Einen Zweikampf,
den wir scheuen, gibt es nicht!

Wir nehmen Ihnen die Last ab und kümmern uns um die Details.

Termin
vereinbaren
(hier klicken)
zurück

Facebook-Fanpages: Der „geniale Wurf“ oder doch ein datenschutzrechtlicher „Sündenfall“?

Urteil des EuGH vom 05.06.2018 und Entschließung der DSK vom 06.06.2018. Der Betrieb von Facebook-Fanpages ist unzulässig!

Im Internet werden Homepages immer mehr verdrängt von „vernetzten“ Medien, also insbesondere Facebook-Seiten (Facebook-Pages). Viele Gemeinden und kommunale Unternehmen setzen immer mehr auf solche Seiten, die eine viel bessere Reichweite zu haben scheinen, und auch immer mehr Feuerwehren verzichten zugunsten einer Facebook-Seite auf „klassische“ Homepages. Doch gerade die Erleichterungen, die Facebookseiten in der Kommunikation mit einer (un-) bestimmten Menge bringen, bergen aktuell einen großen Fallstrick, der sich insbesondere aus der jüngst in Kraft getretenen DSGVO und der hochaktuellen Rechtsprechung des EuGH ergibt. Neben den diversen Anforderungen, die Unternehmen, Gemeinden und Vereine gleichermaßen treffen, zählt die Nutzung von Facebookseiten zu den aktuellsten Fragestellungen, mit denen sich Bürgermeister, Geschäftsstellenleiter, Pressesprecher und Vereinsvorstände auseinandersetzen müssen.

Überblick

In seinem Urteil vom 05.06.2018, C-2110/16, entschied der EuGH, dass bei der Nutzung von Facebook-Seiten (Fanpages) neben Facebook auch der Facebook-Seitenbetreiber Verantwortlicher für die Datenverarbeitung sei – und die nationalen Aufsichtsbehörden, die für den Seitenbetreiber allgemein zuständig sind, auch bei der Nutzung von Facebook-Seiten zuständig sind. Der zugrunde liegende Fall wurde in der Sache noch nicht entschieden, wurde vielmehr zur weiteren Entscheidung an das Bundesverwaltungsgericht, welches die europarechtliche Rechtsfrage vorab klären ließ,  zurückverwiesen. Dem Urteil lag ein Sachverhalt zugrunde, der in vielerlei Hinsicht durch neue Regeln und geänderte Rechtsprechung bereits überholt war, sodass nach dem Urteil zunächst viel Interpretationsspielraum blieb, wie nun vorzugehen sei. Bereits am folgenden 06.06.2018 äußerte sich aber die Konferenz der unabhängigen Datenschutzbehörden (DSK), also die gemeinsame Versammlung der deutschen Datenschutz-Aufsichtsbehörden. Die Behörden wenden das Urteil auf die nunmehr geltende DSGVO an, stellen darauf aufbauend konkrete Anforderungen – die von Seitenbetreibern aber gar nicht eingehalten werden können. Das wissen die Behörden auch – und sprechen schlicht nicht aus, was aber doch unzweideutig bleibt: Facebook-Fanseiten können derzeit – Stand 15.06.2018 – nicht rechtskonform betrieben werden! Betroffen hiervon sind alle, die von der DSGVO betroffen werden – Behörden und Vereine genauso wie Unternehmen, also jede Gemeinde, jede Feuerwehr, jeder Feuerwehr- oder Dorfverein, jede Schützengesellschaft und jeder Heimatverein usw.

Wo ist das Problem – und was verlangen die Behörden?

Dreh- und Angelpunkt des dem Urteil des EuGH, C-2110/16 zu Grunde liegenden Sachverhaltes, und wesentlicher Punkt der betroffenen Datenverarbeitung, ist der Dienst Facebook Insights. Insights ist ein Analyse- und Trackingdienst, der es dem Seitenbetreiber sehr genau ermöglicht, zu überprüfen, welche Reichweite seine Seite hat, und und wie sich die erreichten Personen zusammensetzen. Dazu werden Facebook-Nutzerdaten ausgewertet, also auch Daten wie Alter, Herkunft, Musikgeschmack – ggf. also auch besondere personenbezogene Daten im Sinne des Art. 9 DSGVO, die einem besonderen Schutz unterliegen. Dieser Dienst steht jedem Seitenbetreiber zur Verfügung – und kann derzeit nicht deaktiviert werden. Und hier setzt auch das Urteil des EuGH an: Nach der neuen Rechtsprechung, die sich die Aufsichtsbehörden nun zu eigen gemacht haben, kommt es für die Verantwortlichkeit nicht auf die Nutzung von Insights an – sondern einzig darauf, dass der Seitenbetreiber durch die Einrichtung der Seite die Möglichkeit erhält, Insights anzuwenden, da die Erfassung der Daten ohnehin in jedem Fall stattfindet. Kurzgesagt: Alleine dadurch, dass die Seite betrieben wird, und sie mit dem Insights-Dienst verknüpft ist, ist der Seitenbetreiber Verantwortlicher. 

