Im Juni hatte der Gerichtshof der Europäischen Union (EuGH) in einem vielbeachteten Urteil über die Nutzung von Facebook-Seiten entschieden. Danach ist der Betreiber einer Facebook-Fanpage gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich. In unserem damaligen Beitrag hatten wir uns zu den Konsequenzen der Entscheidung geäußert. Jetzt hat Facebook reagiert.

Zur Vorgeschichte

Unmittelbar nachdem der EuGH festgestellt hatte, dass ein Betreiber einer Facebook-Fanpage gemeinsam mit Facebook Ireland für die fragliche Datenverarbeitung verantwortlich anzusehen ist, legte die Datenschutzkonferenz (DSK) im Rahmen einer Sondersitzung ihre Position fest. In der Entschließung mit dem kämpferischen Titel “Die Zeit der Verantwortungslosigkeit ist vorbei: EuGH bestätigt gemeinsame Verantwortung von Facebook und Fanpage-Betreibern” forderte die DSK unter anderem für die Bereiche der gemeinsamen Verantwortung von Facebook und Fanpage-Betreibern in einer Vereinbarung festzulegen, wer von ihnen welche Verpflichtung der DSGVO erfüllt. Danach passierte erst einmal nichts.

Erst kürzlich hat die DSK mit einem weiteren Beschluss ihre Forderungen an Facebook und Fanpage-Betreiber konkretisiert. Sie hat darin unter anderem festgestellt, dass ohne Vereinbarung nach Art. 26 DSGVO (Gemeinsame Verantwortung) der Betrieb einer Fanpage, wie sie derzeit von Facebook angeboten wird, rechtswidrig ist. Im Rahmen diese Beschlusses stellte fordert die DSK , dass die im Anhang zum Beschluss aufgeführten Fragen sowohl von Facebook als auch von Betreibern von Fanpages beantwortet werden müssen:

  1. In welcher Art und Weise wird zwischen Ihnen und anderen gemeinsam Verantwortlichen festgelegt, wer von Ihnen welche Verpflichtung gemäß der DSGVO erfüllt? (Art. 26 Abs. 1 DSGVO)
  2. Auf Grundlage welcher Vereinbarung haben Sie untereinander festgelegt, wer welchen Informationspflichten nach Art. 13 und 14 DSGVO nachkommt?
  3. Auf welche Weise werden die wesentlichen Aspekte dieser Vereinbarung den betroffenen Personen zur Verfügung gestellt?
  4. Wie stellen Sie sicher, dass die Betroffenenrechte (Art. 12 ff. DSGVO) erfüllt werden können, insbesondere die Rechte auf Löschung nach Art. 17 DSGVO, auf Einschränkung der Verarbeitung nach Art. 18 DSGVO, auf Widerspruch nach Art. 21 DSGVO und auf Auskunft nach Art. 15 DSGVO?
  5. Zu welchen Zwecken und auf welcher Rechtsgrundlage verarbeiten Sie die personenbezogenen Daten der Besucherinnen und Besucher von Fanpages? Welche personenbezogenen Daten werden gespeichert? Inwieweit werden aufgrund der Besuche von Facebook-Fanpages Profile erstellt oder angereichert? Werden auch personenbezogene Daten von Nicht-Facebook-Mitgliedern zur Erstellung von Profilen verwendet? Welche Löschfristen sind vorgesehen?
  6. Zu welchen Zwecken und auf welcher Rechtsgrundlage werden beim Erstaufruf einer Fanpage auch bei Nicht-Mitgliedern Einträge im sogenannten Local Storage erzeugt?
  7. Zu welchen Zwecken und auf welcher Rechtsgrundlage werden nach Aufruf einer Unterseite innerhalb des Fanpage-Angebots ein Session-Cookie und drei Cookies mit Lebenszeiten zwischen vier Monaten und zwei Jahren gespeichert?
  8. Welche Maßnahmen haben Sie ergriffen, um Ihren Verpflichtungen aus Art. 26 DSGVO als gemeinsam für die Verarbeitung Verantwortlicher gerecht zu werden und eine entsprechende Vereinbarung abzuschließen?
Die Reaktion von Facebook

