– Gastbeitrag von RA Carsten Ulbricht –
Nachdem der Europäische Gerichtshof in seinem viel beachteten und diskutierten Urteil vom 05.06.2018 von einer Mitverantwortlichkeit der Fanpagebetreiber mit der Datenverarbeitung auf Facebook ausgegangen war, hat die Datenschutzkonferenz (DSK), als Zusammenschluss der deutschen Datenschutzbehörden, mit ihrem aktuellen Beschluss vom 05.09.2018 die Bewertung der daraus resultierenden Rechtslage erheblich verschärft.
In der Entscheidung geht die DSK nun davon aus, dass ein rechtskonformer Betrieb von Facebook Fanpages mangels einer Vereinbarung nach Art. 26 DSGVO über die gemeinsame Verantwortlichkeit (sog. Joint Controllership Agreement) derzeit nicht möglich ist.
Art. 26 DSGVO sieht den Abschluss einer solchen Vereinbarung bei mehreren Parteien, die gemeinsam über die Zweck und Mittel der Datenverarbeitung entscheiden, zwingend vor. Da der EuGH in dem oben benannten Urteil die gemeinsame Verantwortung des Fanpagebetreibers mit Facebook festgestellt hat, erscheint die mitgeteilte Position der Datenschutzbehörden grundsätzlich nachvollziehbar. Grund für die Annahme einer gemeinsamen Verantwortlichkeit war vor allem die Insights-Funktion, über die Fanpagebetreiber Daten und Nutzungsverhalten der Besucher der eigenen Fanpage auswerten können. Auch wenn man die Mitverantwortlichkeit, die primär aus diesem Faktor gründet, durchaus argumentativ in Frage stellen kann, wird man nach dem höchstrichterlichen Urteil nun aber von einer Mitverantwortlichkeit ausgehen müssen.
Direkt nach dem Urteil hatte die Datenschutzkonferenz in ihrem Beschluss vom 6.06.2018 die Konsequenzen aus dem Urteil bereits deutlich gemacht. So war auch der Abschluss eines solchen Joint Controllership Agreements Facebook eindeutig „ins Hausaufgabenheft“ geschrieben worden.
Dementsprechend hatte Facebook am 15.06.2018 mit einer Meldung unter der Überschrift „Ein Update für Betreiber von Facebook-Seiten“ angekündigt, „die notwendigen Schritte zu unternehmen, um es den Seitenbetreibern zu ermöglichen, ihren rechtlichen Verpflichtungen nachzukommen.“
Nachdem nun 3 Monate nach dem Urteil ohne die angekündigten Anpassungen vergangen sind, ziehen die Datenschutzbehörden die „Daumenschrauben“ mit dem Beschluss erheblich an. Ganz offensichtlich soll der Druck auf die Fanpagebetreiber Facebook dazu bewegen, die datenschutzrechtlichen Folgen aus dem Urteil nun doch umzusetzen. Auch wenn ich diesen „Stellvertreterkrieg“ bereits in einem früheren Beitrag kritisiert habe, erscheint es durchaus wahrscheinlich, dass Facebook nun zeitnah reagiert. Es sollte jedenfalls im ureigensten Interesse von Facebook liegen, den Fanpagebetreibern eine Plattform zur Verfügung zu stellen, die im Einklang mit europäische Datenschutzrecht genutzt werden kann.
Dazu bedarf es einer Vereinbarung, die Facebook seinen Fanpagebetreibern anbietet, in der insbesondere
- die Art und Weise der gemeinsamen Verantwortlichkeit,
- die Verteilung der jeweiligen Verpflichtungen (insbesondere die Erfüllung der Informationspflicht des Art. 13 DSGVO)
- die Erfüllung der Betroffenenrechte der Art. 12 ff DSGVO (z.B. Recht auf Löschung oder Auskunft)
festgelegt werden. Aufgrund der Gestaltung der Plattform darf man davon ausgehen, dass Facebook die Verpflichtungen im Wesentlichen übernimmt.
Die Position von Facebook
Die in der Meldung vom 15.06.2018 angekündigten Maßnahmen sind bisher leider nicht umgesetzt worden. Insoweit ist es nun an Facebook zu handeln.
In E-Mails an einzelne Fanpagebetreiber hat Facebook zunächst mitgeteilt, dass sich die technische Ausgestaltung der Fanpages seit dem Jahr 2011 erheblich verändert habe und damit heute deutlich von dem unterscheide, was der EuGH seiner Entscheidung zugrunde gelegt hat. Ein maßgeblicher Faktor (konkret die Option „Bevorzugte Seitenzielgruppe“), der den EuGH zu der Annahme einer gemeinsamen Verantwortlichkeit geführt habe, existiere nun nicht mehr.
