Datenschutz bei Facebook-Fanpages: Wer ist denn jetzt verantwortlich – und wofür eigentlich?

„Datenschützer raten: Facebook-Fanseiten notfalls runterfahren“ – „Abmahn-Gefahr durch  EuGH-Urteil“ – „Abschalten der Fanpages derzeit einzige rechtskonforme Lösung”: So und ähnlich titelten im Juni 2018 zahlreiche Medien nach einem viel beachteten Urteil des Europäischen Gerichtshofs. Demzufolge sollten die Betreiber einer Facebook-Fanpage künftig eine Mitverantwortung beim Datenschutz tragen. Das sorgte bei vielen Unternehmen, aber auch unter Bloggern und Influencern für Aufruhr – und veranlasste nicht wenige dazu, ihre Fanpages sicherheitshalber erst einmal offline zu nehmen. Sie wollten schließlich nicht für Facebooks mögliche Datenschutzverstöße mithaften und einer Abmahn-Welle mit hohen Bußgeldern zum Opfer fallen.

Ein Dreivierteljahr später ist klar: So schlimm ist es nicht gekommen. Facebook, und damit auch Instagram und Whatsapp, besteht und wächst – aller Skandale zum Trotz – stetig weiter. Auch die meisten Fanpages existieren noch bzw. wieder. Dennoch herrscht nach wie vor viel Unklarheit. Für Unternehmen, die in den Social Media rechtssicher unterwegs sein möchten, bleibt eine zentrale Frage: Wofür bin ich beim Datenschutz auf meiner Fanpage verantwortlich – und wie werde ich dieser Verantwortung gerecht?

 

Was bisher geschah

Um diese Frage zu beantworten, müssen wir noch einmal einen Blick zurückwerfen und rekonstruieren, was das Urteil des EuGH konkret bedeutet und was seitdem weiter geschehen ist. „Der Betreiber einer Facebook-Fanpage ist gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich“, hieß es in der Pressemitteilung des EuGH. Daraus folgte für die beiden verantwortlichen Parteien: Sie müssen in einer gemeinsamen Vereinbarung in transparenter Form festlegen, wer welche Verpflichtung erfüllt. Insbesondere muss in diesem Vertrag geklärt sein, wer die Verantwortung für die Datenschutzrechte der betroffenen Personen – den Besuchern der Facebook-Fanpage etwa – und für die Informationspflicht gemäß DSGVO übernimmt.

Das Problem daran: Wenn selbst die Finanzbehörden dieser Welt regelmäßig daran scheitern, mit dem Tech-Giganten Kontakt aufzunehmen, wie sollte das etwa dem Social-Media-Verantwortlichen eines kleinen regionalen Mittelständlers gelingen? Schnell war klar: Eine solche Vereinbarung konnte nur von Seiten Facebooks kommen. Facebook jedoch glänzte in der öffentlichen Debatte wie so oft durch Abwesenheit und tat monatelang erst einmal: garnichts.

Im September 2018 reichte es den deutschen Aufsichtsbehörden dann. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) stellte per Beschluss vom 5. September 2018 fest, dass das Betreiben einer Fanpage ohne Abschluss der geforderten Vereinbarung tatsächlich rechtswidrig sei. Zwar hat ein solcher Beschluss der DSK keinerlei rechtliche Bindungswirkung. Dennoch machte er die Auffassung der Aufsichtsbehörden deutlich und setzte Facebook unter Druck. Schließlich war die Gefahr groß, dass den Unternehmen ihre Fanpage nun rechtlich zu riskant würde, um sie weiter zu betreiben. Damit hätte Facebook sie auch als zahlungskräftige Werbekunden verloren.

