Facebook bleibt für Unternehmen weiterhin eine Baustelle, wenn es um das Thema Datenschutz geht. Nachdem der Europäische Gerichtshof (EUGH) kürzlich für bestimmte Verarbeitungsprozesse eine gemeinsame Verantwortlichkeit festgestellt hat, bietet das Soziale Netzwerk neuerdings auf Druck der deutschen Aufsichtsbehörden die erforderlichen Vereinbarungen für Facebook Insights an. Dennoch müssen auch auch Betreiber einer Fanpage tätig werden. Der nachfolgende Beitrag erklärt Ihnen die datenschutzrechtlichen Hintergründe und liefert eine detaillierte Anleitung, wie Sie auf Ihrer Fanpage die Informationspflichten gemäß Artikel 13 DSGVO erfüllen können.

 

Stand der Entwicklung

Auf Facebook können sich nicht nur Privatpersonen ein Profil erstellen. Die Plattform stellt auch Unternehmen die Möglichkeit bereit, eigenständige Profilseiten für sich oder ihre Marken einzurichten (sog. Fanpage). Facebook bietet dem Betreiber einer Fanpage dabei an, anonyme Statistiken in Form sogenannten Seiten-Insights über die Interaktion von Besuchern mit dessen Seite zu erstellen. Zur Erstellung der Seiten-Insights werden beim Besuch der Fanpage Facebook Cookies auf dem Endgerät des Nutzers platziert und ausgelesen.

In seinem viel beachteten Urteil vom 5. Juni 2018 hat der Europäische Gerichtshof entschieden, dass der Betreiber einer Fanpage und Facebook hinsichtlich der Verarbeitung personenbezogener Daten zur Erstellung der Seiten-Insights als gemeinsam Verantwortliche zu bewerten sind. Die Feststellungen des Urteils beziehen sich zwar auf die alte Rechtlage unter Geltung der Datenschutz-Richtlinie, lassen sich aber im Wesentlichen auf die geltenden Bestimmungen der DSGVO übertragen.

Anders als die Datenschutz-Richtlinie sieht die DSGVO in Art. 26 nunmehr besondere Pflichten für gemeinsam Verantwortlichen vor. Diese müssen in einer Vereinbarung in transparenter Form festlegen, wer von ihnen welche Verpflichtung der DSGVO erfüllt. Insbesondere muss die Verantwortlichkeit hinsichtlich der Rechte der betroffenen Person und der Informationspflichten gemäß den Artikeln 13 und 14 DSGVO geklärt werden.

Da Facebook auch mehrere Monate nach dem Urteil eine solche Vereinbarung nicht anbot, stellte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) per Beschluss vom 5. September 2018 fest, dass das Betreiben einer Fanpage ohne Abschluss einer entsprechenden Vereinbarung rechtswidrig sei. Einem solchen Beschluss der DSK kommt zwar keinerlei rechtliche Bindungswirkung zu, allerdings mach er die Auffassung der Aufsichtsbehörden deutlich. Kurz nach Veröffentlichung dieses Beschlusses hat Facebook die für den Betreiber einer Fanpage geltenden „Richtlinien für Seiten, Gruppen und Veranstaltungen“ um eine „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ ergänzt. Diese Ergänzung wird automatisch mit dem Betreiber einer Fanpage abgeschlossen, wenn dieser die durch Facebook angebotenen Seiten-Insights nutzt. Facebook stellt den Nutzern außerdem auf jeder Fanpage „Informationen zu Seiten-Insights-Daten“ zur Verfügung, in denen die Nutzer über die verarbeiteten Daten und die gemeinsame Verantwortung informiert werden.

 

Screenshot Fanpage der Datenschutzkanzlei (rote Unterstreichung markiert Link zu gesonderten Informationen Seiten Insights)

 

 

Welche Maßnahmen sollte ein Fanpage-Betreiber nun ergreifen?

Die erforderliche Vereinbarung nach Art. 26 DSGVO liegt damit zwar vor, der Betreiber der Fanpage muss aber weiterhin bestimmte datenschutzrechtliche Anforderungen, insbesondere hinsichtlich seiner Informationspflichten, beachten. Hier sollte besonders sorgfältig vorgegangen werden, da bei unvollständigen Informationen eine Abmahnung drohen kann.

Welche Pflichten treffen den Betreiber einer Fanpage nun konkret?

Facebook verpflichtet sich in der Vereinbarung zwar zunächst dazu, im Hinblick auf die Verarbeitung von Insights-Daten sämtlich Pflichten der DSGVO zu erfüllen:

„Facebook Ireland stimmt zu, die primäre Verantwortung gemäß DSGVO für die Verarbeitung von Insights-Daten zu übernehmen und sämtliche Pflichten aus der DSGVO im Hinblick auf die Verarbeitung von Insights-Daten zu erfüllen (u. a. Artikel 12 und 13 DSGVO, Artikel 15 bis 22 DSGVO und Artikel 32 bis 34 DSGVO). Darüber hinaus wird Facebook Ireland das Wesentliche dieser Seiten-Insights-Ergänzung den betroffenen Personen zur Verfügung stellen.“

Direkt im Anschluss heißt es aber:

„Du solltest sicherstellen, dass du eine Rechtsgrundlage für die Verarbeitung von Insights-Daten gemäß DSGVO hast, den Verantwortlichen für die Verarbeitung der Seite benennst und jedwede sonstigen geltenden rechtlichen Pflichten erfüllst.“

Durch diesen Passus relativiert Facebook seine Verantwortlichkeit hinsichtlich solcher Pflichten, die nur durch den Betreiber der Fanpage erfüllt werden können. Dies umfasst zum einen die Mitteilung von Informationen, über die nur der Betreiber verfügt. Konkret sind dies zum Beispiel die eigenen Kontaktdaten und die des Datenschutzbeauftragten (sofern benannt). Zum anderen muss der Betreiber die Rechtsgrundlage für die Verarbeitung der Insights-Daten benennen. Hier wird regelmäßig nur Art. 6 Abs. 1 Buchst. f DSGVO in Betracht kommen. Der Betreiber muss den Betroffenen daher auch das berechtigte Interesse, das er mit der Verarbeitung verfolgt, mitteilen.

