Landesdatenschutzbeauftragte NRW: Handlungsempfehlung für Facebook Fanpage-Betreiber nach EuGH-Urteil

13.06.2018

Die Landesbeauftragte für Datenschutz in Nordrhein-Westfalen (NRW) hat konkrete Handlungsempfehlungen für Facebook Fanpage-Betreiber nach dem EuGH-Urteil ausgesprochen. Diese finden sich hier.

Der EuGH (Urt. v. 05.06.2018 - Az.: C-210/16) hatte vor kurzem entschieden, dass  Fanpage-Betreiber neben Facebook mit verantwortlich sind für die Einhaltung der Datenschutzvorschriften. Kurz danach hatte die Datenschutzkonferenz (DSK) bereits eine Stellungnahme herausgebracht.

Nun spricht die Landesbeauftragte für Datenschutz in Nordrhein-Westfalen (NRW) ganz konkrete Handlungsempfehlungen aus:

"Der Europäische Gerichtshof (EuGH) hat mit seinem Urteil vom 05.06.2018 – C-210/16 – die Auffassung der deutschen Datenschutzaufsichtsbehörden bestätigt: Betreiber von Facebook-Fanpages können für Datenverarbeitungen von Facebook (mit)verantwortlich sein. Spätestens jetzt müssen alle Fanpage-Betreiber aktiv werden.

  • Transparente Information: Wer eine Fanpage besucht, muss transparent und in verständlicher Form darüber informiert werden, welche Daten zu welchen Zwecken durch Facebook und die Fanpage-Betreiber verarbeitet werden. Dies gilt sowohl für Personen, die bei Facebook registriert sind, als auch für nicht registrierte Besucherinnen und Besucher des Netzwerks. (vgl. Art. 13 Datenschutz-Grundverordnung (DS-GVO))
  • Einwilligungen: Soweit Facebook Besucherinnen und Besucher einer Fanpage durch Erhebung personenbezogener Daten trackt, sei es durch den Einsatz von Cookies oder vergleichbarer Techniken oder durch die Speicherung der IP-Adresse, ist grundsätzlich eine Einwilligung der Nutzenden erforderlich, die die Anforderung der DS-GVO erfüllt. 
  • Vereinbarung mit Facebook: Für die Bereiche der gemeinsamen Verantwortung von Facebook und Fanpage-Betreibern ist in einer Vereinbarung festzulegen, wer von ihnen welche Verpflichtung der DS-GVO erfüllt. Diese Vereinbarung muss in wesentlichen Punkten den Betroffenen zur Verfügung gestellt werden, damit diese ihre Betroffenenrechte wahrnehmen können. (vgl. Art. 26 DS-GVO)

Wie wir bereits in unserer News v. 07.06.2018 angemerkt hatten, sind diese Pflichten derzeit nicht erfüllbar, da Facebook bislang jede weitergehende Mitarbeit ablehnt. Der Betrieb von Facebook Fanpages ist daher aktuell rechtssicher nicht möglich.

Es überrascht somit wenig, wenn die Landesbeauftragte für Datenschutz in Nordrhein-Westfalen (NRW) dann weiter ausführt:

"Diese Anforderungen können Fanpage-Betreiber nicht ohne die Mitwirkung von Facebook erfüllen. Da sie aber selbst rechtlich dazu verpflichtet sind, müssen Sie sich um die Einhaltung der Anforderungen kümmern. Das bedeutet, dass Fanpage-Betreiber sich nun an Facebook wenden sollten, um die erforderlichen Informationen zu erhalten und eine Vereinbarung abzuschließen.

Hat das keinen Erfolg, sollten Fanpage-Betreiber entscheiden, ob sie ihre Fanpage einstellen."

Die Behörde lässt offen, wie in der nächsten Zeit gegen Betreiber von Fanpages zukünftig vorgegangen wird, wenn diese sich nicht an die geltende Rechtslage halten:

"Derzeit prüft die LDI – wie andere Datenschutzbehörden in Deutschland und in Europa – wann und mit welchen Mitteln sie das Datenschutzrecht bei Fanpages durchsetzt. Für die Durchsetzung der Datenschutzvorgaben bei einer Fanpage ist die Aufsichtsbehörde  zuständig, die für das jeweilige Unternehmen oder die Behörde zuständig ist, die die Fanpage betreibt. Die Durchsetzung der Datenschutzvorgaben im Verantwortungsbereich von Facebook selbst obliegt primär der irischen Datenschutzaufsicht im Rahmen der europäischen Zusammenarbeit.

Schon bislang hat die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen den nordrhein-westfälischen öffentlichen Stellen wie auch den Unternehmen, Vereinen und anderen Stellen von der Nutzung Sozialer Medien dringend abgeraten, wenn sie weder feststellen noch beeinflussen können, was mit den personenbezogenen Daten der Nutzerinnen und Nutzer geschieht, gesetzlich aber dazu verpflichtet sind, über die Datenverarbeitungsprozesse umfassend zu informieren."