#16 / 2018
5/12

facebook-fanpages ade?

über die aktuellen entwicklungen

Seitdem der EuGH Anfang Juni 2018 ein viel beachtetes Urteil zur datenschutzrechtlichen Mitverantwortlichkeit von Facebook-Fanpage-Betreibern gefällt hat, ist einiges passiert. Manche haben die Facebook-Seite deaktiviert, andere warten ab, was Facebook unternimmt. Wie ist der Stand der Dinge rund um die Fanpages?

Über das „Fanpage-Urteil“

Der Europäische Gerichtshof (EuGH) entschied, dass Facebook-Seiten-Betreiber für die Datenverarbeitung der Seitenbesucher neben Facebook mitverantwortlich sind. Ein Betreiber erhalte von Facebook bestimmte personenbezogene Daten zu Lebensstil und Interessen der Nutzer, „die ihn darüber informieren, wo spezielle Werbeaktionen durchzuführen oder Veranstaltungen zu organisieren sind, und ihm ganz allgemein ermöglichen, sein Informationsangebot so zielgerichtet wie möglich zu gestalten“ (Pressemitteilung des EuGH). Diese Entscheidungsmöglichkeit der Betreiber über die Daten der Nutzer mache sie laut EuGH zu Verantwortlichen im Sinne des Datenschutzrechts. 

Gemeinsam Verantwortliche (i.S.d. Art. 26 DSGVO) müssen die Pflichten, die ihnen die Datenschutz-Grundverordnung auferlegt, erfüllen – insbesondere Informations- und Auskunftspflichten. Das Urteil erfolgte im Rahmen eines sog. Vorabentscheidungsverfahrens auf Anfrage des Bundesverwaltungsgerichts (BVerwG). Das bedeutet, die Entscheidung des EuGH muss erst noch durch das BVerwG umgesetzt werden. Dennoch gaben die deutschen Aufsichtsbehörden bereits wenige Tage später eine auf das Urteil bezogende Stellungnahme ab. 

Stellungnahme der deutschen Datenschutzbehörden

In besagter Stellungnahme wird u. a. von Betreibern gefordert:

  • die Integration einer eigene Datenschutzerklärung für die Facebook-Seite, die über die dortige Datenverarbeitung aufklärt
  • der Abschluss eines Joint Controllership Agreements (= Vereinbarung über eine gemeinsame Verantwortung) im Sinne von Art. 26 DSGVO mit Facebook

Bei einem Joint Controllership Agreement handelt es sich um eine Vereinbarung, die die gemeinsam Verantwortlichen treffen. Darin wird in transparenter Form festgelegt, wer von den beiden Parteien welche in der DSGVO geregelten Verpflichtungen erfüllt, insbesondere die Betroffenenrechte und die Informationspflichten nach Art. 13 und 14 DSGVO.

Bezüglich dieses Joint Controllership Agreements liegt der „Ball“ ganz klar auf Seiten von Facebook. Das soziale Netzwerk ist der einzige Verantwortliche, der tatsächlich Informationen über die Datenverarbeitung bereitstellen kann.

Was macht Facebook?

Facebook hat vor kurzem angekündigt, Änderungen an den Datenschutzrichtlinien des Unternehmens umzusetzen, um „die Einhaltung der rechtlichen Vorgaben für die Seitenbetreiber zu erleichtern“. Durch die Änderungen sollen die Verantwortlichkeiten sowohl von Facebook als auch von den Seitenbetreibern klargestellt werden. Es wird erwartet, dass Facebook dabei das bereits erwähnte Joint Controllership Agreement anbietet, in dem explizit die Verantwortlichkeiten der Seitenbetreiber und des sozialen Netzwerks geregelt sind.

Denkbar wäre auch, dass Facebook als (für alle einfachste) Alternative die Parametrierung der Seiten so gestaltet, dass der Facebook-Seitenbetreiber sie abschalten kann, sodass eine Mitverantwortlichkeit entfällt. Bis zum heutigen Tage ist diesbezüglich allerdings noch nichts passiert.

Was können Seitenbetreiber proaktiv unternehmen?

Unabhängig von der Reaktion von Facebook macht es Sinn, innerhalb der Fanpage zunächst auf die eigene Datenschutzerklärung des Unternehmens zu verlinken. In dieser selbst sollte ein vorläufiger Passus bzgl. der Verwendung von Facebook-Seiten ergänzt werden, um so weit wie möglich auf die kritisierten Punkte des EuGH einzugehen. Es sollte so transparent wie möglich über die eigene Beteiligung an den Datenverarbeitungsvorgängen auf Facebook-Seiten informiert werden. Klar ist aber auch, dass ein solcher Passus ein etwaiges Haftungsrisiko zum gegenwärtigen Risiko allenfalls mindern, aber aufgrund fehlender Informationen und passender Vereinbarung von Facebook nicht beheben kann.

Im Übrigen sollte die weitere Entwicklung abgewartet werden, insbesondere die Reaktion und Schritte von Facebook. Man darf nicht vergessen, dass die Facebook-Fanpages einen immensen Teil des Geschäftsmodells ausmachen, weshalb Facebook dieses Urteil wohl ernst nehmen und Lösungsmöglichkeiten prüfen wird.

Welches Risiko besteht bei Weiterbetrieb der Facebook-Seite?

Grund für das mittlerweile häufige Deaktivieren der Seiten ist die Angst vor Abmahnungen durch Verbände und Wettbewerber sowie Bußgelder durch die Aufsichtsbehörden. Ganz auszuschließen sind Abmahnungen natürlich nicht. Ein gewisses Risiko ist nicht von der Hand zu weisen. Allerdings sind Abmahnwellen und Bußgelder zum jetzigen Zeitpunkt eher unwahrscheinlich. Zum einen, weil noch keine Entscheidung des BVerwG gefallen ist und Aufsichtsbehörden zu dem ohnehin überlastet sind. Von dieser Seite wird wohl kaum eine Reaktion ohne die Interpretation des Gerichts zu erwarten sein.

Fazit

Wie bei gefühlt allen Themen rund um das neue Datenschutzrecht besteht auch hier wieder mehr Ungewissheit als Klarheit. Es heißt mal wieder abwarten. Allerdings ist zu erwarten (zumindest zu hoffen), dass sich der Internet-Gigant „in Kürze“ bewegt und vorzugsweise mit einer Lösung daherkommt, die der ganzen Diskussion den Wind aus den Segeln nimmt. Die Möglichkeiten sind da.


Simone Rosenthal ist Partnerin bei Schürmann Rosenthal Dreyer und hat sich als Expertin für Datenschutz, IT-Recht und Wettbewerbsrecht etabliert. Ihre Schwerpunkte liegen insbesondere in der nationalen und internationalen Vertragsgestaltung, der Beratung von Unternehmen der Neuen Medien und der Digitalwirtschaft in Fragen des IT- und Datenschutzrechts. Die Expertin für Datenschutz und IT-Recht ist ebenfalls Geschäftsführerin der ISiCO Datenschutz GmbH, ein Unternehmen, welches Analyse, Auditierung und Beratung in den Bereichen Datenschutz, Datenschutz-Compliance und IT-Sicherheit anbietet. Simone Rosenthal ist außerdem Co-Founder von lawpilots, einem E-Learninganbieter für IT-Sicherheit und Datenschutz.