In den letzten Monaten war das Thema Facebook und Datenschutz regelmäßig Gegenstand großer Diskussionen bei den Datenschutzbehörden und Datenschützern. Immer wieder ging es darum, dass Facebook-Fanpages offenbar nicht datenschutzkonform betrieben werden können. Nun hat die Konferenz der unabha¨ngigen Datenschutzaufsichtsbeho¨rden des Bundes und der La¨nder (DSK) bei ihrer Sitzung am 22. Juni 2022 eine Liste von oft gestellten datenschutzrechtlichen Fragen und den zugeho¨rigen Antworten (FAQ) zu Facebook-Fanpages verabschiedet. In dem Beschluss wird unter anderem beantwortet, warum ihr Betrieb derzeit datenschutzrechtlich problematisch ist und warum nach ihrer Auffassung der Verantwortliche aktuell den datenschutzkonformen Betrieb einer solchen Facebook-Fanpage nicht gewährleisten kann. Durch die Antworten sollen beaufsichtigte Stellen schnell und verständlich über die gemeinsame Rechtsauffassung der Datenschutzbehörden informiert werden. Zudem sind die FAQ als Reaktion auf das große Interesse zu rechtssicherem Handeln bei der Nutzung von Social-Media-Diensten zu.
Das Wichtigste in Kürze
- Die Grundsätze der rechtlichen Bewertung hinsichtlich Facebook-Fanpages sollen auch auf andere Social-Media-Dienste, wie Instagram, Twitter oder TikTok übertragbar sein.
- Ein rechtskonformer Betrieb von Facebook-Fanpages kann derzeit ohne Änderungen der Datenverarbeitung durch Facebook und dessen Mutterkonzern Meta Platforms nicht gewährleistet werden.
- Übergangsfristen für die Abschaltung von Facebook-Fanpages sind in der Datenschutzgrundverordnung nicht vorgesehen.
- Die FAQ durch die Datenschutzkonferenz sollen beaufsichtigte Stellen schnell und verständlich über die gemeinsame Rechtsauffassung der Datenschutzbehörden informieren.
Facebook-Fanpage
Was versteht man eigentlich unter eine Facebook-Fanpage? Eine Facebook-Fanpage dient als gute Möglichkeit für Unternehmen, Organisationen, Marken oder Gemeinschaften Aufmerksamkeit auf sich zu ziehen und sich selbst zu präsentieren. Eine Facebook-Fanpage wird weitestgehend für geschäftliche, nicht-private Zwecke genutzt. Davon zu unterscheiden sind Facebook-Profile von registrierten Nutzern, die Privatpersonen zugeordnet sind. Diese werden weitestgehend für private Zwecke eingerichtet. Oftmals ersetzen die Fanpages auch klassische Unternehmenswebsites.
Hintergrund der FAQ zu Facebook-Fanpages durch die Datenschutzkonferenz
Die Datenschutzbehörden haben in der Vergangenheit des Öfteren darauf aufmerksam gemacht, dass der datenschutzkonforme Betrieb von Facebook-Fanpages derzeit nicht möglich ist. Trotz dessen herrscht immer noch große Unsicherheit und Unklarheit in Bezug auf den Betrieb von Facebook-Fanpages. Mit dem Anhörungsverfahren des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit gegen das Bundespresseamt hinsichtlich deren Facebook-Fanpage „Bundesregierung“ hat die Überprüfung öffentlicher Facebook-Fanpages begonnen. Es kann davon ausgegangen werden, dass in Zukunft auch die Überprüfung privater Fanpages folgen wird. Jedoch stehen aufgrund ihrer Vorbildfunktion zunächst die öffentlichen Stellen im Fokus. Im März diesen Jahres verfasste die „Taskforce Fanpages“ ein Kurzgutachten, indem sie die datenschutzrechtlichen Probleme mit Facebook-Fanpages herausarbeitete. Daraufhin beschloss die Datenschutzkonferenz zu überprüfen, welche Landes- und Bundesbehörden Facebook-Fanpages betreiben. Ziel war es darauf hinzuwirken, dass diese Seiten deaktiviert werden, sofern die Verantwortlichen die datenschutzrechtliche Konformität der Fanpages nicht nachweisen können. Nun hat die Datenschutzkonferenz am 22. Juni 2022 eine Liste von oft gestellten datenschutzrechtlichen Frage und den dazugehörigen Antworten veröffentlicht. Darin wird unter anderem beantwortet, warum derzeit der datenschutzkonforme Betreib von Facebook-Fanpages nicht gewährleistet werden kann und welche Schritte für eine Datenschutzkonformität einer Facebook-Fanpage notwendig wären.
