Datenschutz und Facebook Facebook Fanpage
Das Thema Datenschutz und Facebook bleibt in vielerlei Hinsicht weiterhin aktuell und stellt das ein oder andere Fragezeichen bei Unternehmen dar. Facebook seit vergangenem Jahr eine Vereinbarung über gemeinsame Verantwortlichkeit für Facebook Insights an. Auslöser dafür war der Beschluss des Europäische Gerichtshofs (EUGH) der eine dahingehende Notwendigkeit festgestellt hatte und der Druck deutscher Aufsichtsbehörden.
Des Weiteren müssen aber auch Betreiber von Facebook Fanpages aktiv werden. Nachfolgend möchten wir daher nochmals auf das Thema Informationspflichten gem. Art. 13 DSGVO im Rahmen von Facebook Fanpages eingehen.
Um was geht es?
Facebook ermöglicht nicht nur die Erstellung von Profilen für Privatpersonen, sondern auch die Darstellung von Unternehmen mittels sogenannter Fanpages. Unternehmen können dadurch unter anderem auch anonyme Statistiken über Interaktionen ihrer Besucher erstellen („Seiten Insights“ genannt). Hierfür werden beim Besucher Cookies platziert.
Wie bereits oben angesprochen hatte der EUGH für die Erstellung der Seiten Insights eine gemeinsame Verantwortlichkeit von Facebook und dem jeweiligen Unternehmen, das eine Fanpage bereitstellt, festgestellt. Folge war, dass also eine entsprechende Vereinbarung i.S.d. Art. 26 DSGVO mit den Verpflichtungen von Facebook und dem jeweiligen Unternehmen geschlossen werden muss – hierzu gehört auch die Festlegung der Verantwortlichkeit bezüglich der Informationspflichten (Art.13 / Art. 14 DSGVO).
Nachdem Facebook – trotz Beschluss des EUGH – weiterhin untätig blieb und zunächst keine Vereinbarung über gemeinsame Verantwortlichkeit bereitstellte, wurde die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (kurz „Datenschutzkonferenz“ oder „DSK“) aktiv.
Exkurs: Bei der DSK handelt es sich um ein Gremium, das sich mit aktuellen Fragen des Datenschutzes in Deutschland befasst und zu ihnen Stellung nimmt. Die Konferenz besteht aus der Bundesdatenschutzbeauftragten, den Landesdatenschutzbeauftragten der 16 Bundesländer und dem Präsidenten des Bayerischen Landesamtes für Datenschutzaufsicht. Die Beschlüsse der DSK haben zwar keine rechtliche Bindungswirkung, stellen jedoch den Standpunkt der Aufsichtsbehörden dar.
Mit Beschluss vom 05.09.2018 stellte die DSK die Rechtswidrigkeit des Beitreibens von Facebook Fanpages – ohne entsprechende Vereinbarung über die gemeinsame Verantwortlichkeit - fest.
Facebook reagierte und ergänzte seine „Richtlinien für Seiten, Gruppen und Veranstaltungen“ um eine „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“. Werden von einem Fanpage-Betreiber die Seiten-Insights genutzt, so wird diese Ergänzung automatisch abgeschlossen. Nutzer werden im Rahmen der „Informationen zu Seiten-Insights-Daten“ entsprechend informiert – diese finden sich auf der jeweiligen Fanpage verlinkt.
Was müssen Fanpage-Betreiber nun tun?
Auch mit der erforderlichen Vereinbarung gemäß Art. 26 DSGVO bestehen weitere Anforderungen, die der Fanpage-Betreiber erfüllen muss, um nicht Gefahr zu laufen abgemahnt zu werden. Hierzu gehört insbesondere die vollständige Erfüllung der Informationspflichten, für die er - gemäß der Vereinbarung mit Facebook – weiterhin verantwortlich bleibt. Hier einige Auszüge aus der Vereinbarung:
„….Facebook Ireland stimmt zu, die primäre Verantwortung gemäß DSGVO für die Verarbeitung von Insights-Daten zu übernehmen und sämtliche Pflichten aus der DSGVO im Hinblick auf die Verarbeitung von Insights-Daten zu erfüllen (u. a. Artikel 12 und 13 DSGVO, Artikel 15 bis 22 DSGVO und Artikel 32 bis 34 DSGVO). Darüber hinaus wird Facebook Ireland das Wesentliche dieser Seiten-Insights-Ergänzung den betroffenen Personen zur Verfügung stellen….“
Achtung Fanpage-Betreiber, weiter heißt es: „Du solltest sicherstellen, dass du eine Rechtsgrundlage für die Verarbeitung von Insights-Daten gemäß DSGVO hast, den Verantwortlichen für die Verarbeitung der Seite benennst und jedwede sonstigen geltenden rechtlichen Pflichten erfüllst.“
Wir empfehlen daher die Ergänzung der Facebook Fanpage um die Datenschutzerklärung. Diese sollte direkt in der Fanpage selbst eingefügt werden. Zu den Angaben gehören dabei u.a. Name und Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters; Kontaktdaten des Datenschutzbeauftragter (sofern bestellt); Benennung der Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen und der Rechtsgrundlage auf Basis derer die Verarbeitung erfolgt (sofern einschlägig, entsprechende Ausführungen zum berechtigten Interesse gem. Art. 6 Abs.1 lit.f DSGVO); Link zu den Informationen zu den Seiten Insights.