Der Betreiber einer Facebook Fanpage ist gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich.
Dieser kurze Satz dürfte im Bereich Datenschutz für ein wenig Furore sorgen und ist einfach ausgedrückt ein kleiner Hammer…
Dennoch steht das jetzt erstmal im Raum. Denn das entschied heute der Gerichtshof der Europäischen Union. Die Betreiber von Fanpages können mit Hilfe der Funktion Facebook Insight, anonymisierte statistische Daten über die Nutzer dieser Seiten erhalten. Die Funktion ist nicht abdingbar. Diese Daten werden mit Hilfe sogenannter Cookies gesammelt, die jeweils einen eindeutigen Benutzercode enthalten, der für zwei Jahre aktiv ist und den Facebook auf der Festplatte des Computers oder einem anderen Datenträger der Besucher der Fanpage speichert. Der Benutzercode kann mit den Anmeldungsdaten von Nutzern, die bei Facebook registriert verknüpft werden.
Der Gerichtshof betont zwar, dass Facebook als „für die Verarbeitung“ der personenbezogenen Daten der Facebook-Nutzer und der Personen, die die auf Facebook unterhaltenen Fanpages besucht haben, „Verantwortliche“ ist. Darüber hinaus stellte der Gerichtshof allerdings auch fest, dass auch der Betreiber einer solchen Fanpage als Verantwortlicher anzusehen ist. Denn der Betreiber ist an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten beteiligt, weil er die Parameter der Erhebung festlegt.
Das Urteil hat nach meiner Ansicht immense praktische Auswirkungen.
Praktische Auswirkungen
Anwendbarkeit unter der DSGVO
Das Urteil bezieht sich auf die europäische Datenschutzrichtlinie und auch das bis zum 25.5.2018 gültige BDSG. Gleichwohl dürften die Ausführungen auch auf die seit 25.05.2018 geltende Datenschutz Grundverordnung Anwendung finden.
Datenschutzerklärung für Facebook Fanpage
Zunächst einmal benötigt jeder Betreiber einer Fanpage hierfür eine gesonderte Datenschutzerklärung. Eine Mustererklärung, wie so etwas aussehen könnte, liefert uns der Landesbeauftragte für Datenschutz Rheinland Pflaz: Muster- Datenschutzerklärung für eine Präsenz auf facebook.com
Das wäre an sich nicht weiter wild. Datenschutzerklärung erstellen auf Facebook Seite einbinden – Punkt Aus Ende.
Haftung für Datenschutzverstöße von Facebook
Problematischer dürfte sich die Frage gestalten, ob man nunmehr auch für Datenschutzverstöße durch Facebook selbst haftet. Sofern man den Betreiber einer Facebook-Fanpage als gemeinsamen Verantwortlichen betrachtet, kann die betroffene Person ihre Rechte aus Art. 15 – 22 DSGVO sowohl gegenüber Facebook, als auch gegenüber dem Betreiber der Fanpage geltend machen. Das kann für den Betreiber zu interessanten Folgen führen, da dieser dann theoretisch vollumfänglich Auskunft über die Verarbeiteten Daten geben müsste. Das kann dieser im Zweifel aber gar nicht, da er nicht weiß welche Daten Facebook noch alles erhebt. Damit würde der Betreiber der Fanpage seiner Auskunftspflicht nicht nachkommen und ggf. einen Verstoß gegen datenschutzrechtliche Bestimmungen begehen. Allein aus diesem Grund dürfte der Betrieb einer Fanpage bereits dem Grunde nach nicht ganz unbedenklich sein.
Neben einem potentiellen Auskunftsrecht und den sonstigen Betroffenenrechten haftet der Betreiber der Fanpage aber unter Umständen gemeinsam mit Facebook für einen entstandenen Schaden nach Art. 82 Abs. 4 DSGVO. Hier wird sich der Betreiber der Fanpage zwar exkulpieren können. Dafür muss er aber nachweisen, dass “er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist”. Was das in der Praxis bedeutet bzw. welche Anforderungen an diesen Beweis gestellt werden, wird man noch sehen müssen.
Heiß gekocht, lauwarm gegessen
das sind jetzt ein paar erste Gedanken, welche praktischen Auswirkungen das Urteil des EuGH In der Praxis haben könnte. Man sollte sich aber klar sein, dass bisher immer eine praktische Lösung gefunden wurden. Insofern wird auch mit diesem Urteil die Welt nicht gleich unter oder das Internet kaputtgehen. Es wird Unsicherheiten geben, klar. Aber die Welt, Facebook und Fanpages werden sich weiter drehen, wenn vielleicht auch ein wenig anders.
Tip
Um vorerst wenigstens ein wenig Sicherheit zu schaffen, sollten Betreiber von Fanpages zumindest eine Datenschutzerklärung einbinden. Auch diese sollte mit der üblichen 2-Klick-Methode zu erreichen sein. Die Erklärung kann dabei sowohl auf der Fanpage selbst als auch mit Link auf eine externe Seite eingebunden werden. Wer die Erklärung mit Link einbindet und dort vielleicht in der eigenen Datenschutzerklärung unterbringt, sollte darauf hinweisen, dass diese Erklärung auch für die Fanpage gilt.
Quellen:
Urteil des EUGH vom 05.06.2018