Datenschutzbehörden nehmen Stellung zum Fanpage Urteil des EuGH und erweitern Anforderungen an Facebookseiten ganz erheblich

Nachdem der Europäische Gerichtshof in seinem viel beachteten und diskutierten Urteil vom 05.06.2018 von einer Mitverantwortlichkeit der Fanpagebetreiber mit der Datenverarbeitung auf Facebook ausgegangen war, hat nun die Datenschutzkonferenz, als Zusammenschluss der deutschen Datenschutzbehörden, in beeindruckender Schnelligkeit und bedenklicher Konsequenz mit Entschließung vom 07.06.2018 zu der hieraus aus ihrer Sicht erwachsenden Rechtslage Stellung genommen.

A. Entschließung der Datenschutzkonferenz zu den Anforderungen an Fanpages

In der aktuellen Entschließung wird festgestellt:

  • Wer eine Fanpage besucht, muss transparent und in verständlicher Form darüber informiert werden, welche Daten zu welchen Zwecken durch Facebook und die Fanpage-Betreiber verarbeitet werden. Dies gilt sowohl für Personen, die bei Facebook registriert sind, als auch für nicht registrierte Besucherinnen und Besucher des Netzwerks.
  •  Betreiber von Fanpages sollten sich selbst versichern, dass Facebook ihnen die Informationen zur Verfügung stellt, die zur Erfüllung der genannten Informationspflichten benötigt werden.
  •  Soweit Facebook Besucherinnen und Besucher einer Fanpage durch Erhebung personenbezogener Daten trackt, sei es durch den Einsatz von Cookies oder vergleichbarer Techniken oder durch die Speicherung der IP-Adresse, ist grundsätzlich eine Einwilligung der Nutzenden erforderlich, die die Anforderung der DSGVO erfüllt.
  •  Für die Bereiche der gemeinsamen Verantwortung von Facebook und Fanpage-Betreibern ist in einer Vereinbarung festzulegen, wer von ihnen welche Verpflichtung der DSGVO erfüllt. Diese Vereinbarung muss in wesentlichen Punkten den Betroffenen zur Verfügung gestellt werden, damit diese ihre Betroffenenrechte wahrnehmen können.

Bis auf einen Punkt liege ich mit meiner Einschätzung von gestern, die die rechtlichen Hintergründe und konkrete Handlungsempfehlungen zusammenfasst, nicht so schlecht.

Die Datenschutzkonferenz hält nämlich zunächst

  • die Integration einer eigene Datenschutzerklärung für die Facebookseite, die über die dortige Datenverarbeitung aufklärt und
  • den Abschluss eines Joint Controllership Agreements (= Vereinbarung über eine gemeinsame Verantwortung) im Sinne von Art. 26 DSGVO mit Facebook

für erforderlich.

Während man den ersten Punkt noch einigermaßen sinnvoll erfüllen kann, liegt der „Ball“ bezüglich des Angebotes einer Vereinbarung über eine gemeinsame Verantwortung, die die Verantwortlichkeiten von Facebook und dem Fanpagebetreiber eindeutig regelt, klar bei Facebook (siehe dazu auch den instruktiven Beitrag der Kollegin Nina Diercks „Update: Entschließung der DSK zum EuGH-Urteil C-210/16 im Hinblick auf eine gemeinsame Veranwortung von Facebook und Seitenbetreibern“)..

Neu und kritisch könnte die Aussage werden, dass bei Tracking der Besucher der Fanpage über die IP-Adresse oder ähnliche Techniken grundsätzlich eine DSGVO-konforme Einwilligung vorzuliegen hat.

Soweit man bei entsprechendem Tracking tatsächlich stets eine Einwilligung für erforderlich hält, was derzeit zahlreiche rechtliche Stellungnahmen und auch Kommentare anders sehen, stellt sich nämlich die Frage, ob hierfür auch der Fanpagebetreiber rechtlich verantwortlich gemacht werden können soll. Faktisch wird er selbst wohl keine Möglichkeit haben, eine Einwilligung für das Tracking von Facebook einzuholen.

Aus rechticher Sicht ist zunächst zu sagen, dass derzeit eben sehr umstritten ist, ob man für das vorgenannte Tracking tatsächlich auch jeweils eine Einwilligung braucht oder ob für Tracking auf Facebook selbst nicht auch eine Legitimation über berechtigte Interessen ausreicht (siehe hierzu ausführlich der Beitrag „Ist Tracking und Targeting nach dem 25.05.2018 nur noch mit Einwilligung erlaubt ?“). Wenn die hier geäußerte, aber eben umsrittene Rechtsauffassung der Datenschutzkonferenz nämlich nicht richtig ist, braucht der Fanpagebetreiber natürlich auch keine Einwilligung. Das ein Tracking angemeldeter Facebooknutzer auf Fanpages über berechtigte Interessen (Art. 6 Abs.1 f. DSGVO) legitimiert werden kann, halte ich für denkbar. Dann würde es genügen, in der eigenen Datenschutzerklärung gemäß Art. 13 DSGVO über die Datenverarbeitung auf der Fanpage zu informieren.

Unabhängig davon stellt sich die Frage, ob die Facebooknutzer, die auf den Fanpages getrackt werden, nicht ohnehin bei der Registrierung (oder bei der kürzlich erfolgten neuen Zustimmung zu den Privatsphäreeinstellungen) wirksam in dieses Tracking eingewilligt haben. Wenn die Einwilligung in die Geltung der Facebook Datenschutzrichtlinie bzw. der Cookie Richtlinie nämlich entsprechend Art. 6 Abs.1 lit.a DSGVO wirksam von Facebook eingeholt worden ist, was im Detail zu prüfen wäre, muss das natürlich auch der Fanpagebetreiber nicht (mehr) tun.

