Datenschutz –Unzulässigkeit von Facebook-Fanpages

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat in einer erneuten Stellungnahme vom 01. April nochmals klargestellt, dass nach ihrer Auffassung der Betrieb einer Facebook-Fanpage-Seite auch weiterhin nicht datenschutzkonform möglich ist. Facebook habe zwar einen Join-Controller-Mustervertrag vorgelegt, das Vertragsmuster sei jedoch nicht ausreichendund müsse erheblich nachgebessert werden. Bis dahin, so die DSK, „ist ein datenschutzkonformer Betrieb einer Fanpage nicht möglich“.

Die Stellungnahmen der DSK haben zwar keinen verbindlichen Rechtscharakter, sie offenbaren aber, in welche Richtung die Aufsichtsbehörden die DS-GVO auslegen werden. Ob die Interpretation dann richtig oder falsch ist, müssen dann meistens die Gerichte entscheiden.

Auszug aus dem DSK-Beschluss zum Mustervertrag von Facebook:

„Diese von Facebook veröffentlichte „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ erfüllt nicht die Anforderungen an eine Vereinbarung nach Art. 26 DS-GVO. Insbesondere steht es im Widerspruch zur gemeinsamen Verantwortlichkeit gemäß Art. 26 DS-GVO, dass sich Facebook die alleinige Entscheidungsmacht „hinsichtlich der Verarbeitung von Insights-Daten“ einräumen lassen will.

Die von Facebook veröffentlichten Informationen stellen zudem die Verarbeitungstätigkeiten, die im Zusammenhang mit Fanpages und insbesondere Seiten-Insights durchgeführt werden und der gemeinsamen Verantwortlichkeit unterfallen, nicht hinreichend transparent und konkret dar. Sie sind nicht ausreichend, um den Fanpage-Betreibern die Prüfung der Rechtmäßigkeit der Verarbeitung der personenbezogenen Daten der Besucherinnen und Besucher ihrer Fanpage zu ermöglichen.“

Mit folgenden (leicht verkürzten) Feststellungen bekräftigt die Konferenz dann erneut die Rechenschaftspflicht der Fanpage-Betreiber und stellt fest:

„Jeder Verantwortliche benötigt für die Verarbeitungstätigkeiten, die seiner Verantwortung unterliegen, eine Rechtsgrundlage nach Art. 6 Abs. 1 DS-GVO und – soweit besondere Kategorien personenbezogener Daten verarbeitet werden – nach Art. 9 Abs. 2 DS-GVO. Dies gilt auch in den Fällen, in denen sie die Verarbeitungstätigkeiten nicht unmittelbar selbst durchführen, sondern durch andere gemeinsam mit ihren Verantwortlichen durchführen lassen.

Ohne hinreichende Kenntnis über die Verarbeitungstätigkeiten, die der eigenen Verantwortung unterliegen, sind Verantwortliche nicht in der Lage, zu bewerten, ob die Verarbeitungstätigkeiten rechtskonform durchgeführt werden. Bestehen Zweifel, geht dies zulasten der Verantwortlichen, die es in der Hand haben, solche Verarbeitungen zu unterlassen…

Die Konferenz weist daraufhin, dass sich die Zuständigkeit der jeweiligen Aufsichtsbehörden für Fanpage-Betreiber nach der DS-GVO richtet. Nach Art. 55 ff DS-GVO sind die Aufsichtsbehörden für Verantwortliche (wie z.B. Fanpage-Betreiber) in ihrem Hoheitsgebiet zuständig. Dies gilt unabhängig von den durch die DS-GVO vorgesehenen Kooperations- und Kohärenzmechanismen.“

Fazit

Sowohl Facebook als auch die Fanpage-Betreiber müssen ihrer Rechenschaftspflicht nachkommen. Die Datenschutzkonferenz erwartet, dass Facebook entsprechend nachbessert und die Fanpage-Betreiber ihrer Verantwortlichkeit entsprechend gerecht werden. Solange diesen Pflichten nicht nachgekommen wird, ist nach Auffassung der DSK ein datenschutzkonformer Betrieb einer Facebook-Fanpage nicht möglich.