Gemeinsame Verantwortung bei Facebook-Fanpages

Beitrag verfasst von Dr. Claudia Gabauer am 01.04.2019 – KTR-Newsletter April 2019
EuGH 5. 6. 2018, C-210/16 – Teil II

Frau Dr. Claudia Gabauer, LL.M. hat für den letzten und diesen Newsletter eine Zusammenfassung der Facebook-Fanpage-Problematik erstellt, hier ist nun Teil II: 

Facebook-Fanpages – Seiten-Insights-Ergänzung

Im letzten Newsletter wurde die Entscheidung des EuGH zur Gemeinsamen Verantwortlichkeit von Fanpage-Betreibern und Facebook skizziert (vgl. EuGH 5.6.2018, C-210/16, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein/Wirtschaftsakademie Schleswig Holstein GmbH). Als Reaktion auf dieses Urteil veröffentlichte Facebook Ireland („Facebook“) das sogenannte „Page Insights Controller Addendum“ bzw. „Seiten-Insights-Ergänzung“, mit der dem Erfordernis einer „Joint Controller“-Vereinbarung nach Art 26 DSGVO entsprochen werden soll.

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit äußerte im November 2018 Bedenken, dass die bisher von Facebook zur Verfügung gestellten Informationen und die Seiten-Insights-Ergänzung ausreichen würden, um Rechenschaft über die Rechtmäßigkeit der Verarbeitung von Daten von Fanpage-Besuchern ablegen zu können. Gleichzeitig kündigte die Berliner Beauftragte für Datenschutz und Informationsfreiheit umfassende Prüfungen des Betriebs von Facebook-Fanpages bei Unternehmen und Organisationen an und veröffentlichte jenen Fragenkatalog, der auch im Anhörungsverfahren Anwendung findet und den jeder Betreiber einer Facebook-Fanpage – ungeachtet einer Prüfung durch die zuständige Aufsichtsbehörde – beantworten können sollte.

Seiten-Insights-Ergänzung als wirksame Art 26-Vereinbarung?

Zunächst ist klarzustellen, dass sich die Seiten-Insights-Ergänzung ausschließlich auf die Verarbeitung von sogenannten „Insights-Daten“ der Fanpage bezieht, nicht hingegen auf jegliche Datenverarbeitung im Zusammenhang mit der Fanpage. Während für die Verarbeitung von Insights-Daten eine gemeinsame Verantwortung von Facebook und den Fanpage-Betreiber vorliegt, ist der Fanpage-Betreiber für die Verarbeitung anderer Daten auf seiner Fanpage grundsätzlich allein Verantwortlicher.

Die Seiten-Insights-Ergänzung verpflichtet den Fanpage-Betreiber zuzustimmen, „dass nur Facebook Ireland Entscheidungen hinsichtlich der Verarbeitung von Insights-Daten treffen und umsetzen kann“. Darüber hinaus entscheidet Facebook „nach seinem alleinigen Ermessen, wie es seine Pflichten gemäß dieser Seiten-Insights-Ergänzung erfüllt“. Nach der Legaldefinition gemäß Art 4 Z 7 DSGVO ist Verantwortlicher, wer „allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Die gemeinsame Verantwortlichkeit setzt daher eine gemeinsame Entscheidung über die Zwecke und Mittel der Verarbeitung voraus. Daran vermag auch der Umstand nichts zu ändern, dass der EuGH in seiner Entscheidung zu Facebook-Fanpages klargestellt hat, dass nicht jeder Verantwortliche Zugang zu den betreffenden personenbezogenen Daten haben muss. Ob die gemeinsame Entscheidungsbefugnis durch eine Joint-Controller-Vereinbarung nach Art 26 DSGVO abbedungen werden kann, ist kritisch zu hinterfragen. Im Ergebnis ist es daher zweifelhaft, ob eine alleinige Entscheidungshoheit von Facebook über die Verarbeitung der Insights-Daten mit der Konzeption der gemeinsamen Verantwortlichkeit nach der DSGVO vereinbar ist.

Rechtmäßigkeit der Verarbeitung von sogenannten „Insights-Daten“?

