Anhörung zu Facebook Fanpages

Der Fall „Facebook Fanpages“ geht in die nächste Runde.

1. Runde:
Mit Urteil vom 5. Juni 2018 hat der Gerichtshof der Europäischen Union (EuGH), Aktenzeichen  C-201/16, entschieden, dass eine gemeinsame Verantwortlichkeit von  Facebook-Fanpage-Betreiberinnen und Betreibern und Facebook besteht. Die Konferenz  der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat in ihrer Entschließung vom 6. Juni 2018 deutlich gemacht, welche Konsequenzen  sich aus dem Urteil für die gemeinsam Verantwortlichen – insbesondere für  die Betreiberinnen und Betreiber einer Facebook-Fanpage – ergeben.  Bei einer gemeinsamen Verantwortlichkeit fordert die Datenschutz-Grundverordnung  (DS-GVO) unter anderem eine Vereinbarung zwischen den Beteiligten. Diese soll klarstellen,  wie die Pflichten aus der DS-GVO erfüllt werden.

2. Runde:
Diese von Facebook veröffentliche „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ erfüllt nach Ansicht der DSK nicht die Anforderungen an eine Vereinbarung nach Art. 26 DS-GVO. Insbesondere stehe es im Widerspruch zur gemeinsamen Verantwortlichkeit gemäß Art. 26 DS-GVO, dass sich Facebook die alleinige Entscheidungsmacht „hinsichtlich der Verarbeitung von Insights-Daten“ einräumen lassen wolle. Die von Facebook veröffentlichten Informationen stellen zudem die Verarbeitungstätigkeiten, die im Zusammenhang mit Fanpages und insbesondere Seiten-Insights durchgeführt werden und der gemeinsamen Verantwortlichkeit unterfallen, nicht hinreichend transparent und konkret dar, so die Aufsichtsbehörden. Sie seien nicht ausreichend, um den Fanpage-Betreibern die Prüfung der Rechtmäßigkeit der Verarbeitung der personenbezogenen Daten der Besucherinnen und Besucher ihrer
Fanpage zu ermöglichen.

3. Runde:
Die Verantwortlichen sind angesichts der Geschehnisse verunsichert. Die Gesellschaft für Datenschutz und Datensicherheit berichtet bspw., dass an sie Mehrfach die Frage herangetragen worden sei, ob unternehmenseigene Facebook-Fanpages noch weiterbetrieben werden können oder diese sofort abzuschalten sind.

4. Runde:
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit richtet sich mit einem Rundschreiben an alle Ministerien, Behörden und öffentlichen Stellen.

Seine Message an die Adressaten:
1. Eine nachdrücklich Empfehlung, diese Seiten bis Ende 2021 abzuschalten, verknüpft mit dem eindrücklichen Hinweis, dass

2. ab Januar 2022 beabsichtigt sei – im Interesse der betroffenen Bürgerinnen und Bürger – schrittweise von den, dem BfDI nach Art. 58 DSGVO zur Verfügung stehenden Abhilfemaßnahmen Gebrauch zu machen.

5. Runde:
Unter den Aufsichtsbehörden mehren sich die Zweifel an der Datenschutz-Konformität der Facebook Fanpages. Die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder teilt mit, dass sie das Urteil des EuGH zur gemeinsamen Verantwortlichkeit der Betreiber im Hinblick auf die betriebenen Facebook-Fanpages zum Anlass genommen haben, um sich im Rahmen einer dazu eingerichteten Taskforce mit den Fragen rund um die Rechtskonformität des Betriebs einer Fanpage zu beschäftigen.

Eben diese Taskforce hat ein Kurzgutachten zur datenschutzrechtlichen Konformität des Betriebs von Facebook‐Fanpages unter Berücksichtigung des seit dem 1. Dezember 2021 geltenden Telekommunikation‐ Telemedien‐Datenschutzgesetzes (TTDSG), des Urteils des OVG Schleswig vom 25. November 2021 (Az. 4 LB 20/13) und der aktuellen technischen Umsetzungen erstellt und nunmehr veröffentlicht.

