Facebook bleibt für Unternehmen weiterhin eine Baustelle, wenn es um das Thema Datenschutz geht. Nachdem der Europäische Gerichtshof (EUGH) kürzlich für bestimmte Verarbeitungsprozesse eine gemeinsame Verantwortlichkeit festgestellt hat, bietet das Soziale Netzwerk neuerdings auf Druck der deutschen Aufsichtsbehörden die erforderlichen Vereinbarungen für Facebook Insights an. Dennoch müssen auch auch Betreiber einer Fanpage tätig werden. Der nachfolgende Beitrag erklärt Ihnen die datenschutzrechtlichen Hintergründe und liefert eine detaillierte Anleitung, wie Sie auf Ihrer Fanpage die Informationspflichten gemäß Artikel 13 DSGVO erfüllen können.
Stand der Entwicklung
Auf Facebook können sich nicht nur Privatpersonen ein Profil erstellen. Die Plattform stellt auch Unternehmen die Möglichkeit bereit, eigenständige Profilseiten für sich oder ihre Marken einzurichten (sog. Fanpage). Facebook bietet dem Betreiber einer Fanpage dabei an, anonyme Statistiken in Form sogenannten Seiten-Insights über die Interaktion von Besuchern mit dessen Seite zu erstellen. Zur Erstellung der Seiten-Insights werden beim Besuch der Fanpage Facebook Cookies auf dem Endgerät des Nutzers platziert und ausgelesen.
In seinem viel beachteten Urteil vom 5. Juni 2018 hat der Europäische Gerichtshof entschieden, dass der Betreiber einer Fanpage und Facebook hinsichtlich der Verarbeitung personenbezogener Daten zur Erstellung der Seiten-Insights als gemeinsam Verantwortliche zu bewerten sind. Die Feststellungen des Urteils beziehen sich zwar auf die alte Rechtlage unter Geltung der Datenschutz-Richtlinie, lassen sich aber im Wesentlichen auf die geltenden Bestimmungen der DSGVO übertragen.
Anders als die Datenschutz-Richtlinie sieht die DSGVO in Art. 26 nunmehr besondere Pflichten für gemeinsam Verantwortlichen vor. Diese müssen in einer Vereinbarung in transparenter Form festlegen, wer von ihnen welche Verpflichtung der DSGVO erfüllt. Insbesondere muss die Verantwortlichkeit hinsichtlich der Rechte der betroffenen Person und der Informationspflichten gemäß den Artikeln 13 und 14 DSGVO geklärt werden.
Da Facebook auch mehrere Monate nach dem Urteil eine solche Vereinbarung nicht anbot, stellte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) per Beschluss vom 5. September 2018 fest, dass das Betreiben einer Fanpage ohne Abschluss einer entsprechenden Vereinbarung rechtswidrig sei. Einem solchen Beschluss der DSK kommt zwar keinerlei rechtliche Bindungswirkung zu, allerdings mach er die Auffassung der Aufsichtsbehörden deutlich. Kurz nach Veröffentlichung dieses Beschlusses hat Facebook die für den Betreiber einer Fanpage geltenden „Richtlinien für Seiten, Gruppen und Veranstaltungen“ um eine „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ ergänzt. Diese Ergänzung wird automatisch mit dem Betreiber einer Fanpage abgeschlossen, wenn dieser die durch Facebook angebotenen Seiten-Insights nutzt. Facebook stellt den Nutzern außerdem auf jeder Fanpage „Informationen zu Seiten-Insights-Daten“ zur Verfügung, in denen die Nutzer über die verarbeiteten Daten und die gemeinsame Verantwortung informiert werden.
Welche Maßnahmen sollte ein Fanpage-Betreiber nun ergreifen?
Die erforderliche Vereinbarung nach Art. 26 DSGVO liegt damit zwar vor, der Betreiber der Fanpage muss aber weiterhin bestimmte datenschutzrechtliche Anforderungen, insbesondere hinsichtlich seiner Informationspflichten, beachten. Hier sollte besonders sorgfältig vorgegangen werden, da bei unvollständigen Informationen eine Abmahnung drohen kann.
Welche Pflichten treffen den Betreiber einer Fanpage nun konkret?