Facebook verpflichtet den Fanpage-Betreiber sicherzustellen, dass dieser über eine Rechtsgrundlage für die Verarbeitung von Insights-Daten verfügt, den Verantwortlichen benennt und jedwede sonstigen geltenden rechtlichen Verpflichtungen erfüllt. Fanpage-Betreiber müssen daher sowohl in ihrer verpflichtenden Datenschutzinformation als auch gegenüber der Datenschutzbehörde eine Rechtsgrundlage für die Verarbeitung von Insights-Daten benennen können. Als Rechtsgrundlage kommt faktisch nur eine Einwilligung der betroffenen Personen in Betracht, da berechtigte Interessen iSd Art 6 Abs 1 lit f DSGVO nach herrschender Meinung bei der Verarbeitung von personenbezogenen Daten durch Cookies – die auch im Fall der Verarbeitung von Insights-Daten eingesetzt werden – nicht ins Treffen geführt werden können. Das Erfordernis einer wirksamen Einwilligung ist wohl nach der aktuellen Ausgestaltung von Fanpages nicht erfüllt:

  1. a) Registrierte Facebook-Nutzer

Der Verein „NOYB – Europäisches Zentrum für digitale Rechte“ reichte Beschwerde gegen Facebook ein, da die Einwilligung in die Nutzungsbedingungen von Facebook gegen die Anforderungen gemäß Art 4 Z 11, Art 6 Abs 1 lit a, Art 7 und/oder Art 9 Abs 2 lit a DSGVO verstoßen würden (zur Beschwerde siehe hier). Ob die Einwilligung von registrierten Facebook-Nutzern die Verarbeitung von Insights-Daten legitimiert, sollte daher bis zum Ausgang des Verfahrens kritisch betrachtet werden.

  1. b) Nicht registrierte Fanpage-Besucher

Der EuGH betonte, dass auch personenbezogene Daten von Fanpage-Besuchern, die über kein Facebook-Benutzerkonto verfügen, verarbeitet werden und dass bereits das bloße Aufrufen der Fanpage automatisch die Verarbeitung ihrer personenbezogenen Daten auslöst (vgl. EuGH 5.6.2018, C-210/16, Rz 41). Auch die deutsche Datenschutzkonferenz differenziert zwischen registrierten Facebook-Nutzern und Nicht-Mitgliedern von Facebook und fordert in ihrem Anhang zum Beschluss vom 5. September 2018 betreffend „Facebook-Fanpages“ sowohl Facebook als auch Fanpage-Betreiber explizit auf, die für die Legitimierung der Verarbeitung von personenbezogenen Daten von Nicht-Mitgliedern erforderliche Rechtsgrundlage zu benennen (zum Beschluss siehe hier).

Eine Einwilligung könnte etwa durch einen Cookie-Banner eingeholt werden, der auch technisch gewährleistet, dass erst nach wirksamer Einwilligung durch den Fanpage-Besucher Cookies gesetzt und personenbezogene Daten verarbeitet werden. Der Umstand, dass Facebook die Implementierung eines Cookie-Banners technisch nicht oder nur eingeschränkt ermöglicht, ändert nichts an der gesetzlichen Verpflichtung der Fanpage-Betreiber. Auch das Landesverwaltungsgericht Niederösterreich verwarf kürzlich den Einwand eines Seiten-Administrators, dass Facebook die Schaltung eines Impressums technisch nicht zulasse und hielt ausdrücklich fest, dass die faktischen Gegebenheiten nichts an der gesetzlichen Verpflichtung ändern und daher nicht von der Offenlegungsverpflichtung nach § 25 Mediengesetz befreien (vgl. LVwG NÖ 13.12.2018, LVwG-S-1598/001-2018).

Conclusio

Mit der Seiten-Insights-Ergänzung soll nunmehr die nach Art 26 DSGVO zwingend erforderliche Vereinbarung zwischen Facebook und den Fanpage-Betreibern als gemeinsam Verantwortliche geschaffen werden. Diese Vereinbarung weist jedoch einige Rechtsunsicherheiten sowie nachteilige Klauseln zulasten des Fanpage-Betreibers auf. Die Seiten-Insights-Ergänzung kann auch nicht das Defizit beseitigen, dass für die Verarbeitung von Insights-Daten mit Hilfe von Cookies mangels wirksamer Einwilligungserklärung keine Rechtsgrundlage existiert.