Facebook hat nunmehr ein entsprechendes Dokument mit dem Titel „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ („Page Controller Addendum„) für Betreiber von Fanpages zur Verfügung gestellt. Das Addendum gilt für den Fall, dass ein Seitenbetreiber die Funktion „Seiten-Insights“ nutzt. Hierbei handelt es sich um die Möglichkeit, statistische Auswertungen der Nutzung der Fanpage anzuzeigen. Facebook hat dazu angekündigt ihre Seiten, Gruppen und Veranstaltungsrichtlinien zu aktualisieren, um das Page Controller Addendum darin aufzunehmen. Facebook wird in der nächsten Woche die Seitenbetreiber informieren.

Das Addendum soll die rechtlichen Verantwortlichkeiten nach der DSGVO sowohl von Facebook als auch des Betreibers der Fanpage festlegen. Facebook übernimmt danach die Hauptverantwortung für die Einhaltung der Verpflichtungen aus der DSGVO in Bezug auf die Verarbeitung von Daten für Page Insights.

Des Weiteren erläutert Facebook den Betreibern von Fanpages, was sie dazu noch unternehmen müssen, um den Anforderungen der DSGVO gerecht zu werden:

  1. Um die Transparenz hinsichtlich der Daten, die von Facebook zur Erstellung von Page Insights verwendet werden, zu erhöhen, wird Facebook einen Abschnitt mit dem Titel „Information About Page Insights Data“ hinzufügen, der von der Fanpage aus zugänglich ist. In diesem Abschnitt wird erläutert, welche Daten zur Erstellung von Page Insights verwendet werden und auch über den Page Insights Addendum informiert.
  2. Seitenbetreiber sollen über die von Facebook zur Verfügung gestellte Seiteninformation den Verantwortlichen sowie gegebenenfalls den Datenschutzbeauftragten angeben.
  3. Um die Einhaltung von Betroffenenrechten zu ermöglichen, gibt es nun eine neue Verpflichtung für Seitenbetreiber, alle Anfragen, die sie erhalten, an Facebook weiterzuleiten. Um diesen Prozess so einfach wie möglich zu gestalten, hat Facebook ein spezielles Formular entwickelt, auf das Seitenadministratoren direkt aus dem Page Insights Controller Addendum zugreifen können.
Rechtliche Bewertung

Jetzt werden sich die Betreiber von Fanpages die Frage stellen, ob sie mit dieser Ergänzung ihre Facebook-Fanpage wieder legal betreiben können und die Vorgaben der DSGVO zu 100 % umsetzen? Um es kurz zu machen: Jein!

Die DSGVO verlangt von gemeinsamen Verantwortlichen, dass sie in einer Vereinbarung in transparenter Form festlegen, wer von ihnen welche Verpflichtung gemäß der DSGVO erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Art. 13 und 14 DSGVO nachkommt. Die Vereinbarung muss die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln. Das wesentliche der Vereinbarung wird der betroffenen Person zur Verfügung gestellt.

Die Seiten-Insights-Ergänzung legt die jeweiligen Verantwortlichkeiten von Facebook und dem Seitenbetreiber im Hinblick auf die Verarbeitung von Insights-Daten fest. Facebook erklärt sich darin bereit die primäre Verantwortung gemäß DSGVO für die Verarbeitung von Insights-Daten zu übernehmen und sämtliche Pflichten aus der DSGVO im Hinblick auf die Verarbeitung von Insights-Daten zu erfüllen (u. a. Art. 12 und 13 DSGVO, Art. 15 bis 22 DSGVO und Art. 32 bis 34 DSGVO). Darüber hinaus wird Facebook das Wesentliche dieser Seiten-Insights-Ergänzung den betroffenen Personen zur Verfügung stellen. Damit hat Facebook die grundlegende Anforderung der DSGVO an eine derartige Vereinbarung aus unserer Sicht erfüllt.