Facebook verpflichtet sich in der Vereinbarung dazu, im Hinblick auf die Verarbeitung von Insights-Daten die wesentlichen Pflichten der DSGVO zu erfüllen:
„Facebook Ireland stellt sicher, dass sie eine Rechtsgrundlage für die Verarbeitung der Insights-Daten hat, die in der Datenrichtlinie von Facebook Ireland dargelegt ist (siehe unter „Was ist unsere Rechtsgrundlage für die Verarbeitung von Daten?“). Sofern in dieser Seiten-Insights-Ergänzung nichts anderes angegeben wird, übernimmt Facebook Ireland die Erfüllung der Verpflichtungen aus der DSGVO für die Verarbeitung von Insights-Daten (u. a. Artikel 12 und 13 DSGVO, Artikel 15 bis 21 DSGVO, Artikel 33 und 34 DSGVO). Facebook Ireland trifft im Einklang mit Artikel 32 DSGVO geeignete technische und organisatorische Maßnahmen, um die Sicherheit der Verarbeitung zu gewährleisten. Dies umfasst die Maßnahmen, die im Anhang unten aufgeführt sind (dieser wird von Zeit zu Zeit aktualisiert, um beispielsweise technologischen Entwicklungen Rechnung zu tragen). Alle an der Verarbeitung der Insights-Daten beteiligten Mitarbeiter von Facebook Ireland sind durch geeignete Vereinbarungen zur Wahrung der Vertraulichkeit der Insights-Daten verpflichtet.“
Der Betreiber soll hingegen nur einzelne Pflichten übernehmen:
„Du solltest sicherstellen, dass du auch eine Rechtsgrundlage für die Verarbeitung der Insights-Daten hast. Zusätzlich zu den Informationen, die betroffenen Personen von Facebook Ireland über die Informationen zu Seiten-Insights bereitgestellt werden, solltest du deine eigene Rechtsgrundlage angeben, ggf. einschließlich der von dir verfolgten berechtigten Interessen, den/die zuständigen Verantwortlichen auf deiner Seite, einschließlich seiner/ihrer Kontaktdaten, sowie der Kontaktdaten des/der Datenschutzbeauftragten (Artikel 13 Abs. 1 lit. a – d DSGVO), falls einschlägig.“
Es handelt sich hierbei um solche Pflichten, die nur durch den Betreiber der Fanpage erfüllt werden können. Dies umfasst zum einen die Mitteilung von Informationen, über die nur der Betreiber verfügt. Konkret sind dies zum Beispiel die eigenen Kontaktdaten und die des Datenschutzbeauftragten (sofern benannt). Zum anderen muss der Betreiber die Rechtsgrundlage für die Verarbeitung der Insights-Daten benennen. Hier wird regelmäßig nur Art. 6 Abs. 1 Buchst. f DSGVO in Betracht kommen. Der Betreiber muss den Betroffenen daher auch das berechtigte Interesse, das er mit der Verarbeitung verfolgt, mitteilen.
Neben den Informationen über die Verarbeitung der Insights-Daten kann die Datenschutzerklärung auch über weitere Verarbeitungen, die etwa im Rahmen eines Gewinnspiels oder der Nutzung des Kontaktformulars vorgenommen werden, informieren.
Weiterhin trifft den Betreiber der Fanpage die allegemeine Pflicht, die Datenverarbeitung über die Fanpage in seinem Verarbeitungsverzeichnis nach Art. 30 Abs. 1 DSGVO aufzuführen.
Aus der Vereinbarung von Facebook ergibt sich die konkrete Pflicht, im Fall einer Anfrage hinsichtlich der Verarbeitung von Insights-Daten durch eine betroffene Person oder eine Aufsichtsbehörde unverzüglich (spätestens innerhalb von 7 Kalendertagen) sämtliche relevanten Informationen an Facebook weiterzuleiten und bei deren Beantwortung mit Facebook zusammenzuarbeiten.
Empfehlung
Die Fanpage sollte um eine Datenschutzerklärung des Betreibers ergänzt werden. Diese sollte jedenfalls die folgenden Hinweise enthalten:
- den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
- ggf. die Kontaktdaten des Datenschutzbeauftragten;
- die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
- wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f) DSGVO beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden
- Link zu den Informationen zu Seiten-Insights
Wie lassen sich Ihre Datenschutzhinweise in die Fanpage einfügen?
Bevor Sie Ihre Datenschutzhinweise in Ihre Fanpage einbinden können, müssen Sie diese um einen Passus erweitern, der die Besucher der Facebook-Fanpage über die dort stattfindende Datenverarbeitung informiert. Anschließend können Sie Ihre Datenschutzhinweise anhand der folgenden Schritte in die Fanpage einbinden:
Schritt 1
Rufen Sie Ihre Fanpage bei Facebook auf und klicken Sie am linken Rand unter „Mehr“ auf das Feld „Info“.
Schritt 2
Scrollen Sie nach unten zu „Weitere Infos“ und klicken Sie auf den Stift neben der Datenrichtlinie, um diese zu bearbeiten.
Schritt 3
Fügen Sie hier nun den Link zu Ihren Datenschutzhinweisen von Ihrer Homepage ein. Achten Sie darauf, dass Sie diese zuvor Ihren Social Media Aktivitäten angepasst haben. Klicken Sie anschließend auf „Speichern“.
Fazit
Zur Verringerung des rechtlichen Risikos sollten Betreiber einer Facebook-Fanpage eine eigene Datenschutzerklärung vorhalten. Ob darüber hinaus die deutschen Aufsichtsbehörden die Seiten-Insights-Ergänzung von Facebook akzeptieren werden, ist gegenwärtig nicht sicher abzuschätzen. Eine gewisse Skepsis hierzu ist aus guten Gründen angebracht. Die Entwicklung zu dieser Thematik sollte aufmerksam verfolgt werden. Unser Newsletter hilft Ihnen dabei, immer auf dem aktuellsten Stand zu bleiben.
Hinweis: Dieser Beitrag wurde erstmals am 22.10.2018 veröffentlicht und zuletzt am 09.09.2020 überarbeitet.
Marinus Stehmeier ist als Rechtsanwalt und Senior Legal Consultant bei der Datenschutzkanzlei tätig. Er ist spezialisiert auf alle rechtlichen Themen rund um Datenschutz und Datenökonomie und berät sowohl im Privatrecht als auch im Öffentlichen Sektor.