Sofern Betreiber von Facebook-Fanpages etwa aus unternehmerischen Gründen nicht auf ihre Fanpage verzichten möchten, sollten diese zumindest folgende risikominimierende Maßnahmen treffen:

– Die Fanpage-Betreiber müssen ungeachtet der Seiten-Insights-Ergänzung eine Datenschutzinformation auf ihrer Fanpage bereitstellen, die unter dem Menüpunkt „Info“ als „Datenrichtlinie“ oder im Impressum als Link implementiert werden kann. Die Datenschutzinformation sollte insbesondere auch jene Informationen nach Art 13 und Art 14 DSGVO bereitstellen, die Facebook nicht oder nur unvollständig offenlegt.

– Fanpage-Betreiber sind verpflichtet, die Verarbeitung von personenbezogenen Daten im Rahmen ihrer Fanpage in ihr Verarbeitungsverzeichnis nach Art 30 DSGVO aufzunehmen.

– Fanpage-Betreiber sollten in der Lage sein, den aus 15 Fragen bestehenden Fragenkatalog der Berliner Datenschutzbeauftragten beantworten zu können. Dieser Fragenkatalog beschäftigt sich u.a. mit der rechtlichen Qualifikation der Seiten-Insights-Ergänzung, dem Zweck und der Rechtsgrundlage für die Verarbeitung von sogenannten „Insights-Daten“, der Speicherdauer von Cookies sowie dem Umgang mit Betroffenenrechte durch Facebook und den Fanpage-Betreiber. Weiters sollte der Fanpage-Betreiber eine Definition und eine abschließende Auflistung der sogenannten „Insights-Daten“ bereitstellen können. Der ausgefüllte Fragebogen kann als Maßnahme zur Dokumentation der eigenen Rechenschaftspflicht für den Betrieb der Facebook-Fanpage herangezogen werden.

Auch wenn Mark Zuckerberg kürzlich eine auf „Datenschutz ausgerichtete Vision für Social Networking“ proklamiert hat (siehe hier), sollten Fanpage-Betreiber sich Ihrer datenschutzrechtlichen Verantwortlichkeit und des Risikos für Facebook-Fanpages bewusst sein und risikominimierende Maßnahmen treffen. Bei Bedarf können wir Sie bei der Umsetzung dieser Maßnahmen gerne unterstützen. Wir haben schon entsprechende Vorlagen entwickelt.

Facebook Custom Audience

Neben Facebook-Fanpages stehen auch andere Facebook-Tools im Fokus der datenschutzrechtlichen Rechtsprechung: Der Bayerische Verwaltungsgerichtshof hat den Einsatz des Marketing-Tools „Facebook Custom Audience“ ohne Einwilligung der betroffenen Personen für unzulässig erklärt (Beschluss VGH München, 26.9.2018, 5 CS 18.1157). Bei dieser Funktion können Unternehmen Kundendaten an Facebook übermitteln, um diese Daten mit Facebook-Nutzern abgleichen und im Anschluss zielgruppenspezifische Werbeanzeigen für die registrierten Kunden schalten zu können. Unternehmen, die Facebook Custom Audience nutzen, müssen daher eine Einwilligung der betroffenen Personen nachweisen können.

Artikel drucken

Beiträge

Newsletter Apr 2019

Gemeinsame Verantwortung bei Facebook-Fanpages

Frau Dr. Claudia Gabauer, LL.M. hat für den letzten und diesen Newsletter eine Zusammenfassung der Facebook-Fanpage-Problematik erstellt, hier ist nun Teil II:

Verhaltensregeln nach DSGVO

Es ist aktuelles Thema vieler Branchentreffen: Datenschutzrechtliche Verhaltensregeln.

Aktuelle Seminare

Die datenschutzrechtl. Folgen des Brexit

Grundsätzlich bestehen zwei mögliche Szenarien, wobei angesichts der aktuellen politischen Entwicklungen ein ungeregelter Austritt (sogenannter „No-Deal-Brexit“) wahrscheinlich ist.

Österr. DSGVO-Song von deutscher Datenschutzbehörde verfilmt

Im Mai 2018 hat die Singer-Songwriterin Flickentanz auf Youtube ein Spaß-Anleitungslied über die Datenschutzgrundverordnung veröffentlicht.