Vorgehen der Aufsichtsbehörden
Aufsichtsbehörden sind insbesondere dafür zuständig, die Datenschutzkonformität der Verarbeitung personenbezogener Daten zu überwachen und durchzusetzen. Um dies zu gewährleisten können sie sich verschiedener Maßnahmen bedienen. Die Aufsichtsbehörden können bei fehlender Datenschutzkonformität zum Beispiel anordnen, dass eine konkrete rechtswidrige Datenverarbeitung zu unterbleiben hat oder gegenüber nichtöffentlichen Stellen auch Bußgelder verhängen. Dass sie Bußgelder nur gegen nichtöffentliche Stellen verhängen können hat den Grund, dass nach derzeit geltendem deutschen Recht öffentliche Stellen nicht mit Bußgeldern belegt werden dürfen. Das bedeutet jedoch nicht, dass öffentliche Stellen sich nicht an die datenschutzrechtlichen Vorgaben halten müssen.
Doch wäre es den Aufsichtsbehörden nicht auch möglich direkt gegen Meta Platforms als Mutterkonzern vorzugehen? Mit dieser Frage beschäftige sich auch die Datenschutzkonferenz im Zusammenhang mit den FAQ. Gemäß der DSGVO ist in Europa die irische Datenschutzbehörde für die Aufsicht über Meta Platforms zuständig. Jedoch sind für die Betreiber von Facebook-Fanpages die jeweiligen Aufsichtsbehörden am Sitz der Betreiber der jeweiligen Seite zuständig. Bei grenzüberschreitenden Fällen arbeiten die deutschen Aufsichtsbehörden mit der irischen Aufsichtsbehörde im Europäischen Datenschutzausschuss zusammen. Die deutschen Aufsichtsbehörden sind über das sogenannte Kooperationsverfahren der DSGVO an Entscheidungen der irischen Aufsichtsbehörden hinsichtlich Meta Platforms dann gegebenenfalls zu beteiligen. Daher gehen die deutschen Aufsichtsbehörden als unmittelbar zuständige Behörde eben nur gegen die Betreiber der Facebook-Fanpages vor. Im grenzüberschreitenden Fällen können die betroffenen europäischen Datenschutzbehörden aber für eine einheitliche Rechtsanwendung über das Kooperationsverfahren zusammenarbeiten.
Datenschutzrechtliche Problematik mit Facebook-Fanpages
Die Datenschutzkonferenz hat in ihren FAQ auf die datenschutzrechtliche Problematik hinsichtlich Facobook-Fanpages hingewiesen. Problematisch ist insbesondere, dass Meta Platforms Daten der Nutzer nicht nur zum Zweck der Bereitstellung eines sozialen interaktiven Netzwerks, sondern auch zu Werbezwecken verarbeitet. Unklar ist weiterhin, welche personenbezogenen Daten in welcher Art und Weise verarbeitet werden. Bezugspunkt ist das EuGH Urteil vom 5. Juni 2018 (C- 210/16, „Wirtschaftsakademie“). Mit diesem Urteil wurde bestätigt, dass Betreiber von Facebook-Fanpages (mit)verantwortlich für die Verarbeitung der Nutzerdaten sind. Durch sog. Insights wird nämlich den Fanpage-Betreibern eine Nutzeranalyse für ihre Seiten auf Facebook bereitgestellt. Aus diesem Grund liegt eine gemeinsame Verantwortlichkeit zwischen dem Betreiber der Fanpage und dem Plattformbetreiber für die Verarbeitung personenbezogener Daten vor. Diese gemeinsame Verantwortlichkeit erfordert, dass eine Vereinbarung über die gemeinsame Verantwortlichkeit geschlossen wird, die den Anforderungen des Art. 26 DSGVO genügt. Das von Meta Platforms bereitgestellte Addendum genügt genau diesen Anforderungen jedoch nicht. Aufgrund der Unklarheit über die Datenverarbeitung durch die Verantwortlichen kann eine datenschutzkonforme Verarbeitung der personenbezogenen Daten der Nutzer nicht gewährleistet werden. Problematisch ist dahingehend vor allem die Übermittlung von Daten der Nutzer in Drittstaaten außerhalb der EU, die nur zulässig ist, wenn die Vorgaben von Art. 44 ff. DSGVO eingehalten werden.
