Now loading.
Please wait.

menu

 DEUTSCH | ENGLISH | 中文 

Sie sind hier: Aktuelles / News  / detail
AktuellesNews   detail

News

Update zur gemeinsamen Verantwortung von Facebook und Fanpage-Betreibern nach der EuGH-Entscheidung vom 5. Juni 2018

Mandanteninformation IT-Recht Datenschutz & Cyber Security - 


Mit unserer Mandanteninformation vom Juni 2018 haben wir über die Entscheidung des EuGH vom 5. Juni 2018 zu Facebook Fanpages und den daraus resultierenden Folgen für den Betrieb solcher Fanpages in der Praxis berichtet. Der EuGH hat in diesem Urteil die gemeinsame datenschutzrechtliche Verantwortung von Facebook und Fanpage-Betreibern für personenbezogene Daten der Fanpage-Besucher bestätigt und betont, dass der Fanpage-Betreiber jedenfalls durch die von ihm vorgenommene Parametrierung (u.a. entsprechend des gewünschten Zielpublikums sowie den Zielen der Steuerung und Förderung seiner Tätigkeiten) an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher der Fanpage (aktiv) beteiligt sei.

Das Urteil hinterließ viele offene Fragen und rief bei den Fanpage-Betreibern eine erhebliche Unsicherheit hervor, zumal die Reichweite und Konsequenzen des Urteils nicht absehbar waren. Völlig unklar blieb insbesondere, anhand welcher Kriterien das Vorliegen einer gemeinsamen Verantwortlichkeit künftig zu bestimmen ist und wie eine gemeinsame Verantwortung im Einzelnen ausgestaltet sein soll.

Nachdem Facebook zunächst keinerlei Reaktion auf das Urteil zeigte, wurde es einige Wochen ruhig um die Facebook-Fanpage-Problematik. Ende September 2018 hat Facebook ein Dokument mit dem Titel „Seiten-Insights-Ergänzungen bezüglich des Verantwortlichen“ (nachfolgend „Vereinbarung“) zur Verfügung gestellt. Ob und inwieweit es sich hierbei um die von der DSGVO geforderte Vereinbarungen über die „gemeinsame Verantwortlichkeit“ i.S.v. Art 26 DSGVO handelt, geht zwar nicht unmittelbar aus der Überschrift des Dokuments hervor, hierfür spricht aber der Inhalt der Vereinbarung, der die jeweiligen Verantwortlichkeiten von Facebook und dem Fanpage-Betreiber im Hinblick auf die Verarbeitung von Insights-Daten festlegt. Zwar soll Facebook die Hauptverantwortung für die Datenverarbeitung der Insights-Daten tragen. Zugleich sieht die Vereinbarung aber auch einige Pflichten für die Fanpage-Betreiber vor. Dies gibt Anlass, die einzelnen Regelungen der Vereinbarung einer genauen Betrachtung zu unterziehen (dazu I.) und zu prüfen, ob die Insights-Ergänzung tatsächlich die gewünschte Rechtssicherheit bringt (dazu II.). Zuletzt werden erste Reaktionen der Datenschutzbehörden auf die Vereinbarung dargestellt (dazu III.).

I. Zu den Bestimmungen im Einzelnen

1. Grundsatz: Gemeinsame Verantwortlichkeit
Die Vereinbarung legt fest, dass Facebook und die Fanpage-Betreiber grundsätzlich gemeinsam für die Verarbeitung der Insights-Daten verantwortlich sind. Allerdings übernimmt Facebook die primäre datenschutzrechtliche Verantwortung für die Verarbeitung von Insights-Daten und wird sämtliche Pflichten aus der DSGVO im Hinblick auf die Verarbeitung von Insights-Daten erfüllen. Dies gilt insbesondere für die in Art. 12 ff. DSGVO geregelten Betroffenenrechte sowie die in den Artikeln 32 bis 34 DSGVO normierte Datensicherheit und Meldung von Datenschutzverletzungen. Zudem garantiert Facebook „das Wesentliche dieser Seiten-Insights-Ergänzung den betroffenen Personen zur Verfügung [zu] stellen“.