Im weiteren Text der Vereinbarung weist Facebook dann auf die folgenden Pflichten des Seitenbetreibers hin:

  1. Betreiber einer Fanpage müssen selbst sicherstellen, dass eine Rechtsgrundlage für die Verarbeitung der Insights-Daten vorliegt. Wer hier der strengen Auffassung der Datenschutzbehörden folgt, bräuchte eine Einwilligung der jeweiligen Nutzer, die praktisch nicht einzuholen ist. Unseres Erachtens kommt aber auch eine Verarbeitung auf Grundlage eines berechtigten Interesses gemäß Art. 6 Abs. 1 f) DSGVO in Betracht. Sowohl die Erhebung über die Fanpage als auch die statistische Auswertung der Daten dürften von einem berechtigten wirtschaftlichen Interesse an einer Kommunikation mit und Information von Kunden und Interessenten gedeckt sein.
  2. Facebook verpflichtet den Betreiber zur Meldung von Anfragen von Nutzern oder Datenschutzaufsichtsbehörden. Wenn eine betroffene Person oder eine Aufsichtsbehörde hinsichtlich der Verarbeitung von Insights-Daten und der von Facebook  im Rahmen dieser Seiten-Insights-Ergänzung übernommenen Pflichten Kontakt mit dem Seitenbetreiber aufnimmt, sind unverzüglich jedoch spätestens innerhalb von 7 Kalendertagen sämtliche relevanten Informationen weiterzuleiten. Zu diesem Zweck stellt Facebook ein Kontaktformular bereit.
  3. Die Seiten-Insights-Ergänzung unterliegt irischem Recht. Der Seitenbetreiber erklärt sich im Falle von Streitigkeiten mit dem Gerichtsstand in Irland einverstanden. Für die Datenverarbeitung der Insights-Daten wird die Zuständigkeit der Datenschutzbehörde in Irland vereinbart.
  4. Schließlich weist Facebook noch darauf hin, dass diese Vereinbarung aktualisiert werden kann. Über entsprechende Änderung an der Vereinbarung wird Facebook sowohl die Seitenbetreiber als auch die Nutzer informieren müssen.

Unserer Einschätzung nach sind damit zumindest die Vorgaben im Hinblick auf die notwendige Regelung zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO erfüllt. Dieses war auch die zentrale Forderung des neuerlichen Beschlusses der DSK.

Streit herrscht aktuell über die Frage, ob die Verarbeitung von Daten der Besucher einer Facebook-Seite überhaupt zulässig ist. Hier gibt es unter anderem im Hinblick auf die notwendige Rechtsgrundlage strenge Vorgaben der Aufsichtsbehörden, die auch Gegenstand von gerichtlichen Verfahren sind. Den Ausgang dieser Verfahren wird man aktuell nur abwarten können.

Fazit und Handlungsempfehlung

Wir gehen davon aus, dass zwar auch weiterhin keine 100 %ige Sicherheit beim Betreiben einer Facebook-Fanpage besteht. Dadurch, dass aber durch die Vereinbarung jetzt zentrale Forderungen der Aufsichtsbehörden umgesetzt wurden, dürfte datenschutzrechtlich das Risiko für Seitenbetreiber deutlich gesunken sein.

Ob darüber hinaus die Daten durch Facebook selbst zulässigerweise verarbeitet werden, ist – wie dargestellt – eine andere Frage. Hier können Seitenbetreiber nur neuere Entwicklungen und mögliche Gerichtsentscheidungen abwarten.

Im Hinblick auf die eigene Verantwortlichkeit empfehlen wir weiterhin, dass Seitenbetreiber eine entsprechende Rechtsgrundlage festlegen und diese auch im Rahmen ihrer Datenschutzerklärung transparent kommunizieren. Hierzu sollte in die Fanpage ein Verweis auf die eigene Datenschutzerklärung integrieren werden, ggf. durch eine Verlinkung auf die Datenschutzerklärung der eigenen Website, die um einen Hinweis auf den Betrieb von Social Media Präsenzen ergänzt wurde.

Christian Krösch

Rechtsanwalt, Betriebswirt (IWW)
Fachanwalt für Insolvenzrecht
Datenschutzauditor (TÜV)
Datenschutzbeauftragter (TÜV)

Zum Profil
Christian Krösch