Also entschied sich Facebook kurz nach Veröffentlichung des Beschlusses dazu, endlich für mehr Rechtssicherheit zu sorgen. Das Unternehmen veröffentlichte den geforderten Vertrag in Form des sogenannten „Page Controller Addendum“. Darin übernimmt Facebook die Verantwortung für die sogenannten Insights-Daten, das sind die Nutzungsstatistiken der Fanpage. Facebook stellt den Nutzern außerdem auf jeder Fanpage „Informationen zu Seiten-Insights-Daten“ zur Verfügung, in denen die Nutzer über die verarbeiteten Daten und die gemeinsame Verantwortung informiert werden. Diese Ergänzung ist nun Teil der AGBs von Facebook und wird automatisch mit dem Betreiber einer Fanpage abgeschlossen, wenn dieser die durch Facebook angebotenen Seiten-Insights nutzt – was man nach derzeitigem technischen Stand nicht nicht tun kann.

 

Was jetzt zu tun ist

So weit, so gut. Aber ist man als Fanpage-Betreiber durch den automatischen Abschluss der erforderlichen Vereinbarung wieder aus der Verantwortung entlassen? Nicht ganz. Im Addendum relativiert Facebook nämlich seine Verantwortlichkeit hinsichtlich solcher Pflichten, die nur der Betreiber der Fanpage erfüllen kann. Dieser muss weiterhin bestimmte datenschutzrechtliche Anforderungen gemäß DSGVO beachten, die insbesondere Informationspflichten betreffen. Hier könnte bei unvollständigen Informationen tatsächlich eine Abmahnung drohen.

Daraus ergeben sich zwei zentrale To-Dos für den Betreiber einer Facebook-Fanpage:

 

  1. Die Fanpage um eine eigene Datenschutzerklärung ergänzen.

Das kann zum Beispiel durch Verlinkung auf die Datenschutzerklärung der eigenen Website geschehen. Juristisch sicherer ist es jedoch, die Erklärung direkt in die Fanpage zu integrieren, wo Nutzer sie ohne Umwege einsehen können.  Bis Facebook hierfür eine spezifischere Lösung anbietet, kann zum Einbetten der Datenschut-zerklärung zum Beispiel die „Notiz“-Funktion auf der Fanpage genutzt werden.

 

  1. In die Datenschutzerklärung auf der eigenen Website einen Abschnitt zur Facebook-Fanpage aufnehmen.

 

Beide Erklärungen sollten zumindest die folgenden Hinweise enthalten:

  • Den Namen und die Kontaktdaten des Verantwortlichen (ggf. auch die des Vertreters oder des Datenschutzbeauftragten)
  • Den Verweis auf die gemeinsame Verantwortlichkeit, die nach Artikel 26 DSGVO zwischen Facebook und dem Fanpage-Betreiber besteht, inklusive Link zum „Page Controller Addendum“
  • Eine Erläuterung,
  • welche personenbezogenen Daten man über Cookies und Insights durch Facebook erhält,
  • wie diese Daten verarbeitet werden (z.B. statistische Auswertung),
  • wofür sie genutzt werden (z.B. um die Beiträge auf der Fanpage attraktiver zu gestalten)
  • und auf welcher Rechtsgrundlage dies geschieht (Artikel 6 Absatz 1 f) DSGVO, „Berechtigte Interessen“)

 

Fazit: Welche Risiken bleiben?

Der EuGH hat den Fall, über den er entschieden hat, zurück an das Bundesverwaltungsgericht verwiesen. Ein Urteil steht noch aus. Zudem haben auch die deutschen Aufsichtsbehörden bislang noch nicht bestätigt, ob das Page Controller Addendum den formellen Anforderungen genügt. Es ist daher aktuell noch immer offen, ob man Fanpages rechtswirksam betreiben kann. Eine gewisse Skepsis bleibt für Unternehmen aus guten Gründen angebracht und die weitere Entwicklung sollte aufmerksam verfolgt werden.

Wer jedoch, wie oben beschrieben, eine eigene Datenschutzerklärung auf seiner Fanpage vorhält, verringert das Risiko einer Abmahnung ganz beträchtlich. Ohnehin halten sich die Abmahnkanzleien derzeit noch sehr zurück, was sicherlich auf die vielen noch ungeklärten Fragen zurückzuführen ist. So hat das ganze Chaos doch immerhin etwas Gutes.