DSK fordert weitere Nachbesserung für Facebook-Fanpages
Mit Urteil vom 5. Juni 2018 hat der Gerichtshof der Europäischen Union (EuGH), Aktenzeichen C-201/16, entschieden, dass bei Facebook-Fanpages eine gemeinsame Verantwortlichkeit von Facebook-Fanpage-Betreiberinnen und Betreibern und Facebook besteht. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat in ihrer Entschließung vom 6. Juni 2018 deutlich gemacht, welche Konsequenzen sich aus dem Urteil für die gemeinsam Verantwortlichen – insbesondere für die Betreiberinnen und Betreiber einer Fanpage – ergeben. Bei einer gemeinsamen Verantwortlichkeit fordert die Datenschutz-Grundverordnung (DSGVO) unter anderem eine Vereinbarung zwischen den Beteiligten, die klarstellt, wie die Pflichten aus der DSGVO erfüllt werden.
Fanpage-Betreiberinnen und Betreiber müssen sich ihrer datenschutzrechtlichen Verantwortung stellen
Die DSK stellte fest, dass eine von Facebook noch im Juni 2018 angekündigte Vereinbarung nach Art. 26 DSGVO (Gemeinsam für die Verarbeitung Verantwortliche) bislang nicht zur Verfügung gestellt worden sei. Auch Fanpage-Betreiberinnen und Betreiber müssten sich ihrer datenschutzrechtlichen Verantwortung stellen. Ohne Vereinbarung nach Art. 26 DSGVO sei der Betrieb einer Fanpage, wie sie derzeit von Facebook angeboten werde, rechtswidrig.
Betroffene können ihre Rechte aus der DSGVO gegenüber jedem Verantwortlichen geltend machen
Daher forderte die DSK, dass nun die Anforderungen des Datenschutzrechts beim Betrieb von Facebook-Fanpages erfüllt werden. Dazu gehöre insbesondere, dass die gemeinsam Verantwortlichen Klarheit über die derzeitige Sachlage schaffen und die erforderlichen Informationen den betroffenen Personen (= Besucherinnen und Besucher der Fanpage) bereitstellten. Eine gemeinsame Verantwortlichkeit bedeute allerdings auch, dass Fanpage-Betreiberinnen und Betreiber (unabhängig davon, ob es sich um öffentliche oder nicht-öffentliche Verantwortliche handelt) die Rechtmäßigkeit der gemeinsam zu verantwortenden Datenverarbeitung gewährleisten und dies nachweisen können. Zudem könnten Betroffene ihre Rechte aus der DSGVO bei und gegenüber jedem Verantwortlichen geltend machen (Art. 26 Abs. 3 DS-GVO).
Kurz nach dem die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder ihren Beschluss zu den sog. Facebook Fanpages veröffentlicht hat, kam Facebook den dort postulierten Anforderungen teilweise nach.
Facebook reagiert
Nach der Veröffentlichung dieses Beschlusses hat Facebook ein Dokument mit dem den Titel „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ online gestellt. Obwohl Facebook nicht explizit darauf eingeht, ob diese Veröffentlichung als eine direkte Reaktion auf den Beschluss der DSK zu betrachten ist, ist nicht zu verkennen, dass Facebook mit diesem Dokument den Forderungen hinsichtlich einer Vereinbarung zur gemeinsamen Verantwortlichkeit nach der Art. 26 DSGVO entgegen kommt.
In seinem neuesten Positionspapier vom 01.04. 2019 fordert die DSK sowohl Facebook als auch die Fanpage-Betreiber auf ihrer Rechenschaftspflicht nachzukommen. Die Datenschutzkonferenz erwarte, dass Facebook entsprechend nachbessert und die Fanpage-Betreiber ihrer Verantwortlichkeit entsprechend gerecht werden. Solange diesen Pflichten nicht nachgekommen sei, ist ein
datenschutzkonformer Betrieb einer Fanpage nicht möglich.
Anforderungen werden bislang nicht erfüllt
Diese von Facebook veröffentliche „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ erfüllt nach Ansicht der DSK nicht die Anforderungen an eine Vereinbarung nach Art. 26 DS-GVO. Insbesondere stehe es im Widerspruch zur gemeinsamen Verantwortlichkeit gemäß Art. 26 DS-GVO, dass sich Facebook die alleinige Entscheidungsmacht „hinsichtlich der Verarbeitung von Insights-Daten“ einräumen lassen wolle. Die von Facebook veröffentlichten Informationen stellen zudem die Verarbeitungstätigkeiten, die im Zusammenhang mit Fanpages und insbesondere
Seiten-Insights durchgeführt werden und der gemeinsamen Verantwortlichkeit unterfallen, nicht hinreichend transparent und konkret dar, so die Aufsichtsbehörden. Sie seien nicht ausreichend, um den Fanpage-Betreibern die Prüfung der Rechtmäßigkeit der Verarbeitung der personenbezogenen Daten der Besucherinnen und Besucher ihrer
Fanpage zu ermöglichen.
Das könnte Sie auch interessieren
-
BSI veröffentlicht Methodikleitfaden für Grundschutz++
Das Bundesamt für Sicherheit in der Informationstechnik hat Anfang April 2026 die erste Version seines Leitfadens zur Methodik des Grundschutz++ veröffentlicht. Das Dokument markiert einen weiteren Schritt bei der Ablösung des klassischen IT-Grundschutzes durch den modernisierten Nachfolgestandard. Inhalt und Zielsetzung Der Leitfaden bildet einen zukunftsgerichteten Ordnungsrahmen für den systematischen Aufbau und die Weiterentwicklung eines Informationssicherheitsmanagementsystems.
Mehr erfahren -
Folge 91: KI-Kompetenz und KI-Kompetenzen
KI ist ein Werkzeug, welches vielfältig eingesetzt wird. Das erfordert Verständnis für die neue Technik und Kompetenz für den Einsatz. Allerdings kann KI auch Kompetenzen in Menschen entfalten und gezielt eingesetzt werden, um sich seiner selbst bewusster zu werden. Wie das gehen kann, erklärt die Buchautorin Céleste Spahić im DataAgenda Datenschutz Podcast. Weitere ThemenFolge 82:
Mehr erfahren -
Datenschutzkonforme Anwesenheitsübersicht im Zeiterfassungssystem
Ein Fallbeispiel aus dem sächsischen Tätigkeitsbericht 2025 zeigt, wie die flächendeckende Freischaltung einer „Anwesenheitsübersicht“ in einem elektronischen Zeiterfassungssystem gegen den Grundsatz der Datenminimierung verstoßen kann – und welche Konsequenzen drohen, wenn Verantwortliche die datenschutzrechtliche Erforderlichkeit nicht hinreichend begründen können. Ausgangslage In sächsischen Finanzämtern war die Funktion „Anwesenheitsübersicht“ eines Zeiterfassungssystems zunächst so konfiguriert, dass sämtliche Beschäftigte
Mehr erfahren
