Datenschutzrechtliche Handlungspflichten der Betreiber von Facebook-Fanpages

Betreiber von Fanpages sind gemeinsam mit Facebook für die Einhaltung des Datenschutzes gegenüber den Nutzern ihrer Seite verantwortlich. Dies hat der Gerichtshof der Europäischen Union (EuGH) mit Urteil vom 05.06.2018 (Rechtssache C-216/16) festgestellt. Fanpages sind Facebook-Seiten, die z.B. von Unternehmen eingerichtet und betrieben werden.

Das Urteil hat unmittelbare Auswirkung auf die Betreiber von Fanpages, da Datenschutzbehörden, Mitbewerber oder Einzelpersonen bei Verstößen gegen Datenschutzvorschriften nicht mehr nur gegen Facebook selbst vorgehen müssen. Damit kann grundsätzlich auch ein Betreiber einer Facebook-Fanpage unmittelbarer Adressat von Bußgeldern von Behörden werden. Auch Abmahnungen von Mitbewerbern sind dabei nicht ausgeschlossen. Unternehmen, die eine Facebook-Fanpage betreiben, sollten deswegen ihre Datenschutzmaßnahmen überprüfen. Das Urteil des EuGH betrifft zwar unmittelbar die frühere Datenschutzrichtlinie 95/46/EG, es kann allerdings davon ausgegangen werden, dass es auch auf die strengeren Regelungen der neuen Datenschutzgrundverordnung angewendet werden kann.

Teilweise wird, in Reaktion zu dem Urteil, zu einem Deaktivieren oder sogar Löschen der Seiten geraten. Dies erscheint allerdings verfrüht. Das Verfahren, das Grundlage für das EuGH-Urteil war, ist noch nicht abgeschlossen. Die ersten Äußerungen der Datenschutzbehörden zu dem Urteil weisen auch auf eine differenzierende Betrachtung hin. Insbesondere aus der Entschließung der Konferenz der unabhängigen Datenschutzbehörden zu dem Urteil wird deutlich, dass es den Behörden vor allem darum geht, dass der Datenschutz transparenter wird und sich Facebook den europäischen Datenschutzrichtlinien anpasst.

Auch Facebook hat sich in einem Statement vom 15.06.2018 dazu bekannt, dass es die notwendigen Schritte unternehmen wird, um es den Seitenbetreibern zu ermöglichen, ihren rechtlichen Verpflichtungen nachzukommen.

Nach den Äußerungen der Datenschutzbehörden ist nun auf folgende Dinge beim Betreiben einer Facebook-Fanpage zu achten:

  • Die Besucher einer Seite müssen in transparenter und verständlicher Form darüber informiert werden, welche Daten zu welchem Zweck verarbeitet werden. Dies gilt sowohl für bei Facebook registrierte, als auch für nicht registrierte Personen. Die Datenschutzrichtlinien der Unternehmen müssen dazu um die entsprechenden Verarbeitungsweisen ergänzt und auf der Facebook-Fanpage verlinkt werden.
  • Derzeit hat Facebook diese Informationen noch nicht in der eigenen Datenschutzerklärung genannt. Die Betreiber von Fanseiten müssen deswegen bei Facebook die nötigen Informationen erfragen, um eine ausreichende Aufklärung sicherzustellen.
  • Erhebt eine Seite personenbezogene Daten z.B. durch Cookies, ist außerdem eine Einwilligung der Seitennutzer erforderlich. Diese Einwilligung muss den Anforderungen der DSGVO genügen. Dabei ist es fraglich, inwiefern dies auf Facebook-Seiten möglich ist. Auf jeden Fall wird dazu aber eine Zusammenarbeit mit Facebook nötig sein.
  • Schließlich müssen die Seitenbetreiber auch mit Facebook formell vereinbaren, wer welche Verpflichtungen der DSGVO erfüllt. Der Inhalt dieser Vereinbarungen muss auch den Benutzern zur Verfügung gestellt werden, damit diese sich an den jeweils Verantwortlichen richten können, wenn sie ihre Betroffenenrechte wahrnehmen wollen.

Facebook hat angekündigt, die Voraussetzungen für einen rechtmäßigen Betrieb von Fanpages zu schaffen. Es bleibt abzuwarten, inwiefern Facebook die von den Datenschutzbehörden als notwendig angesehenen Maßnahmen ergreift. Ebenso bleibt abzuwarten, wie die Datenschutzbehörden mit möglichen Verstößen gegen die DSGVO in diesem Bereich umgehen werden.

Einzelne Datenschutzbehörden haben darauf hingewiesen, dass gerade öffentliche Stellen besonders an Recht und Gesetz gebunden sind und demnach besonders sorgsam bei der datenschutzrechtlichen Risikoabwägung bei der Nutzung von Social Media vorgehen sollten. Teilweise wird auch gänzlich von der Nutzung der Seiten abgeraten. Öffentliche Stellen sind dabei Behörden oder andere öffentlich-rechtliche Einrichtungen.

Ein unmittelbares Löschen der Seiten erscheint aus Sicht des VKU derzeit aber noch nicht nötig zu sein. Unternehmen sollten jedoch durch die oben beschriebenen Schritte die Verbesserung ihres Datenschutzes dokumentieren und auf das Handeln ihrer zuständigen Datenschutzbehörde achten. Ebenso muss beobachtet werden, ob Datenschutzverstöße auf Facebook-Fanpages Gegenstand von Abmahnungen von Wettbewerbern werden. Aktuell sind solche Aktivitäten noch nicht ersichtlich, auf der politischen Ebene gibt es auch verschiedene Initiativen, die die Abmahnung wegen Datenschutzverstößen erschweren oder ausschließen wollen.