Datenschutz: Betrieb von Facebook-Fanpage weiterhin nicht datenschutzkonform möglich

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat am 01.04.2019 ein neues Positionspapier veröffentlicht und darin erneut Stellung zum Thema Facebook-Fanpages genommen. Danach ist ein Betrieb von Facebook-Fanpages weiterhin nicht datenschutzkonform möglich.

Rückblick

In seinem Urteil vom 05.06.2018 (Az.: C-210/16) hat der EuGH festgestellt, dass Betreiber von Facebook-Fanpages gemeinsam mit dem Plattformbetreiber Facebook für die dort erfolgende Datenverarbeitung verantwortlich sind.

Das Urteil hatte unmittelbare Bedeutung für alle Betreiber von Facebook-Fanpages mit sich gebracht. Für einen zulässigen und risikofreien Betrieb der Pages musste zwischen dem Fanpage-Betreiber und Facebook ein Vertrag über die gemeinsame Verantwortung nach Art. 26 DSGVO geschlossen werden. Facebook stellt  seit Anfang September ein sogenanntes Page Insights Controller Addendum (PICA) zur Verfügung. Dieses PICA soll der nach Art. 26 DSGVO geforderten Vereinbarung über die gemeinsame Verantwortlichkeit entsprechen.  

Die Rechenschaftspflicht der gemeinsam Verantwortlichen

Bereits in ihrem Beschluss vom 05.09.2018 hat die DSK Stellung zum EuGH-Urteil genommen und deutlich gemacht, dass Fanpage-Betreiber die Rechtmäßigkeit der gemeinsam zu verantwortenden Datenverarbeitung gewährleisten und die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten aus Art. 5 Abs. 1 DSGVO nachweisen müssen. In ihrem nun veröffentlichten Positionspapier äußert sich die DSK zu Facebook’s PICA mit dem Ergebnis, dass dieses die Anforderungen nach Art. 26 DSGVO nicht erfülle.

Weder könne es sein, dass sich Facebook die alleinige Entscheidungsmacht hinsichtlich der Verarbeitung der Insights-Daten einräumen lasse, noch würden die Verarbeitungen hinreichend konkret und transparent dargestellt. Eine Prüfung der Rechtsmäßigkeit der Verarbeitung von Insights-Daten sei dem Facebook-Fanpage Betreiber anhand der PICA nicht möglich.

Hier wird das Risiko für den Fanpage-Betreiber deutlich: Als gemeinsam mit Facebook Verantwortlicher haftet der Betreiber der Fanpage unter Umständen für eine Verarbeitungstätigkeit, die er nicht hinreichend durchschauen kann.  

Die DSK bekräftigt daher erneut die Rechenschaftspflicht der Fanpage-Betreiber. Die Grundsätze der Verarbeitung personenbezogener Daten müssen eingehalten und nachgewiesen werden können. Solange Facebook seine PICA nicht nachbessert und die Fanpage-Betreiber ihrer Verantwortung nicht gerecht werden können, ist ein datenschutzkonformer Betrieb der Fanpage weiterhin nicht möglich.

Was Facebook-Fanpage-Betreiber tun können

Fanpage-Betreiber, die weiterhin auf Facebook präsent sein möchten, sollten auf ihrer Fanpage zumindest eine Datenrichtlinie zur Verfügung stellen, die den Anforderungen des Art. 13 DSGVO gerecht wird und über die Verarbeitung der personenbezogenen Daten aus Sicht ihrer Verantwortlichkeit informiert.

Autorin: Eileen Binder, Wirtschaftsjuristin LL.B. & Beraterin im Datenschutz