IT-Recht: Facebook-Fanpages: Abschalten oder Abwarten?
Erneut sorgt eine Meldung der Datenschutzkonferenz für Unsicherheit unter Betreibern von Facebook-Fanpages. Viele fragen sich: droht mir ein Bußgeld oder eine Abmahnung wegen Datenschutzverstoßes? Soll ich meine Seite lieber abschalten oder kann ich abwarten?
Das Urteil
Der Europäische Gerichtshof hatte 2018 mit einem Urteil, allerdings zur alten EU-Datenschutzrichtlinie, den Stein ins Rollen gebracht: Unternehmen, die eine Facebook-Fanpage betreiben, um so (potentielle) Kunden anzusprechen, sind mit der Facebook Inc. mitverantwortlich für die Verarbeitung personenbezogener Daten. Und haften somit in gleicher Weise für Datenschutzzverstöße. Weil sie laut EuGH gemeinsam mit Facebook festlegen, welche Daten auf welche Art und Weise verarbeitet werden.
Daher sollen sie lt. EuGH mit Facebook eine Vereinbarung über die gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO schließen, in der geregelt sein muss, wer welche Pflichten nach der DSGVO erfüllt.
Das Problem
Facebook selber meint, Fanpage-Betreiber hätten nur die Daten, die sie selbst zuvor erfasst haben. Der EuGH hingegen meint, der Fanpage-Betreiber könne sich nicht so einfach rausreden.
Wer aber selber verantwortlich für den rechtskonformen Umgang mit personenbezogenen Daten ist, den treffen u.a. dieselben Informationspflichten gegenüber seinen Nutzern wie Facebook selbst.
Doch welche sind das und wie komme ich als Fanpage-Betreiber an die Infos?
Die Facebook Inc. will sich schließlich selber nicht in ihre Karten gucken lassen. Sie veröffentlichte als Reaktion auf das EuGH-Urteil im September 2018 Ergänzungstexte (sog. „Seiten-Insights-Ergänzung“), in denen das Unternehmen die primäre Verantwortung für die Betroffenenrechte (Art. 12 bis 22 DSGVO) sowie die Datensicherheit und Meldung von Datenschutzverletzungen (Art. 32-34 DSGVO) übernimmt. Facebook hält aber daran fest, dass die alleinige Entscheidungsmacht hinsichtlich der Verarbeitung von Insights-Daten bei Facebook liegt.
Die Datenschutzkonferenz (DSK) hält das für widersprüchlich: gemeinsame Verantwortlichkeit und alleinige Entscheidungsmacht für die Verarbeitung personenbezogener Daten bei Facebook, das paßt nicht zusammen. Sie hat hierzu zum 1.4.2019 ein Positionspapier vorgelegt, in dem sie ausführt:
„Die von Facebook veröffentlichten Informationen stellen zudem die Verarbeitungstätigkeiten, die im Zusammenhang mit Fanpages und insbesondere Seiten-Insights durchgeführt werden und der gemeinsamen Verantwortlichkeit unterfallen, nicht hinreichend transparent und konkret dar. Sie sind nicht ausreichend, um den Fanpage-Betreibern die Prüfung der Rechtmäßigkeit der Verarbeitung der personenbezogenen Daten der Besucherinnen und Besucher ihrer Fanpage zu ermöglichen.“
Auf deutsch: keine Entwarnung! Facebook-Fanpages sind nach Ansicht der Aufsichtsbehörden weiterhin (datenschutz-)rechtswidrig:
„Die Datenschutzkonferenz erwartet, dass Facebook entsprechend nachbessert und die Fanpage-Betreiber ihrer Verantwortlichkeit entsprechend gerecht werden. Solange diesen Pflichten nicht nachgekommen wird, ist ein datenschutzkonformer Betrieb einer Fanpage nicht möglich.“
Was tun?
Wer zu 100 Prozent sichergehen will, dem bleibt nichts anderes, als seine Seite abzuschalten. Denn weder Abmahnungen von Mitbewerbern noch die Einleitung von Bußgeldverfahren durch die Aufsichtsbehörden sind auszuschließen.
Ich selber habe meine Seite NICHT gelöscht. Ich rate zur Gelassenheit. Eine Abmahnwelle halte ich aus mehreren Gründen für unwahrscheinlich: einmal, weil Facebook Daten ohnehin anonymisiert, ehe es sie weitergibt und die Statistiken, die Fanpage-Betreiber dann erhalten, gerade keine persönlichen Daten enthalten. Ferner: es ist noch lange nicht geklärt, ob Mitbewerber Verstöße gegen die DSGVO überhaupt abmahnen können. Es gibt Gerichte (etwa das OLG Hamburg, Urt. v. 25.10.2018 – 3 U 66/17), die dies grds. für möglich halten. Der Standardkommentar zum Lauterkeitsrecht (Köhler/Bornkamm/Feddersen/Köhler, UWG, § 3a Rn. 1.40a) und einige Landgerichte (etwa das LG Wiesbaden, Urt. v. 05.11.2018 – 5 O 214/18) halten dagegen, Art. 80 Abs. 2 DSGVO regele abschließend die Rechtsfolgen von Verstößen gegen die DSGVO. Derzeit gleicht es einem Lotteriespiel, vorherzusagen, wie welches Gericht diese Frage beurteilt. Und weil auch die meisten Anwälte dies wissen und einordnen können, bleibt die große Abmahnwelle bisher aus.