Neben den Informationen über die Verarbeitung der Insights-Daten kann die Datenschutzerklärung auch über weitere Verarbeitungen, die etwa im Rahmen eines Gewinnspiels oder der Nutzung des Kontaktformulars vorgenommen werden, informieren.

Weiterhin trifft den Betreiber der Fanpage die Pflicht, die Datenverarbeitung über die Fanpage in seinem Verarbeitungsverzeichnis nach Art. 30 Abs. 1 DSGVO aufzuführen.
Aus der Vereinbarung von Facebook ergibt sich die konkrete Pflicht, im Fall einer Anfrage hinsichtlich der Verarbeitung von Insights-Daten durch eine betroffene Person oder eine Aufsichtsbehörde unverzüglich (spätestens innerhalb von 7 Kalendertagen) sämtliche relevanten Informationen an Facebook weiterzuleiten und bei deren Beantwortung mit Facebook zusammenzuarbeiten.

 

Empfehlung

Die Fanpage sollte um eine Datenschutzerklärung des Betreibers ergänzt werden. Diese sollte jedenfalls die folgenden Hinweise enthalten:

  • den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
  • ggf. die Kontaktdaten des Datenschutzbeauftragten;
  • die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
  • wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f) DSGVO beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden
  • Link zu den Informationen zu Seiten-Insights

 

Wie lässt sich eine eigene Datenschutzerklärung in die Fanpage einfügen?

Wir empfehlen, die notwendige Datenschutzerklärung direkt in die Fanpage einzufügen. Gegenüber einer bloßen Verlinkung auf eine externe Website hat dies den Vorteil, dass ein Nutzer nicht bloß für die Mitteilung der Datenschutzhinweise aus Facebook herausgeleitet wird und damit unter Umständen einer weiteren Datenverarbeitung ausgesetzt ist. Außerdem lassen sich so alle Informationen zur Verarbeitung von personenbezogenen Daten über die Fanpage durch den Betreiber gebündelt platzieren. Eine Datenschutzerklärung lässt sich anhand der folgenden Schritte in die Fanpage einbinden:

 

Schritt 1
Rufen Sie Ihre Fanpage bei Facebook auf und klicken Sie auf linken Rand auf das Feld „Notiz schreiben“.

 

 

 

Schritt 2
Fügen Sie nun Ihre Datenschutzerklärung hier ein. Klicken Sie anschließend auf „Speichern“ und „Veröffentlichen“.

 

 

 

 

Schritt 3
Sie haben Ihre Datenschutzerklärung nun zunächst als Notiz gespeichert und in Ihrer Chronik veröffentlicht.

 

 

Schritt 4
Rufen Sie nun Ihre Notiz, die Sie in Ihrer Chronik veröffentlicht haben, auf und kopieren Sie den Browser-Link.

 

 

 

Schritt 5
Rufen Sie nun Ihre Fanpage bei Facebook auf und klicken Sie am linken Rand auf das Feld „Info“.

 

 

Schritt 6
Scrollen Sie nach unten zu „weiteren Infos“ und klicken Sie auf das Feld „Bearbeiten Datenrichtline“.

 

 

Schritt 7
Fügen Sie hier nun den Link zu Ihrer Datenschutzerklärung ein, den Sie zuvor in Schritt 4 kopiert haben. Klicken Sie anschließend auf „Speichern“.

 

 

Schritt 8
Zusätzlich empfehlen wir Ihnen ihre Datenschutzerklärung in einem separaten Link im Impressum zu hinterlegen. Da Facebook das Impressum bei einigen Ansichten (z.B. der mobilen Ansicht) bevorzugt anzeigt, ist die Datenschutzerklärung auf diese Weise leichter zu finden.

 

 

Schritt 9
Wenn Sie nicht möchten, dass Ihre Datenschutzerklärung auf Ihrer Chronik angezeigt wird, haben Sie die Möglichkeit die Notiz mit der Option „In der Chronik verbergen“ unsichtbar zu machen.

 

 

Fazit
Zur Verringerung des rechtlichen Risikos sollten Betreiber einer Facebook-Fanpage eine eigene Datenschutzerklärung vorhalten. Ob darüber hinaus die deutschen Aufsichtsbehörden die Seiten-Insights-Ergänzung von Facebook akzeptieren werden, ist gegenwärtig nicht sicher abzuschätzen. Eine gewisse Skepsis hierzu ist aus guten Gründen angebracht. Die Entwicklung zu dieser Thematik sollte aufmerksam verfolgt werden. Unser Newsletter hilft Ihnen dabei, immer auf dem aktuellsten Stand zu bleiben.

 

Autor: RA Marinus Stehmeier