-Tools wie Google Analytics aber auch die auf den Fanpages verwendeten Tools eine Einwilligung der Nutzer vor Aktivierung dieser Tools erforderlich ist. Der Fanpage-Betreiber hat jedoch keinen Einfluss auf die technische Gestaltung der Fanpages, der es ihm ermöglichen würde, eine Einwilligung einzuholen und erst nach der Erteilung die Tracking-Tools zu aktivieren oder eben deaktiviert zu lassen. Die Tracking-Tools sind vielmehr automatisch und ständig auf der Fanpage aktiv. Der Fanpage-Betreiber kann die nach der Erhebung stattfindende Verarbeitung durch seine Einstellungen nur marginal beeinflussen. Dies hat Facebook in der Seiten-Insights-Ergänzung deutlich gemacht. Wie die Datenschutzbehörden mit dieser Situation umgehen werden, bleibt abzuwarten. Ein Umschwenken darauf, dass als Rechtsgrundlage das Vorliegen eines berechtigten Interesses (Art. 6 Abs. 1 S. 1 lit. f) DSGVO) ausreichend sein soll, dürfte jedoch nicht zu erwarten sein.
Weiterhin bleibt unklar, welche personenbezogenen Daten konkret von den Besuchern der Fanpages erhoben bzw. welche der erhobenen Daten für die Seiten-Insights verarbeitet werden. Erhebt Facebook mehr Daten als diejenige, die für Seiten-Insights verarbeitet werden, oder verarbeitet Facebook nur einen Teil der erhobenen Daten für Seiten-Insights, stellt sich die Frage, ob der Fanpage-Betreiber auch für die Verarbeitung der übrigen Daten gemeinsam mit Facebook verantwortlich ist. Für diese Datenverarbeitung würde die Seiten-Insights-Ergänzung jedenfalls nicht gelten. Gegen eine solche Mitverantwortlichkeit dürfte sprechen, dass der Fanpage-Betreiber keine Einstellungen hinsichtlich dieser Datenverarbeitung vornehmen kann. Jedoch hat der EuGH ebenfalls deutlich darauf hingewiesen, dass allein schon die Einrichtung einer Fanpage Facebook die Möglichkeit gibt, auf dem Computer oder jedem anderen Gerät der Betroffenen, die die Fanpage besuchen, Cookies zu platzieren. Auch hier scheint das letzte Wort noch nicht gesprochen zu sein.
Schließlich wird in Zukunft trefflich darüber zu diskutieren sein, ob und wie die Grundsätze der gemeinsamen Verantwortlichkeit auf andere Plattformen Anwendung finden. Denn sobald eine Plattform (nicht privaten) Nutzern die Möglichkeit bietet, eigene Inhalte auf der Plattform darzustellen und ggf. auch nur geringen Einfluss auf die Datenerhebung oder -verarbeitung zu nehmen, dürften die Nutzer gemeinsam mit den Plattformbetreibern Verantwortliche im Sinne der DSGVO sein.
Praxistipp: Zum jetzigen Zeitpunkt sollten Fanpage-Betreiber die in der Seiten-Insights-Ergänzung von Facebook von Ihnen verlangten Maßnahmen umsetzen. Das heißt, Sie sollten
- den Verantwortlichen deutlich auf der Fanpage benennen
- einen Prozess zur Weiterleitung bei Ihnen eingehender Nutzeranfragen an Facebook einrichten
- auf die Seiten-Insights-Ergänzung verlinken
- die Besucher der Fanpage über die Rechtsgrundlage der Datenverarbeitung informieren
- die Situation der gemeinsamen Verantwortlichkeit und ihre wesentlichen Folgen für die Besucher transparent in einer kurzen Beschreibung darstellen
Teilweise können die vorstehenden Informationen auch über die Verlinkung auf die eigene Datenschutzerklärung des Fanpage-Betreibers erfüllt werden.
Autor: Yvonne Quad, Armin Ewert