Zahlreiche Unternehmen nutzen Facebook, um Kunden zu erreichen. Hierfür betreiben sie sogenannte Facebook Fanpages. Aus datenschutzrechtlicher Sicht ist deren Betrieb jedoch riskant, wie kürzlich von der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) bestätigt wurde. Wir erläutern warum.
Probleme im Überblick
Facebook Fanpages stehen seit geraumer Zeit im Kreuzfeuer einiger Datenschützer. Streitpunkt ist vorrangig die Frage nach der Verantwortlichkeit für Erhebung und Verarbeitung personengezogener Daten.
Lange Zeit sahen die meisten Unternehmen die Verantwortlichkeit ausschließlich bei Facebook, weil der Konzern die Plattform entwickelt und auf technischer Ebene betreut. Datenschützer argumentierten wiederum, dass Unternehmen als Betreiber der Fanpages anhand der von ihnen getroffenen Einstellungen festlegen, welche Daten Facebook erfassen und verarbeiten kann.
Schlussendlich musste sich eine höchstrichterliche Instanz mit dieser Thematik befassen. Im vergangenen Jahr entschied der Europäische Gerichtshof (EuGH), dass Facebook und die Fanpage Betreiber gemeinsam verantwortlich sind.
Im Herbst letzten Jahres reagierte Facebook auf die Entscheidung des EuGH und veröffentlichte zwei Dokumente, nämlich die „Seiten-Insights Ergänzung bezüglich des Verantwortlichen“ und „Informationen zu SeitenInsights.“ Mit diesen Dokumenten wollte der Techkonzern die Rahmenbedingungen für Unternehmen verbessern und damit einen datenschutzkonformen Betrieb der Facebook Fanpages ermöglichen.
Aktuelle Entwicklung – Stellungnahme der DSK
In der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) standen im April die Facebook Fanpages auf der Agenda, um eine gemeinsame Linie festzulegen. Im Anschluss hat die DSK ihre „Positionierung zur Verantwortlichkeit und Rechenschaftspflicht bei Facebook-Fanpages sowie der aufsichtsbehördlichen Zuständigkeit“ veröffentlicht.
Im Kern wurde klargestellt, dass „Fanpage-Betreiber die Rechtmäßigkeit der gemeinsam zu verantwortenden Datenverarbeitung gewährleisten und die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten aus Art. 5 Abs. 1 DSGVO nachweisen können müssen.“
Der Fanpage-Betreiber und damit „Verantwortliche benötigt für die Verarbeitungstätigkeiten, die seiner Verantwortung unterliegen, eine Rechtsgrundlage nach Art. 6 DSGVO bzw. Art. 9 DSGVO.“
„Ohne hinreichende Kenntnis über die Verarbeitungstätigkeiten, die der eigenen Verantwortung unterliegen, können Verantwortliche nicht bewerten, ob die Verarbeitungstätigkeiten rechtskonform durchgeführt werden.“ Falls Zweifel bestehen, „muss der Verantwortliche die Verarbeitungen unterlassen.“
Gibt es eine Lösung?
Derzeit hoffen die meisten Unternehmen darauf, dass Facebook möglichst bald reagiert und bessere Rahmenbedingungen schafft. Bis dahin erscheint angesichts der zahlreichen Hürden ein datenschutzkonformer Betrieb der Fanpages nicht möglich. Für Unternehmen hat dies eine Risikoabwägung zur Konsequenz. Es ist gilt zu entscheiden, ob der Betrieb einer Fanpage weiterhin erfolgt oder hiervon (ggf. vorläufig) abgesehen wird.