In dem gemeinsamen Interesse, dass europäische Fanpagebetreiber die Seitenstatistiken im Einklang mit dem europäischen Recht nutzen können, solle Fanpagebetreibern in Kürze der Abschluss eines Art. 26 DSGVO entsprechenden “Page Insights Controller Addendum” angeboten werden. In diesem wolle Facebook die Hauptverantwortung für die Einhaltung der meisten Transparenzverpflichtungen sowie für die Einhaltung der Betroffenenrechte im Zusammenhang mit Seitenstatistiken gemäß der DSGVO übernehmen. Schließlich sei Facebook am besten in der Lage sind, diese Verantwortung zu übernehmen. Dieses „Page Insights Controller Addendum“ sollen Seitenbetreibern nach Fertigstellung über den Seitenmanager zur Verfügung gestellt werden.
Soweit Facebook nun zeitnah handelt und diese Ankündigungen wahr macht, den Abschluss einer Art. 26 DSGVO entsprechenden Vereinbarung anzubieten, könnte den Forderungen der Datenschutzkonferenz bald genüge getan werden. Es ist also nun klar an Facebook, zu handeln…
Aktuelle Handlungsempfehlungen für Fanpagebetreiber
In diversen Facebook-Gruppen wird bereits das Abschalten der eigenen Facebook-Seite diskutiert.
Solange Facebook kein „Joint Controllership Agreement“ anbietet, bleibt nur die Option die Vorteile und potentiellen (Bußgeld-)Risiken gegeneinander abzuwägen.
Der Abwägung ist vorauszuschicken, dass die Annahme einer gemeinsamen Verantwortlichkeit (auch im Hinblick auf das Abschalten der Option „Bevorzugte Zielgruppe“) durchaus diskutiert werden kann. Ein bestimmender Einfluss der Fanpagebetreiber auf die Datenverarbeitung bei Facebook erscheint nämlich insgesamt eher zweifelhaft.
Ob und inwieweit Datenschutzbehörden nun tatsächlich unmittelbare Bußgelder gegen Fanpagebetreiber aussprechen, lässt sich zum jetzigen Zeitpunkt zwar nicht mit Sicherheit prognostizieren, erscheint im Hinblick auf den fortlaufenden Entwicklungsprozess, die fortbestehenden offenen Fragen und der unvermindert weiten Verbreitung entsprechender Fanpages eher unwahrscheinlich.
Tatsächlich ist davon auszugehen, dass die Datenschutzbehörden den Betrieb von Facebook-Seiten weiter im Fokus behalten und möglicherweise auch einzelne Fanpagebetreiber adressiert werden. Diesen wird gegebenenfalls wohl im ersten Schritt die nachfolgende Frageliste zugesandt werden, die sich im Anhang des aktuellen Beschlusses findet:
- In welcher Art und Weise wird zwischen Ihnen und anderen gemeinsam Verantwortlichen festgelegt, wer von Ihnen welche Verpflichtung gemäß der DSGVO erfüllt? (Art. 26 Abs. 1 DSGVO)
- Auf Grundlage welcher Vereinbarung haben Sie untereinander festgelegt, wer welchen Informationspflichten nach Art. 13 und 14 DSGVO nachkommt?
- Auf welche Weise werden die wesentlichen Aspekte dieser Vereinbarung den betroffenen Personen zur Verfügung gestellt?
- Wie stellen Sie sicher, dass die Betroffenenrechte (Art. 12 ff. DSGVO) erfüllt werden können, insbesondere die Rechte auf Löschung nach Art.17 DSGVO, auf Einschränkung der Verarbeitung nach Art. 18 DSGVO, auf Widerspruch nach Art. 21 DSGVO und auf Auskunft nach Art. 15 DSGVO?
- Zu welchen Zwecken und auf welcher Rechtsgrundlage verarbeiten Sie die personenbezogenen Daten der Besucherinnen und Besucher von Fanpages? Welche personenbezogenen Daten werden gespeichert? Inwieweit werden aufgrund der Besuche von Facebook-Fanpages Profile erstellt oder angereichert? Werden auch personenbezogene Daten von Nicht-Facebook-Mitgliedern zur Erstellung von Profilen verwendet? Welche Löschfristen sind vorgesehen?
- Zu welchen Zwecken und auf welcher Rechtsgrundlage werden beim Erst-Aufruf einer Fanpage auch bei Nicht-Mitgliedern Einträge im sogenannten Lo-cal Storage erzeugt?
- Zu welchen Zwecken und auf welcher Rechtsgrundlage werden nach Aufruf einer Unterseite innerhalb des Fanpage-Angebots ein Session-Cookie und drei Cookies mit Lebenszeiten zwischen vier Monaten und zwei Jahren gespeichert?
