Update: Facebook-Fanpage Betreiber haften für potentielle Datenschutzverstöße durch Facebook

Kurz nach Veröffentlichung des Urteils des EuGH vom 5.06.2018 (wir berichteten) zur gemeinsamen Verantwortlichkeit von Facebook-Seiten Betreibern und Facebook hat sich die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) zu Wort gemeldet und eine Entschließung veröffentlicht (pdf).

Entschließung der DSK

Wie ich bereits berichtete, fällt das Urteil des EuGH den Datenschutzaufsichtsbehörden geradezu in den Schoß. Die Entschließung beginnt mit den Worten:

Die Zeit der Verantwortungslosigkeit ist vorbei: EuGH bestätigt gemeinsame Verantwortung von Facebook und Fanpage-Betreibern

Wie viele meiner Kollegen bereits geschrieben haben, ist die Entschließung jedoch wenig hilfreich. Eine konkrete Handlungsanweisung, oder sagen wir besser: Handlungshilfe, für Unternehmen lässt sich dort nicht finden. Tatsächlich kann dies von der DSK auch nicht erwartet werden, denn Entschließungen der Aufsichtsbehörden geben lediglich die Auffassung der Aufsichtsbehörden wieder. Und auch das bedeutet nicht, dass nun jede Aufsichtsbehörde sich an die formulierten Entschließungen halten müssen. Wie immer entscheidet am Ende das Gericht.

Die DSK sagt Ihnen als Fanpage-Betreiber, was Sie beachten müssen. Hierzu beschränkt sich die DSK auf nur einige Aspekte, aber immerhin. Ich fasse diesmal zusammen:

  • Ihre Datenschutzerklärung muss in Hinblick auf Facebook transparent und verständlich sein. Sie müssen also genau mitteilen, welche Daten in Zusammenhang mit Facebook zu welchen Zwecken durch Facebook und Sie als Fanpage-Betreiber verarbeitet werden. Diese Informationen sind auch Besuchern mitzuteilen, die nicht bei Facebook registriert sind.
  • Sie müssen sich nach Auffassung der DSK die Informationen bei Facebook besorgen. Damit will die DSK andeuten, dass ein rechtlich sicheres Betreiben einer Fanpage nicht ohne die Mithilfe von Facebook gelingen kann.
  • Beim Tracken von personenbezogenen Daten (z.B. mittels Cookies oder vergleichbarer Techniken und Speichern der IP-Adresse) ist (!) eine Einwilligung einzuholen (so die Ansicht der DSK)
  • Da wir hier eine gemeinsame Verantwortlichkeit von Fanpage-Betreibern und Facebook haben, muss zwischen den gemeinsamen Verantwortlichen eine Vereinbarung über die Verteilung der Pflichtenerfüllung geschlossen werden (entsprechend Art. 26 DSGVO).

 

Was heißt das für Sie?

Wie bereits geschrieben, können Sie, um jedes Risiko zu vermeiden, die Fanpage zunächst abschalten. Sie können aber auch „versuchen“, die Anforderungen zu erfüllen und Ihre Fanpage weiter betreiben. Hier müssen Sie eine Abwägung von Aufwand, Risiko und Nutzen der Fanpage vornehmen.

Die Fanpage einfach weiterbetreiben ist meines Erachtens keine gute Idee. Viele meiner Kollegen betonen, dass aufgrund der Entscheidung niemand vorschnell die Fanpage löschen muss. Das ist richtig. Denn die DSK interpretiert das Urteil des EuGH natürlich so, wie die Aufsichtsbehörden es gerne hätten. In dem Urteil des EuGH steht allerdings nicht, dass Sie nun alle Pflichten erfüllen, die auch Facebook erfüllen muss. Dort steht vielmehr (Rn. 43):

 Klarzustellen ist, dass das Bestehen einer gemeinsamen Verantwortlichkeit, (…), aber nicht zwangsläufig eine gleichwertige Verantwortlichkeit der verschiedenen Akteure zur Folge hat, die von einer Verarbeitung personenbezogener Daten betroffen sind. Vielmehr können diese Akteure in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß in der Weise einbezogen sein, dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist. (Hervorhebungen habe ich vorgenommen)

 

Meine Empfehlung:

Sollten Sie unter Abwägung aller Umstände zu dem Schluss gekommen sein, dass Sie die Fanpage gerne weiter betreiben möchten, dann sollten Sie den ersten wichtigen Schritt tun:

Erweitern Sie Ihre Datenschutzerklärung, soweit es Ihnen möglich ist und teilen Sie dort alles mit, was Sie wissen. Hierzu können Sie unter anderem auch in der Datenschutzerklärung von Facebook nachlesen (wenn das in irgendeiner Weise hilfreich sein sollte).

Es ist nach wie vor streitig, ob Sie tatsächlich fürs Tracken (und somit für die Facebook Cookies) eine Einwilligung benötigen. Die Aufsichtsbehörden wünschen sich das. Es bleibt aber abzuwarten, was die Gerichte sagen. Hierzu muss es allerdings erstmal zu einer gerichtlichen Auseinandersetzung kommen. Ich glaube, diese lässt nicht lange auf sich warten.

Ein Vertrag mit Facebook zu schließen, wird nicht ohne weiteres möglich sein, es sei denn, Facebook bietet das nach dem Urteil des EuGH an. Behalten Sie das also bitte im Auge.

Weitere Beiträge

DSA – Der Digital Service Act reguliert Online-Plattformen

Der Digital Service Act (DAS ersetzt in weiten Teilen die alte E-Commerce-Richtlinie, wie z.B. auch die Haftungsregelungen, erweitert diese und führt neue Pflichten insbesondere für die großen Online-Plattformen ein. Der DSA zielt darauf ab, die digitale Landschaft der Europäischen Union

Mehr lesen »

CRA – Cyber Resilienz Act Verordnung Nr. 2022/0272

Cybersicherheit für Digitale Produkte in der EU Die zunehmende Bedeutung der IT-Sicherheit und der Cyberrisiken im Finanzsektor verzahnt in diesem Kontext insbesondere auch das Thema Business Continuity Management, bzw. Notfallmanagement. Und nicht nur bedingt durch die zunehmende Digitalisierung des Bankgeschäfts und

Mehr lesen »

Online-Plattformen und ihre Haftung

Bei der Frage der Haftung lässt sich keine pauschale Aussage treffen. Und doch versuche ich nachfolgend, eine kurze Übersicht zu geben, worauf Plattformbetreiber achten müssen. Hosting-Provider Wenn Sie nur für andere Nutzer die Plattform zur Verfügung stellen, ansonsten aber keinen

Mehr lesen »
Nach oben scrollen