Und was tun, wenn die Aufsichtsbehörde mich auffordert, meine Fanpage abzuschalten?
Fordert die Aufsichtsbehörde einen Unternehmer auf, seine Fanpage binnen einer kurzen Frist abzuschalten, sollte und wird sich dieser gerichtlich dagegen wehren. Denn welche Pflichten sich aus dem EuGH-Urteil für Fanpage-Betreiber konkret ergeben und wie sie diesen nachkommen können, ist derzeit völlig unklar. Meiner bescheidenen Meinung nach haben Datenschutzbehörden derzeit kein Interesse daran, Fanpages abzuschalten, da sie den Aufwand gar nicht schultern könnten. Und weil die Rechtslage noch unklar ist. Übrigens: das Bundesjustizministerium betreibt weiterhin eine sehr aktive Facebook-Fanpage.
Natürlich ist es möglich, dass Ihnen ein Bescheid Ihrer Landesdatenschutzbehörde hereinflattert, Ihre Fanpage abzuschalten. Weigern Sie sich, droht ein Bußgeld in vierstelliger Höhe. Dagegen können Sie sich natürlich, mit ungewissem Ausgang wie immer, wenn man vor Gericht und auf hoher See unterwegs ist, gerichtlich wehren. Ob Sie dieses Risiko eingehen wollen, müssen Sie selber entscheiden
Was kann ich denn tun, um das Risiko zu minimieren?
Checkliste für Fanpage-Betreiber
- Nutzer informieren
Informieren Sie Ihre Nutzer auf der Fanpage über die Verarbeitung personenbezogener Daten im Infobereich unter „Datenrichtlinie“, indem Sie dort einen Link zur eigenen Datenschutzerklärung auf der Webseite einfügen. Diese wird dann jedem Nutzer, der „Datenrichtlinie“ klickt, angezeigt.
- Datenschutzerklärung ergänzen
Diese Datenschutzerklärung müssen Sie mit einem Passus zur gemeinsamen Verantwortlichkeit beim Betrieb der Fanpage ergänzen. Hierbei weisen Sie darauf hin, dass der Fanpage-Betreiber laut aktueller Rechtsprechung gemeinsam mit Facebook datenschutzrechtlich verantwortlich ist und welche Rechtsgrundlage dieser – Ihrer eigenen – Datenverarbeitung zugrunde liegt. Dies werden üblicherweise Art. 6 Abs. 1 S. 1 lit. b) oder f) DSGVO sein. In der Regel haben Sie bei der Verarbeitung ein dem Betroffenen gegenüber überwiegendes Interesse an der Verarbeitung.
Verlinken Sie ebenso auf die „Seiten-Insights-Ergänzung“ von Facebook und weisen Sie noch einmal darauf hin, dass die Facebook Inc. demnach die alleinige Verantwortung für den Datenschutz trägt und sich sowohl um die Betroffenenrechte als auch die Datensicherheit laut DSGVO kümmert.
Dies könnte etwa so aussehen:
Wir betreiben unter
eine sog. “Facebook-Fanpage”, in der wir über uns und unsere Arbeit informieren und mit (potentiellen) Kunden in Kontakt treten. Hierbei erhebt die Facebook Inc. statistische Daten, die sie auswertet und uns in anonymisierter Form zur Verfügung stellt. Hierbei handelt es sich nicht um persönlich zuzuordnende Daten. Sollte ein Facebook-Mitglied uns über unsere Fanpage eine Nachricht schreiben, erhebt Facebook die jeweils vom Mitglied hinterlegten Daten.
Der Fanpage-Betreiber ist auf seiner Fanpage jeweils mit der Facebook Ireland Ltd. gemeinsam Verantwortlicher beim Betrieb der jeweiligen Fanpage laut aktueller Rechtsprechung und damit gemeinsam mit Facebook datenschutzrechtlich verantwortlich, Art. 26 DSGVO. Rechtsgrundlage unserer Datenverarbeitung ist Art. 6 Abs. 1 S. 1 lit. b) oder f) DSGVO. Im ersteren Fall verarbeiten wir die personenbezogenen Daten innerhalb bestehender Kundenverhältnisse auf Wunsch des jeweiligen Mandanten. Im Übrigen besteht dem Betroffenen gegenüber ein überwiegendes Interesse an der Verarbeitung.
Mit der Facebook Ireland Ltd. haben wir eine Vereinbarung zur gemeinsamen Verantwortlichkeit gem. Art. 26 DSGVO geschlossen. Die „Seiten-Insights-Ergänzung“ von Facebook finden Sie hier:
https://www.facebook.com/legal/terms/page_controller_addendum
Die Facebook Inc. trägt bei der Auswertung der erhobenen Daten die alleinige Verantwortung für den Datenschutz trägt und sich sowohl um die Betroffenenrechte als auch die Datensicherheit laut DSGVO kümmert.
3. Verantwortlichen benennen
Die „Seiten-Insights-Ergänzung“ schreibt den Seitenbetreibern vor, den für die Datenverarbeitung Verantwortlichen zu benennen. Dies haben Sie in der verlinkten Datenschutzerklärung im Zweifel bereits getan.
4. Anfragen an Facebook weiterleiten
Anfragen von Datenschutzbehörden oder betroffenen Seitenbesuchern haben Sie binnen sieben Tagen über ein Formular an Facebook Ireland weiterzuleiten.