6. Runde:
Die von den Aufsichtsbehörden als datenschutzfreundlichere Alternativen betrachteten Social Media Plattformen wie Mastodon oder PeerTube scheinen für Ministerien und andere öffentliche Stellen so wenig attraktiv zu sein, dass sie die behördlichen „Empfehlungen“ ignorieren oder diesen ganz offensiv entgegentreten.

7. Runde:
Der BfDI will es nun offenbar wissen und versendet ein Anhörungsschreiben an das Bundespresseamt (BPA) zur Nutzung einer Facebook Fanpage. Gespräche mit dem BPA und Facebook führten jedoch zu keiner Lösung der datenschutzrechtlichen Probleme, so der BfDI. Das BPA betreibe die Fanpage „Bundesregierung“ beim sozialen Netzwerk facebook des US-Unternehmens Meta. Der BfDI hält den datenschutzkonformen Betrieb von Fanpages aktuell für nicht möglich.
Der Ausgang des Verfahrens bleibt abzuwarten.

(Foto: masson – stock.adobe.com)

Letztes Update:06.06.22

  • Aktuelle Prüfpraxis der Datenschutzaufsichtsbehörden

    Aktuelle Prüfpraxis der Datenschutzaufsichtsbehörden

    Seminar

    812.00 € Mehr erfahren
  • Websites datenschutzkonform gestalten

    Websites datenschutzkonform gestalten

    Seminar

    574.20 € Mehr erfahren
  • Gemeinsame Verantwortlichkeit: Die neue Auftragsverarbeitung?

    Gemeinsame Verantwortlichkeit: Die neue Auftragsverarbeitung?

    Seminar

    794.60 € Mehr erfahren
  • Recht auf Löschen

    Orientierungshilfe „Das Recht auf Löschung nach der DS-GVO“

    Die Datenschutz-Grundverordnung (DS-GVO) als gesetzliche Regelung zur Verarbeitung personenbezogener Daten hat den Datenschutz nachhaltig verändert und geprägt. Sie verpflichtet jedes Unternehmen – unabhängig von seiner Größe – zur Implementierung eines Datenschutzmanagementsystems (DSMS). Jeder Verantwortliche hat deswegen eine Datenschutzorganisation vorzuweisen, die in der Lage ist, die Einhaltung datenschutzrechtlicher Pflichten zu gewährleisten. Eine der maßgeblichen Anforderungen ist

    Mehr erfahren
  • GPS-Tracking

    Zwecke für GPS-Tracking im Beschäftigungsverhältnis

    GPS-Tracking im Beschäftigtenverhältnis kann datenschutzrechtlich zulässig sein, soweit die Interessen des Arbeitgebers und das Persönlichkeitsrecht der Beschäftigten in einen angemessenen Ausgleich gebracht werden und es auf das erforderliche Maß beschränkt ist. In seinem 50. Tätigkeitsbericht geht der Hessische Datenschutzbeauftragte auf mögliche Zwecke eines GPS-Trackings ein und schildert anhand eines von der Behörde geprüften Falles, welches

    Mehr erfahren
  • Mitarbeiterexzess Datenbankabfrage

    Datenschutzverstöße durch „Mitarbeiterexzess“

    Regel: Unternehmen haften für Datenschutzverstöße ihrer BeschäftigtenNach Auffassung der Datenschutzkonferenz (DSK) als Gremium der deutschen Datenschutzaufsichtsbehörden sollen Unternehmen im Rahmen von Art. 83 DS-GVO für Datenschutzverstöße eines jeden Beschäftigten haften, wenn der Mitarbeiter nicht im Exzess (für eigene Zwecke) gehandelt hat. Dabei sei nicht erforderlich, dass für die Handlung ein gesetzlicher Vertreter oder eine Leitungsperson verantwortlich ist.

    Mehr erfahren