Im Juni 2018 entschied der EuGH, dass Betreiber einer Facebook-Fanpage gemeinsam mit Facebook verantwortlich für die Verarbeitung personenbezogener Daten der Besucher sind. Im Anschluss daran hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden (DSK) zunächst in einer Entschließung und erst kürzlich in einem neuen Beschluss vom 05. September 2018 zu den Konsequenzen dieses EuGH-Urteils für die Betreiber einer Facebook Fanpage Stellung genommen.

Bereits in der Entschließung im Juni hatte die DSK unter Bezugnahme auf die Erwägungen des EuGH darauf hingewiesen, dass Betreiber von Facebook-Fanpages in Zukunft eine sog. Joint Controller-Vereinbarung mit Facebook schließen müssen, um den Anforderungen der Datenschutz-Grundverordnung (DSGVO) gerecht zu werden. Zudem sollen Besucher transparent und in verständlicher Form über die Datenverarbeitung der Betreiber der Fanpage und Facebook informiert werden. In dem nun veröffentlichten DSK-Beschluss kündigt die DSK an, auf europäischer Ebene abgestimmt gegen Facebook vorgehen zu wollen. Darüber hinaus betont die DSK erneut, dass auch Fanpage-Betreiber sich ihrer datenschutzrechtlichen Verantwortung stellen müssten und der Betrieb einer Fanpage ohne entsprechende Joint Controller-Vereinbarung rechtswidrig sei. Ihrem Beschluss hat die DSK acht Fragen beigefügt, wobei sie sowohl Facebook als auch die Fanpage-Betreiber in der Pflicht sieht, diese beantworten zu können.

Facebook hat mittlerweile reagiert und bietet eine solche Joint Controller-Vereinbarung für alle Nutzer an, die Zugang zu den sogenannten Seiten-Insights haben (abrufbar hier). Facebook Insights ist das hauseigene Analysetool für geschäftlich betriebene Facebook-Seiten, mit dessen Hilfe Betreiber Informationen über den Aufruf ihrer Seite, „Gefällt mir“-Angaben, Reaktionen auf ihre Seite sowie über die Reichweite der Seite erfassen können.

Facebooks Joint Controller-Vereinbarung im Überblick:

Die neue Joint Controller-Vereinbarung

  • sollte grundsätzlich die Anforderungen der DSGVO an Joint Controller-Vereinbarungen erfüllen;
  • wird automatisch geschlossen, ohne dass es weiterer Handlungen der Fanpage-Betreiber bedarf;
  • beinhaltet eine Rechtswahl- und Gerichtsstandsvereinbarung (Irland);
  • beinhaltet eine Verpflichtung, Facebook die wesentlichen Informationen einer Kontaktaufnahme bzw. Anfrage Betroffener hinsichtlich der Verarbeitung von Insights-Daten innerhalb von 7 Kalendertagen weiterzuleiten. (Hierfür stellt Facebook ein eigenes Formular zur Verfügung.)

Die rein formalen Anforderungen der DSGVO sind mit der Zurverfügungstellung der Joint Controller-Vereinbarung erfüllt. Dennoch ergeben sich weitere Fragestellungen, die bis jetzt nicht vollständig geklärt sind:

  • Anwendungsbereich: Die Joint Controller-Vereinbarung soll allein dann gelten, wenn die Betreiber innerhalb der EU oder des EWR ansässig sind. Facebook scheint demnach keine Joint Controller-Vereinbarung mit Fanpage-Betreibern außerhalb der EU/des EWR abschließen zu wollen. Aufgrund des im Rahmen der DSGVO geltenden Marktortprinzips kann die DSGVO jedoch auch auf Anbieter außerhalb der EU/des EWR Anwendung finden.
  • Festlegen einer eigenen Rechtsgrundlage: Fanpage-Betreiber müssen selbst eine Rechtsgrundlage für die Verarbeitung der Insights-Daten festlegen. Dies erscheint insbesondere unter Berücksichtigung der (umstrittenen) Positionsbestimmung der DSK zu Trackingmechanismen schwierig, da Verantwortliche sich nach Ansicht der DSK hier nicht auf ein berechtigtes Interesse berufen können sollen.
  • Cookies: (nicht zwingend für den Betrieb der Fanpage notwendige) Cookies werden immer noch auf der Fanpage (auch für nicht eingeloggte User) gesetzt, ohne dass nicht eingeloggte User/Personen ohne Facebook-Account die Möglichkeit haben einzuwilligen bzw. der Cookie-Setzung zu widersprechen.
  • Kenntnis des Verarbeitungsvorgangs: Fanpage-Betreiber sollten klären, ob sie tatsächlich die von der DSK geforderte umfangreiche Kenntnis über die Datenverarbeitung bzgl. Insights-Daten (Zwecke der Verarbeitung, Kategorien der personenbezogenen Daten, Profilbildung durch Facebook oder Löschfristen) haben.

Das datenschutzrechtliche Risiko wird durch die neue Vereinbarung reduziert. Fanpage-Betreiber sollten sich dennoch mit den von der DSK in ihrem Beschluss vom 5. September 2018 aufgeworfenen Fragen auseinandersetzen und diese zumindest im Ansatz beantworten können.