- Welche Maßnahmen haben Sie ergriffen, um Ihren Verpflichtungen aus Art. 26 DSGVO als gemeinsam für die Verarbeitung Verantwortlicher gerecht zu werden und eine entsprechende Vereinbarung abzuschließen?
Quelle: Anhang des Beschlusses der Datenschutzkonferenz vom 05.09.2018
Soweit die angeschriebenen Betreiber von Fanpages die Fragen nicht ausreichend beantworten können, sind Verfügungen denkbar, die Facebookseite (vorerst) abzuschalten. Die unmittelbare Verhängung von Bußgeldern halten wir aufgrund der bisherigen Praxis der Datenschutzbehörden eher für unwahrscheinlich. Zudem ist offen, ob etwaige Maßnahmen der Landesdatenschutzbehörden gegen Fanpagebetreiber einer Verhältnismäßigkeitsprüfung standhalten. In diesem Zusammenhang wäre nämlich zu klären, ob die Datenschutzbehörden nicht vorrangig gegen Facebook anstatt gegen die Fanpagebetreiber vorgehen müssen
Trägt die Fanpage maßgeblich zum Außenauftritt des Unternehmens bei, sollte unter Abwägung der dargestellten Risiken über die Weiterführung entschieden werden. Zur Erfüllung der datenschutzrechtlichen Mindestanforderungen erscheint es im Übrigen sinnvoll, eine spezifische Datenschutzerklärung auf die eigene Fanpage zu setzen, die die Besucher im Sinne von Art. 13 DSGVO über die Datenverarbeitung informiert.
Im Übrigen sollte der weitere Verlauf der Angelegenheit beobachtet werden, insbesondere welche Abhilfemaßnahmen Facebook in nächster Zeit anbietet bzw. welche Ableitungen sich aus dann dem noch zu erwartenden Urteil des Bundesverwaltungsgerichtes ergeben.
Fazit
Die Entscheidung des EuGH bzw. die Ableitungen der Datenschutzbehörden haben weitreichende Auswirkungen für die Nutzung von (Social Media) Plattformen.
Immer dann, wenn der Betreiber einer entsprechenden Präsenz bei der Entscheidung über Zweck und Mittel der Datenverarbeitung entsprechend beteiligt ist, wird von einer gemeinsamen Verantwortlichkeit auszugehen sein. Diese gemeinsame Verantwortung setzt nach Art. 26 DSGVO dann eben auch zwingend den Abschluss entsprechender Vereinbarung über ebendiese gemeinsame Verantwortung und die jeweiligen Pflichten voraus.
Diese Rechtsgrundsätze betreffen insofern auch nicht nur Facebook, sondern gelten ebenso für andere Plattformen wie Instagram, Twitter & Co. und werden in Zukunft noch viel Anlass zu Diskussionen und Rechtsprechung geben.
UPDATE (11.09.18 – 11:40)
Facebook scheint nun auf den Druck der Datenschutzbehörden zu reagieren. Nach einer dpa-Meldung von heute https://www.n-tv.de/ticker/Facebook-passt-nach-EuGH-Urteil-Datenschutz-Regeln-fuer-Seiten-an-article20617374.html will Facebook den Seitenbetreibern nun eine Vertragsergänzung vorlegen, die die gemeinsame Verantwortlichkeit regelt. Wie oben beschrieben wird dieser Zusatz (engl. Addendum) dann wohl über den Seitenmanager zur Verfügung gestellt werden. Soweit dieser Zusatz, der von Facebook nun wohl auch kurzfristig angeboten werden soll, den obenstehenden Anforderungen des Art. 26 DSGVO bzw. den Forderungen der Datenschutzbehörden genügt, dürfte sich die aktuelle Problematik einer sinnvollen Lösung zuführen lassen.
UPDATE (11.09.18 – 12:55)
Facebook hat nun tatsächlich unmittelbar reagiert und informiert die Betroffenen nun in einer aktuellen Meldung (siehe https://www.facebook.com/business/news/updates-for-page-admins-in-the-eu-and-the-eea). Unter https://www.facebook.com/legal/terms/page_controller_addendum# wird nun der Vertragszusatz veröffentlicht, der dann seitens der Facebook Ireland Ltd mit der datenschutzrechtlich verantwortlichen Stelle (in der Regel also dem Betreiber der Facebookseite) abgeschlossen werden können soll.
Seiten-Insights-Ergänzung bezüglich des Verantwortlichen
https://www.facebook.com/legal/terms/page_controller_addendum
Wie und wo kann/muss man die Ergänzung denn akzeptieren, bzw. wo trägt man den Verantwortlichen ein?
Hat sich bei Facebook scgon etwas getan? Wird die Zusatzvereinbarung bereits angeboten? Werden damit alle Fragen abgedeckt, die von der Konferenz der Datenschutzbeauftragten des Bundes und der Länder aufgeworfen worden sind?