Nachweise für den Betrieb von Facebook-Fanpages erforderlich
Fanpage-Betreiber müssen der DSK folgend die Datenschutzkonformität der von ihnen verantworteten Datenverarbeitung sicherstellen und nachweisen können.
Für den rechtskonformen Betrieb einer Facebook-Fanpage ist dann insbesondere ein Nachweis über den Abschluss einer Vereinbarung über die gemeinsame Verantwortlichkeit mit Facebook nach Art. 26 DSGVO erforderlich. Darin müssen Verantwortliche vor allem die Zwecke und Mittel der Verarbeitung gemeinsam festlegen. Die den Verantwortlichen obliegenden Pflichten nach der DSGVO sollen so transparent und eindeutig verteilt und zugeordnet werden. Art. 26 DSGVO soll eine klare Zurechnung von Verantwortlichkeiten schaffen und damit für mehr Rechtssicherheit und Transparenz in komplexen Strukturen sorgen.
Weiterhin ist die Bereitstellung ausreichender Informationen über die gemeinsame Datenverarbeitung gegenüber Nutzern der Fanpages gemäß Art. 13 DSGVO zu gewährleisten. Art. 13 DSGVO regelt Art und Umfang der Informationspflicht des Verantwortlichen gegenüber der betroffenen Person, wenn und soweit die personenbezogenen Daten bei der betroffenen Person erhoben werden. Damit soll garantiert werden, dass eine ausreichende Transparenz bei der Direkterhebung personenbezogener Daten gegenüber der betroffenen Person sichergestellt ist.
Zudem müssten Betreiber einer Fanpage die Zulässigkeit zur Speicherung von Informationen in den Endeinrichtungen der Nutzer und der Zugriff auf diese Informationen gemäß § 25 TTDSG nachweisen. Zuletzt wäre noch ein Nachweis über die Zulässigkeit der Übertragung personenbezogener Daten in den Zugriffsbereich von Behörden in Drittstaaten erforderlich.
Dies ist den Betreibern der Fanpages jedoch derzeit nicht möglich. In einem solchen Fall bleibt den Verantwortlichen aus der Sicht der DSK nur die Deaktivierung der Fanpage, solange sie ihre Pflichten nach der DSGVO nicht erfüllen können. Um diese zu erfüllen, ist jedoch die Mitwirkung von Meta Platforms als Mitverantwortliche notwendig. Als gemeinsame Verantwortliche müssten die Betreiber und Meta Platforms zusammen sicherstellen, dass die Nutzer der Fanpages über die Verarbeitung ihrer Daten beim Aufruf solcher Fanpages informiert sind. Dafür wäre wie schon beschrieben eine Vereinbarung nach Art. 26 DSGVO erforderlich. Das Addendum von Meta Platforms erfüllt aber die Anforderungen der DSGVO nicht.
Fazit
Die von der Datenschutzkonferenz beschlossenen FAQ stellen zumindest Anhaltspunkte für öffentliche Stellen oder Unternehmen dar, an denen sie sich orientieren können, um gegebenenfalls auf eine notwendige Datenschutzkonformität hinzuwirken. Zunächst liegt der Fokus im Hinblick auf das datenschutzkonforme Betreiben von Facebook-Fanpages auf öffentlichen Stellen, jedoch werden in Zukunft sicher auch Fanpages von Unternehmen oder anderen nichtöffentlichen Stellen überprüft werden. Deswegen ist es auf jeden Fall empfehlenswert sich mit der Thematik frühzeitig auseinanderzusetzen, um etwaigen Bußgeldern oder Sanktionen zu entgehen. Die FAQ sind definitiv ein Anfang in Richtung Klarheit, aber dennoch fehlt es noch an tatsächlichem Handeln. Wer weiterhin eine Facebook-Fanpage betreiben möchte, obwohl dies derzeit nicht datenschutzkonform möglich ist, muss sich der Gefahr ausgesetzt sehen, im schlimmsten Fall mit Sanktionen belegt zu werden.
