Facebook reagiert auf die Entscheidung des EuGH in Sachen Fanpage-Betrieb und bietet eine Vereinbarung für Fanpage-Betreiber an, die sog. „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“, um eine DS-GVO-Konformität eines Fanpage-Betriebs zu ermöglichen.
Hintergrund
Der EuGH hatte mit Beschluss vom 05.06.2018 (Az.: C-210/16) entschieden, dass Datenschutzvorschriften nicht nur von Facebookden, sondern auch den Fanpage-Betreibern beachtet werden müssen, da beide gemeinsame Verantwortliche iSv. Art. 26 Abs. 1 Satz 1 DS-GVO seien. Grund für die gemeinsame Verantwortlichkeit und für die EuGH Entscheidung war, dass mit Facebook-Insights der Betreiber der Fanpage anonymisierte statistische Daten der Page-Nutzung einsehen konnte, wobei Facebook aber die Möglichkeit hatte, die Besucher zu identifizieren. Facebook-Insight ist fest integriert und nicht deaktivierbar. Damit die damit einhergehende Nutzung von personenbezogenen Daten aber rechtmäßig ist, müsse zwischen Facebook und den Fanpage-Betreibern eine Vereinbarung iSv. Art. 26 DSGVO geschlossen worden sein. Da dies bis vor kurzem ausgeblieben war, geriet vor allem Facebook ins Visier der Datenschutzkonferenz.
Nachdem Facebook durch die Datenschutzkonferenz und einem entsprechenden Pflichtenkatalog in Form eines Fragenkatalogs wiederholt in die Kritik geraten war, äußerte sich das Unternehmen in einer Pressemitteilung vom 11.09.2018 und versprach Veränderungen in Form einer Vereinbarung nach Art. 26 DSGVO:
“The CJEU found that, in certain circumstances, admins of Facebook Pages in the EU or EEA should be considered joint data controllers (“joint controllers”) with Facebook over data used to provide Page Insights. (…)
Next week, we will inform Page admins in the EU and the EEA to let them know that we are updating our Pages, Groups and Events Poli-cies to include a Page Insights Controller Addendum.”
(Quelle: https://www.facebook.com/business/news/updates-for-page-admins-in-the-eu-and-the-eea)
Ansatz von Facebook
Facebook bietet seit dem 12.09.2018 eine entsprechende Vereinbarung an. Unter folgender Seite kann diese abgerufen werden: https://www.facebook.com/legal/terms/page_controller_addendum
Es fällt zunächst ins Auge, dass Facebook die primäre Verantwortung übernimmt und zusätzlich die gemeinsame Verantwortung anerkennt. In diesem Zusammenhang erläutert Facebook, dass es im Hinblick auf die Verarbeitung der Daten, die durch Insights erhoben werden, die Vorgaben der DSGVO (u.a. Informationspflichten, Meldepflichten, Sicherheit der Datenverarbeitung) vollständig erfüllen möchte und deshalb diesbezüglich die Verantwortung übernimmt. Dafür verlangt das Unternehmen aber die Mitwirkung der Fanpage-Betreiber und zieht diese mit in die Verantwortung. So muss der Betreiber u.a.:
- eine Rechtsgrundlage für die Verarbeitung der Insights-Daten nach der DS-GVO sicherstellen bzw. festlegen
- einen Verantwortlichen für die Betreibung der Seite benennen
- wenn die von der Verarbeitung der Date betroffene Person oder die Aufsichtsbehörde Kontakt aufnimmt, unverzüglich mit
- einem vorgegeben „Formular“ Kontakt mit Fa-cebook aufnehmen und weitgehend zusammenarbeiten
- wenn die Seite gewerblich oder geschäftlich genutzt wird, Irland als Gerichtsstand anerkennen
Dem Betreiber muss auch klar sein, dass das Addendum dynamisch ist und von Facebook ergänzt bzw. geändert werden kann.
Umsetzung
Zu empfehlen wäre es, dass die Verpflichtungen in eine eigene Datenschutzerklärung des Fanpage-Betreibers eingepflegt werden. Das Szenario, dass Facebook eine Vorlage in Zukunft anbieten wird, ist nicht ausgeschlossen. Bis dahin sollten die Fanpage-Betreiber dringend ihre Datenschutzerklärung aktualisieren oder – wenn noch keine vorhanden ist – erstellen.
Wegen der Geltung der Vereinbarung über gemeinsame Verantwortlichkeit im Innenverhältnis zu Facebook muss ein Fanpage-Betreiber grundästzlich nichts weiter tun. Sobald eine Fanpage betrieben wird, stimmt man dem Addendum zu. Denn in der Seiten-Insights-Ergänzung heißt es:
„Wenn du in der Europäischen Union/im Europäischen Wirtschaftsraum wohnst und sofern diese personenbezogenen Daten unter deinem Einfluss und deiner Kontrolle (bzw. dem-/derjenigen irgendeines Dritten, für den du die Seite erstellst oder verwaltest) im Rahmen der Datenschutz-Grundverordnung (Verordnung (EU) 2016/679, „DSGVO“) verarbeitet werden, („Insights-Daten“), erkennst du in deinem eigenen Namen (und als Vertreter für jedweden sonstigen Dritt-Verantwortlichen, für den du die Seite erstellst oder verwaltest, und in dessen Namen) an und stimmst zu, dass diese Seiten-Insights-Ergänzung bezüglich des Verantwortlichen („Seiten-Insights-Ergänzung“) gilt: …“
Für die schon betriebenen Seiten heißt dies, dass Facebook diese wohlmöglich hierüber schon informiert hat und diese der Ergänzung dann bei weiterer Nutzung (konkludent) zustimmen. Alle neuen Betreiber stimmen, wie schon erwähnt, durch die Erstellung und das Betreiben der Seite dem Addendum zu.
Bewertung
Die Frage, die sich natürlich stellt, ist: sollte die Vereinbarung eingegangen bzw. der Facebook-Ansatz verfolgt werden? Dies kann derzeit nur mit einem klaren „Ja!“ beantwortet werden, auch wenn die sog. „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ nicht das „Gelbe vom Ei“ ist – insbesondere mit Blick auf den Fragenkatalog der Datenschutzkonferenz und der Nennung einer Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten durch den Betreiber. Der Ansatz ist zumindest der erste Schritt in Richtung DS-GVO-Konformität und jedenfalls besser als ohne jedweden Versuch einer Gegenmaßnahme gegen Art. 26 DSGVO zu verstoßen.
Quellen:
EuGH, Urt. v. 05.06.2018 – Az.: C-210/16
https://www.facebook.com/legal/terms/page_controller_addendum
https://www.facebook.com/business/news/updates-for-page-admins-in-the-eu-and-the-eea