2. Zuständigkeit der irischen Datenschutzkommission
Zudem sehen die Regelungen vor, dass allein Facebook Irland Verantwortliche für die Datenverarbeitung ist. Dies hat gemäß Art. 56 DSGVO zur Folge, dass die irische Datenschutzkommission die „federführende Aufsichtsbehörde“ in allen diesbezüglichen Angelegenheiten ist. Gleiches gilt für den Gerichtsstand, der zudem auch im Falle von Streitigkeiten zwischen dem Fanpage-Betreiber und Facebook ausschließlich in Irland belegen sein soll.

3. Pflichten des Fanpage-Betreibers
Darüber hinaus sehen die Regelungen weitreichende Pflichten für die Betreiber von Fanpages vor:

a) Kooperationspflichten
So muss der Fanpage-Betreiber Anfragen von nationalen Datenschutzbehörden und Betroffenen innerhalb von sieben Tagen über ein Formular an Facebook Irland weiterleiten und verpflichtet sich dazu, unter „angemessenen Anstrengungen“ mit Facebook zwecks Beantwortung der Anfrage zusammenzuarbeiten.

b) Informationspflichten
Darüber hinaus treffen den Fanpage-Betreiber auch Informationspflichten gegenüber den Betroffenen. So muss der Fanpage-Betreiber den für die Datenverarbeitung Verantwortlichen benennen und dafür Sorge tragen, dass die Verarbeitung der Insights-Daten auf einer Rechtsgrundlage der DSGVO beruht. Die Vereinbarung selbst benennt keine Rechtsgrundlage, sondern schweigt sich dazu aus, auf welchen Erlaubnistatbestand die Erhebung und Verarbeitung der personenbezogenen Daten der Fanpage-Nutzer zum Zweck statistischer Auswertung gestützt werden kann. Dies hat zur Folge, dass das Risiko der Rechtmäßigkeit der Datenverarbeitung weiter beim Fanpage-Betreiber verbleibt.
Zudem muss der Betreiber einer Fanpage „jedwede sonstigen geltenden rechtlichen Pflichten“ erfüllen. Hierzu zählt, die Betroffenen über die Verarbeitung der Daten zu informieren und ihnen auf der Fanpage die eigene Datenschutzerklärung mit aufklärenden Hinweisen zur Vereinbarung nach Art. 26 DSGVO und der Verwendung von Seiten-Insights zur Verfügung zu stellen. Bereits bestehende Datenschutzerklärungen müssen daher nun dahingehend angepasst werden, dass ein Textbaustein zur gemeinsamen Verantwortlichkeit aufgenommen wird.

c) Prüfungspflichten
Schließlich legt die Vereinbarung den Fanpage-Betreibern Prüfungspflichten hinsichtlich der Aktualität der Vereinbarung auf.

