Neues von der Datenschutzkonferenz zu Facebook-Unternehmensseiten!

von Patricia Lotz

Einleitung

Am 01.04.2019 nahm die bundesweite Datenschutzkonferenz zu der von Facebook veröffentlichen „Fanpage Insights“ Information Stellung. Darin erklärte Facebook, das Unternehmen habe die alleinige Entscheidungsermächtigung über die Verarbeitung von Daten. Laut den Datenschutzbehörden der Konferenz sei die Nichteinbeziehung der Fanpage-Betreiber als Mitverantwortliche bei der Datenverarbeitung jedoch nicht mit der DSGVO vereinbar und somit rechtswidrig. Wie dies zu bewerten ist, wird im folgenden Artikel erläutert.

Diese Lösung wählte Facebook, um den Vorgaben des EuGH gerecht zu werden, der die Datenschutzkonformität der Unternehmensseiten (früher: Fanpage) wegen des Einsatzes von "Fanpage Insights", einem Tracking-Tool, verneinte. Das Problem ist, dass die Betreiber der Seiten nach Ansicht der Behörden und des EuGH eine Mitverantwortlichkeit für die Datenverarbeitung tragen, aber selbst keinen Einfluss auf das Ein- und Abstellen dieses Tools haben. 

Facebook Ergänzungserklärung bezüglich des Verantwortlichen und ihre Rechtswidrigkeit

Aus Sicht der Datenschutzkonferenz erfülle Facebook mit der Festlegung, es habe die alleinige Entscheidungsmacht über die Verarbeitung personenbezogener Daten auf einer Fanpage, nicht das Kriterium einer gemeinsamen Verantwortlichkeit nach Artikel 26 DSGVO. Diese sehe vor, dass Personen, Behörden, Einrichtungen oder andere Stellen, wie beispielsweise Fanpage-Betreiber, die den Zweck der und die Mittel zur Datenverarbeitung festlegen, gemeinsam Verantwortliche sind (Legaldefinition für „Verantwortliche“ steht in Artikel 4 Nr. 7 i.V.m. Art. 26 DSGVO). Daraus resultiere für sie zum einen die Pflicht bestimmte Datenschutzkriterien nach Artikel 5 Abs. 1 DSGVO zu erfüllen. Zum anderen brauche man als gemeinsam Verantwortlicher eine Rechtsgrundlage für die Verarbeitung persönlicher Daten. Seien es besondere Kategorien, die ihre Rechtsgrundlage in Artikel 9 Abs. 2 DSGVO finden, oder solche, denen Artikel 6 Abs. 1 DSGVO als Rechtsgrundlage diene.  Facebook müsse daher transparent darlegen, welche Verpflichtungen die Verantwortlichen gemäß der Verordnung haben und welche Informationspflichten für den einzelnen gegenüber dem Betroffenen bestehen. Dies gilt laut DSGVO nur, soweit dem jeweiligen Verantwortlichen keine spezifischen gesetzlichen Verpflichtungen treffen. Da keine nationalen oder EU-weiten Regelungen bezüglich der Verantwortlichen einer Facebook Fanpage vorliegen, ist dies anzunehmen. Nach Ansicht der Datenschutzkonferenz, könne sich der Betreiber einer Fanpage ohne die entsprechende Transparenz seitens des Plattformbetreibers kein Bild darüber machen, ob sein Beitrag bei der Datenverarbeitung rechtskonform sei oder nicht. Bestünden Zweifel bei der Rechtmäßigkeit, würde jeder haften, der die Macht darüber habe, eine entsprechende Datenverarbeitung zu unterlassen. Diese Behauptung stützen die Datenschutzbehörden auf eine Entscheidung des EuGHs, wonach Fanpage-Betreiber selbst bei der Nutzung von Facebook als Plattformanbieter, die DSGVO während der Datenverarbeitung zu befolgen haben, EuGH C-210/16. Daraus schließt die Konferenz, dass auch die Erklärung von Facebook, die Hauptniederlassung in Irland begründe eine ausschließliche Zuständigkeit irischer Datenschutzbehörden nicht datenschutzkonform sei. Vielmehr richte sich die Zuständigkeit der jeweiligen nationalen Aufsichtsbehörde gemäß Art. 55 ff. DSGVO nach der entsprechenden Niederlassung eines Fanpage-Betreibers. Dies gälte unabhängig von den durch die DSGVO vorgesehenen Kooperations- und Kohärenzmechanismen.

Resümee

Der Konflikt ist offensichtlich. Facebook bietet ein Werbetool, auf welches viele Unternehmen aus Marketing-Sicht angewiesen sind, beschränkt aber die Möglichkeiten, das Trackingsystem selbst zu steuern. Da das deutsche Datenschutzrecht, bereits vor der DSGVO, jedoch die Verantwortlichkeit für den Datenschutz an dieser Stelle nicht allein beim Plattformbetreiber, also Facebook, sondern auch bei seinen Usern sieht, verlangt es im Grunde das Unmögliche. Die Betreiber der Fanpage sollen Verantwortung und Aufklärungspflichten übernehmen über Funktionen, die sie nicht kennen können. Damit lebt das Datenschutzrecht an der Realität vieler Gewerbetreibender schlechthin vorbei.

Es bleibt abzuwarten, ob Facebook tatsächlich nachgibt und seine Erklärung im Sinne der Datenschutzkonferenz modifiziert. Bis dahin ist die Rechtslage weiterhin schwierig, und keine Einigung zwischen Facebook und den an der Konferenz teilnehmenden Datenschutzbehörden in Sicht. Die Betreiber von Unternehmensseiten/Fanpages müssen also trotz aller Bemühungen weiter mit dem Risiko leben, von einer Datenschutzbehörde belangt zu werden. Eine Abmahnwelle wäre theoretisch möglich, ist aber derzeit nicht in Sicht.

Vor allem sollte wegen der Stellungnahme der Datenschutzkonferenz nicht Panik ausbrechen und dazu führen, wie nach dem Urteil des  EuGH, dass Unternehmensseiten/Fanpages abgeschaltet werden. Die Datenschutzkonferenz kann nicht rechtsverbindlich darüber entscheiden, ob nun die von Facebook vorgenommenen Änderungen rechtskonform sind oder nicht. Dies bleibt den Gerichten vorbehalten. 

Zurück