Umfassende Prüfung von Facebook-Fanpages

Mit Urteil vom 5. Juni 2018 hat der Gerichtshof der Europäischen Union (EuGH), Aktenzeichen  C-201/16, entschieden, dass eine gemeinsame Verantwortlichkeit von  Facebook-Fanpage-Betreiberinnen und Betreibern und Facebook besteht. Die Konferenz  der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat in ihrer Entschließung vom 6. Juni 2018 deutlich gemacht, welche Konsequenzen  sich aus dem Urteil für die gemeinsam Verantwortlichen – insbesondere für  die Betreiberinnen und Betreiber einer Facebook-Fanpage – ergeben.  Bei einer gemeinsamen Verantwortlichkeit fordert die Datenschutz-Grundverordnung  (DSGVO) unter anderem eine Vereinbarung zwischen den Beteiligten. Diese soll klarstellen,  wie die Pflichten aus der DSGVO erfüllt werden.

Auch Fanpage-Betreiberinnen und Betreiber müssen sich ihrer datenschutzrechtlichen  Verantwortung stellen

Die DSK stellte fest, dass eine von Facebook noch im Juni 2018 angekündigte  Vereinbarung nach Art. 26 DSGVO (Gemeinsam für die Verarbeitung Verantwortliche) bislang nicht zur Verfügung gestellt worden sei. Auch Fanpage-Betreiberinnen und Betreiber müssten sich ihrer datenschutzrechtlichen  Verantwortung stellen. Ohne Vereinbarung nach Art. 26 DSGVO sei der Betrieb  einer Fanpage, wie sie derzeit von Facebook angeboten werde, rechtswidrig.

Gemeinsame Verantwortlichkeit bedeutet Rechtmäßigkeit der Datenverarbeitung zu gewährleisten

Daher forderte die DSK, dass nun die Anforderungen des Datenschutzrechts beim  Betrieb von Fanpages erfüllt werden. Dazu gehöre insbesondere, dass die gemeinsam  Verantwortlichen Klarheit über die derzeitige Sachlage schaffen und die erforderlichen  Informationen den betroffenen Personen (= Besucherinnen und Besucher  der Facebook-Fanpage) bereitstellten.  Eine gemeinsame Verantwortlichkeit bedeute allerdings auch, dass Fanpage-Betreiberinnen  und Betreiber (unabhängig davon, ob es sich um öffentliche oder  nicht-öffentliche Verantwortliche handelt) die Rechtmäßigkeit der gemeinsam zu verantwortenden  Datenverarbeitung gewährleisten und dies nachweisen können. Zudem könnten Betroffene ihre Rechte aus der DSGVO bei und gegenüber jedem Verantwortlichen  geltend machen (Art. 26 Abs. 3 DS-GVO).

Kurz nach dem die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder ihren Beschluss zu den sog. Facebook Fanpages veröffentlicht hat, kam Facebook den dort postulierten Anforderungen teilweise nach.

Facebook kommt den Forderungen entgegen

Nach der Veröffentlichung dieses Beschlusses hat Facebook  ein Dokument mit dem den Titel  „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ online gestellt.  Obwohl Facebook nicht explizit darauf eingeht, ob diese Veröffentlichung als eine direkte Reaktion auf den Beschluss der DSK zu betrachten ist, ist nicht zu verkennen, dass Facebook mit diesem Dokument den Forderungen hinsichtlich einer Vereinbarung zur gemeinsamen Verantwortlichkeit nach der Art. 26 DSGVO entgegen kommt.

Beauftragter für Datenschutz und Informationsfreiheit führt Anhörungsverfahren durch

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat nun bekannt gegeben, dass sie seit Anfang November Anhörungsverfahren bei Stellen der Berliner Landesverwaltung, bei den politischen Parteien sowie bei einer Reihe von Unternehmen und Organisationen u. a. aus der Handels-, Verlags- und Finanzbranche in Sachen Facebook-Fanpage durchführt.

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat allerdings Zweifel, dass die Informationen, die Facebook bisher – auch im Zusammenhang mit der veröffentlichten Ergänzungsvereinbarung – zur Verfügung gestellt hat, ausreichen, um Rechenschaft über die Rechtmäßigkeit der Verarbeitung der Daten von Besucherinnen und Besuchern der Fanpage ablegen zu können. Den Fragenkatalog im Anhörungsverfahren wird die Berliner Beauftragte für Datenschutz und Informationsfreiheit auf ihrer Webseite veröffentlichen.