Die Datenschutzkonferenz (DSK) hat in einer neuen Stellungnahme klargestellt, dass der Betrieb einer Facebook-Fanpage-Seite auch weiterhin nicht datenschutzkonform möglich ist. Das DSK-Dokument kann hier heruntergeladen werden.
Die DSK ist die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder. Die Stellungnahmen haben keinen verbindlichen Rechtscharakter, offenbaren aber, in welche Richtung die Behörden die DSGVO auslegen werden. Ob die Interpretation dann richtig oder falsch ist, werden die Gerichte entscheiden.
Bekanntlich hatte der EuGH (Urt. v. 05.06.2018 - Az.: C-210/16) geurteilt, dass Fanpage-Betreiber neben Facebook mit verantwortlich sind für die Einhaltung der Datenschutzvorschriften. Die DSK hatte kurz danach bereits Stellung genommen, vgl. unsere News v. 07.06.2018. Bereits die Überschrift zeigte, in welche Richtung das damalige Dokument und die Interpretation ging:
"Die Zeit der Verantwortungslosigkeit ist vorbei: EuGH bestätigt gemeinsame Verantwortung von Facebook und Fanpage-Betreibern"
Wenig später hatte der Landesbeauftragte für Datenschutz in Nordrhein-Westfalen (NRW) konkrete Handlungsempfehlungen für Facebook Fanpage-Betreiber herausgegeben, vgl. unsere News v. 13.06.2018.
Die DSK hatte dann einer Stellungnahme im September 2018 klargestellt, dass der Betrieb einer Facebook-Fanpage-Seite einen sogenannten Joint-Control-Vertrag nach Art. 26 DSGVO voraussetzt, vgl. unsere News v. 11.09.2018.
Facebook hatte wenig später geliefert und ein solches Vertragsmuster für seine User zur Verfügung gestellt, vgl. unsere News v. 12.09.2018.
Nun hat die DSK in ihrem aktuellen Paper (Stand: 01.04.2019) nachgelegt: Das Gremium erklärt, dass das Vertragsmuster nicht ausreichend ist, sondern erheblich nachgebessert werden muss. Bis dahin, so die DSK, sei "ein datenschutzkonformer Betrieb einer Fanpage nicht möglich.".
"Diese von Facebook veröffentliche „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ erfüllt nicht die Anforderungen an eine Vereinbarung nach Art. 26 DSGVO. Insbesondere steht es im Widerspruch zur gemeinsamen Verantwortlichkeit gemäß Art. 26 DSGVO, dass sich Facebook die alleinige Entscheidungsmacht „hinsichtlich der Verarbeitung von Insights-Daten" einräumen lassen will.
Die von Facebook veröffentlichten Informationen stellen zudem die Verarbeitungstätigkeiten, die im Zusammenhang mit Fanpages und insbesondere Seiten-Insights durchgeführt werden und der gemeinsamen Verantwortlichkeit unterfallen, nicht hinreichend transparent und konkret dar. Sie sind nicht ausreichend, um den Fanpage-Betreibern die Prüfung der Rechtmäßigkeit der Verarbeitung der personenbezogenen Daten der Besucherinnen und Besucher ihrer Fanpage zu ermöglichen."
Erforderlich sei die umfassende Information des Fanpage-Betreibers über die Datenverarbeitung:
"1. Jeder Verantwortliche benötigt für die Verarbeitungstätigkeiten, die seiner Verantwortung unterliegen, eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO und – soweit besondere Kategorien personenbezogener Daten verarbeitet werden – nach Art. 9 Abs. 2 DSGVO. Dies gilt auch in den Fällen, in denen sie die Verarbeitungstätigkeiten nicht unmittelbar selbst durchführen, sondern durch andere gemeinsam mit ihnen Verantwortlichen durchführen lassen.
2. Ohne hinreichende Kenntnis über die Verarbeitungstätigkeiten, die der eigenen Verantwortung unterliegen, sind Verantwortliche nicht in der Lage, zu bewerten, ob die Verarbeitungstätigkeiten rechtskonform durchgeführt werden. Bestehen Zweifel, geht dies zulasten der Verantwortlichen, die es in der Hand haben, solche Verarbeitungen zu unterlassen. Der EuGH führt hierzu aus: „Der Umstand, dass ein Betreiber einer Fanpage die von Facebook eingerichtete Plattform nutzt, um die dazugehörigen Dienstleistungen in Anspruch zu nehmen, kann diesen nämlich nicht von der Beachtung seiner Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien.“ (EuGH, C-210/16, Rn. 40).
3. Im Hinblick auf die Ausführungen zur „Hauptniederlassung für die Verarbeitung von Insights-Daten für sämtliche Verantwortliche“ sowie zur federführenden Aufsichtsbehörde (Punkt 4 in der „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“) weist die Konferenz darauf hin, dass sich die Zuständigkeit der jeweiligen Aufsichtsbehörden für Fanpage-Betreiber nach der DSGVO richtet. Nach Art. 55 ff. DSGVO sind die Aufsichtsbehörden für Verantwortliche (wie z. B. Fanpage-Betreiber) in ihrem Hoheitsgebiet zuständig. Dies gilt unabhängig von den durch die DSGVO vorgesehenen Kooperations- und Kohärenzmechanismen."
Anmerkung von RA Dr. Bahr:
Die unendliche Geschichte Facebook-Fanpages und Datenschutz geht in eine neue Runde. Man braucht kein Hellseher zu sein, dass es sich dabei nicht um die letzte Nachricht zu diesem Thema handeln wird.