Zusammenfassend bestehen also durchaus gute Ansätze das Szenario, dass der Fanpagebetreibetr auch noch das Vorliegen einer hinreichenden Einwilligung sicherzustellen habe, in Frage zu stellen.

Schließlich ist auch die Stellungnahme der Datenschutzkonferenz so formuliert, dass nicht ganz klar ist, ob bzw. wie der Fanpagebetreiber für das Fehlen einer DSGVO-konformen Einwilligung rechtllich verantwortlich gemacht werden können soll. Hier wird hoffentlich die dem EuGH folgende Entscheidung des Bundesverwaltungsgerichts in Sachen ULD ./. Wirtschaftsakademie Schleswig-Holstein Klarheit bringen.

B. Zusammenfassung und Handlungsempfehlungen

Man sieht, es wird leider alles nicht einfacher.

Tatsächlich ist es nämlich sogar so, dass sich die aktuelle Problemstellung bei Facebook identisch auf alle anderen Social Media Plattformen, die auf den jeweiligen Nutzerseiten tracken (wie z.B. Youtube, Instagram), identisch übertragen lässt.

Betreiber von Fanpages und anderen entsprechenden Social Media Präsenzen sollten nun im Rahmen einer Risikoabwägung entscheiden, ob die jeweiligen Präsenzen weiter betrieben werden sollen. Hierbei wird entscheidend sein, ob man tatsächlich von dem postulierten Einwilligungserfordernis bei Tracking auf Facebookseiten ausgeht bzw. die wirksame Einholung einer Einwilligung seitens Facebook annimmt. Letzteres wäre genauer zu prüfen.

Gegebenenfalls sollten die mitgeteilten Maßnahmen – soweit möglich – umgesetzt werden. Fanpagebetreiber sollte also zumindest eine Art. 13 DSGVO entsprechende Datenschutzerklärung in den eigenen Fanpages aufnehmen.

Ansonsten besteht seitens Facebook nun dringender Handlungsbedarf. Der schnellste Weg wäre wohl, wenn Facebook das Tracking auf Fanpages so gestaltet, dass der Betreiber es abschalten und die gemeinsame Verantwortung wohl so vermeiden könnte.

Ansonsten sollte Facebook seine Fanpagebetreiber, die dem Unternehmen hinreichend wichtig sein sollten, unverzüglich mit den notwendigen Informationen ausstatten, damit diese

  • Ihren Informationspflichten nachkommen
  • eine Vereinbarung über die gemeinsame Verantwortung (sog. Joint Controllership Agreement) abschließen können.

Soweit man annimmt, dass das Tracking auf den Fanpages nicht ohnehin über eine bestehenden Einwilligung der Nutzer (Art. 6 Abs.1 a DSGVO) oder berechtigte Interessen (Art.6 Abs.1 f DSGVO) legitimiert ist, könnt Facebook möglicherweise auch noch eine entsprechende Funktion zur Verfügung stellen. Dies erscheint mir aber eher unrealistisch.

Man wird sehen, ob die Datenschutzbehörden die Forderungen nun durchsetzen. Sollte man tatsächlich diesen Weg beschreiten wollen, wird dies im ersten Schritt wohl nicht mit Bußgeldern, sondern mit Unterlassungsverfügungen geschehen.

Gegebenenfalls wird wohl ein betroffenenes Unternehmen (hoffentlich) Widerspruch einlegen und ein Gericht mit der Frage befasst werden, ob die Rechtsauffassung der Datenschutzkonferenz, die man aus meiner Sicht auf verschiedenen Ebenen kritisch in Frage stellen kann, tatsächlich richtig ist.

Die Strategie der Datenschutzbehörden ist ganz offensichtlich, den Druck auf Facebook über Fanpage-Betreiber zu erhöhen. Auch wenn dieser Ansatz durchaus zum Erfolg führen könnte, in dem Facebook auf entsprechenden Druck Änderungen vornimmt, halte ich einen solchen „Stellvertreterkrieg“ für durchaus problematisch.

Mit der Datenschutzgrundverordnung haben Datenschutzbehörden jetzt hinreichende Möglichkeiten, um die Umsetzung der Vorgaben der DSGVO direkt bei Facebook durchzusetzen. Da erscheint es tatsächlich unglücklich, die nachvollziehbaren datenschutzrechtlichen Bedenken gegen Facebook „auf den Rücken“ der Fanpagebetreiber auszutragen.

Wie schon in meinem letzten Blogbeitrag erläutert, wird es noch entscheidend auf das Urteil des Bundesverwaltungsgerichtes ankommen, welches die Folgen der vom EuGH angenommenen Mitverantwortung noch aus gerichtlicher Sicht interpretieren wird.

Es bleibt zu hoffen, dass die Anwendung des EuGH-Urteils nicht der strengen Auslegung der Datenschutzkonferenz entspricht.

Gerne stehen wir bei weitergehenden Fragen oder Interesse an einem entsprechenden Inhouse Workshop telefonisch unter +49 (0) 711 860 40 025 oder via E-Mail carsten.ulbricht@menoldbezler.de zur Verfügung.

Trackbacks

  1. […] Recht 2.0: „Datenschutzbehörden nehmen Stellung zum Fanpage Urteil des EuGH und erweitern Anforderungen … […]

  2. […] Folgen aus dem Urteil nun doch umzusetzen. Auch wenn ich diesen „Stellvertreterkrieg“ bereits in einem früheren Beitrag kritisiert habe, erscheint es durchaus wahrscheinlich, dass Facebook nun zeitnah reagiert. Es sollte […]

Speak Your Mind

*

Sicherheitsfrage *