II. Ausblick – Bringt die Insights-Ergänzung die erhoffte Rechtssicherheit?
Die Insights-Ergänzung bezüglich des Verantwortlichen von Facebook ist sicherlich ein Schritt in die richtige Richtung. Erfreulich ist insbesondere, dass sich Facebook nun offiziell zur primären datenschutzrechtlichen Verantwortung für die Verarbeitung von Insights-Daten bekennt und sich zur Übernahme sämtlicher Pflichten aus der DSGVO im Hinblick auf die Verarbeitung dieser Daten bereit erklärt.
Gleichwohl sind durch die Vereinbarung mitnichten sämtliche Unsicherheiten und Risiken beim Betrieb von Fanpages beseitigt. Denn nicht abschließend geklärt ist weiterhin, ob die Datenerhebung über Fanpages an sich gegen die einschlägigen Datenschutzgesetze verstößt bzw. auf welcher Rechtsgrundlage die Datenverarbeitung beim Betrieb von Fanpages erfolgt. Hierzu schweigt sich die Insights-Vereinbarung aus. Für den Betreiber einer Fanpage ist dies insbesondere deshalb misslich, weil er gemäß der Vereinbarung dafür Sorge tragen muss, dass die Verarbeitung der Insights-Daten auf einer Rechtsgrundlage der DSGVO beruht und damit das Risiko der DSGVO-Konformität trägt. Ob als Rechtsgrundlage tatsächlich, wie teilweise vertreten, eine Erlaubnis nach Art. 6 Abs.1 Satz 1 lit. f) DSGVO in Betracht kommt, der die Verarbeitung personenbezogener Daten legitimiert, wenn der Verarbeitende gegenüber dem Betroffenen ein überwiegendes Interesse an der Verarbeitung hat, ist indes fraglich. Erwägungsgrund 47 der DSGVO sieht zwar vor, dass die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung als eine einem berechtigten Interesse dienende Verarbeitung angesehen werden kann. Ob die Datenschutzbehörden diese Erwägung auch auf die Verarbeitung von Insights-Daten über Fanpages übertragen, lässt sich jedoch nicht mit Sicherheit prognostizieren. Und selbst wenn man das berechtigte Interesse nach Art. 6 Abs. 1 Satz 1 lit. f) DSGVO als Rechtsgrundlage heranziehen würde, so würde damit wiederum das Opt-Out-Prinzip gelten. Dem Nutzer müsste also die Möglichkeit gegeben werden, der Datenverarbeitung durch Facebook zu widersprechen. Jedoch können weder der Betreiber einer Fanpage noch deren Nutzer die Datenverarbeitung durch Facebook Insights verhindern, eine solche Funktion sieht Facebook nicht vor. Ungeklärt ist des Weiteren, welche Rechtsgrundlage für die Datenverarbeitung herangezogen werden soll, wenn der Seitenbetreiber eigentlich gar kein Interesse an der statistischen Auswertung hat, weil er beispielweise lediglich seinen Fans eine Möglichkeit geben will, sich über seine Angebote zu informieren und mit ihm in Kontakt zu treten. Letztlich käme allein eine Einwilligung des betroffenen Nutzers gemäß Art. 6 Abs. 1 Satz 1 lit. a) DSGVO in Betracht. Auch diese Möglichkeit ist von Facebook technisch jedoch nicht vorgesehen. Eine abschließende Bewertung dieser wichtigen Frage wird wohl erst möglich sein, wenn es hierzu erste gerichtliche Entscheidungen gibt. Insbesondere die Entscheidung des BVerwG in der Ausgangssache steht nach wie vor aus.

III. Erste Reaktionen der Datenschutzbehörden
Einzelne Datenschutzbehörden haben zwischenzeitlich mit umfassenden Prüfungen des Betriebs von Facebook-Fanpages begonnen. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit etwa hat in einer Pressemitteilung vom 16. November 2018 (abrufbar unter www.datenschutz-berlin.de/infothek-und-service/pressemitteilungen/) auf solche Prüfungen hingewiesen und in diesem Zusammenhang Zweifel daran geäußert, dass die von Facebook zur Verfügung gestellten Informationen – auch unter Berücksichtigung der Insights-Ergänzung – ausreichend sind, um Rechenschaft über die Rechtmäßigkeit der Verarbeitung der Daten von Besuchern der Fanpage ablegen zu können. Informationen über Ergebnisse und Folgen einzelner datenschutzrechtlicher Prüfungen liegen derzeit allerdings noch nicht vor. Es bleibt deshalb weiter abzuwarten, wie die Reaktionen der Datenschutzbehörden auf die neue Vereinbarung letztlich ausfallen werden.

Diese Mandanteninformation beinhaltet lediglich eine unverbindliche Übersicht über das in ihr adressierte Themengebiet. Sie ersetzt keine rechtliche Beratung. Als Ansprechpartner zu dieser Mandanteninformation und zu Ihrer Beratung stehen gerne zur Verfügung:

Dr. Thomas Nägele
Dr. Steffen Henn
Dr. Anke Hofmann
Dr. Simon Apel
Alexander Stolz

 

DATEIEN:
2019_01_SZA_Mandanteninformation__Update_zur_gemeinsamen_Verantwortung_von_FB_und_FP_Betreibern.pdf 176 KB