Daraus schließen nun die deutschen Aufsichtsbehörden, dass diese Rechtsprechung auch unter Geltung der DSGVO (das Urteil war zum Vorgänger, der RL 95/46/EG, ergangen) anwendbar ist, und leiten sich aus der DSGVO ergebende (und hier kurzgefasste) Pflichten ab:

 

  1. Der Besucher einer Fanseite muss über die Datenverarbeitung, die durch seinen Besuch erfolgt, belehrt werden. Dies gilt unabhängig davon, ob er (der Besucher) einen Facebook-Account hat (bzw. beim Besuch in diesen eingeloggt ist). Die Information muss DSGVO-konform erfolgen, also VOR(!) der Verarbeitung 
     
  2. Betreiber müssen selbst sicherstellen, dass sie diese Informationen vollständig erhalten.
     
  3. Soweit Facebook Nutzerdaten trackt muss, eine Einwilligung des Betroffenen vorliegen.
     
  4. Der Seitenbetreiber muss mit Facebook eine Vereinbarung schließen, die regelt, wer welche Verpflichtung der DSGVO übernimmt. Diese Vereinbarung ist den Betroffenen in wesentlichen Punkten zur Verfügung zu stellen. 
     

Einschätzung – Warum verlangen die Behörden Unmögliches?

Problemkreis eins – was macht Facebook eigentlich: Anforderung 2 der DSK hat zum Gegenstand, dass der Seitenbetreiber sicherstellen soll, dass er von Facebook alle relevanten Daten erhält. In der Datenschutzerklärung von Facebook ist Insights nur ganz rudimentär beschrieben, auch die Werbe-Seite für Insights gibt keine Information zur Wirkweise des Dienstes – Sie wissen als Seitenbetreiber also selbst nicht, was Facebook eigentlich macht. Nach Dafürhalten des Autors ist es deswegen derzeit nicht möglich, angemessen und in hinreichendem Maße zu informieren. 

Problemkreis zwei: 

Der Zeitpunkt der Information / der Einwilligung: Ob die Einwilligung überhaupt erforderlich ist, wenn getrackt wird, ist durchaus strittig, die Behörden haben sich hier positioniert – was auch Auswirkungen auf die Nutzung von anderen Diensten hat. Geht man – um Streit zu vermeiden – mit der Behörde davon aus, dass eine Einwilligung erforderlich ist, so muss diese informiert, eindeutig und vor der Verarbeitung erfolgen. Sie als Seitenbetreiber haben aber erst Kontakt mit dem Betroffenen, wenn er schon auf Ihrer Seite ist – wenn Insights also schon greift. Jedenfalls besteht eine Informationspflicht. Die Information muss vor der Verarbeitung erfolgen. Sie haben aber nur die Fanseite, Facebook gibt Ihnen keine weitere Möglichkeit, auf den Datenweg Einfluss zu nehmen. Sie haben den ersten Kontakt auf der Seite, dort zu belehren ist aber zu spät – Insights „arbeitet“ ja schon. 

Und jetzt?

Problemkreis 3: Die Kooperation mit Facebook: Die DSK selbst weiß, dass Sie den Pflichten nicht nachkommen können, und schließt deswegen mit dem Absatz:

Die deutschen Aufsichtsbehörden weisen darauf hin, dass nach dem Urteil des EuGH dringender Handlungsbedarf für die Betreiber von Fanpages besteht. Dabei ist nicht zu verkennen, dass die Fanpage-Betreiber ihre datenschutzrechtlichen Verantwortung nur erfüllen können, wenn Facebook selbst an der Lösung mitwirkt und ein datenschutzkonformes Produkt anbietet, das die Rechte der Betroffenen wahrt und einen ordnungsgemäßen Betrieb in Europa ermöglicht.

Facebook selbst wird in die Pflicht genommen, ein datenschutzkonformes Produkt abzuliefern. Im Umkehrschluss liegt ein solches derzeit aber nicht vor. Der weitere Betrieb einer Fanseite kann deswegen Abmahnungen (unwahrscheinlich), behördliche Verbote und / oder Bußgelder (wahrscheinlich) oder Anzeigen und Beschwerden Betroffener (sehr wahrscheinlich) einbringen. Es ist zu erwarten, dass Facebook zeitnah Abhilfe schaffen wird, welcher Art auch immer. Bis dahin können Rechtsstreitigkeiten aber nur vermieden werden, wenn die Fanseiten nicht mehr erreichbar sind. Insofern dürfte es ausreichen, wenn die Seiten nicht gelöscht, sondern in den Einstellungen auf „Seite nicht veröffentlicht“ gesetzt werden. Dann werden aber immer noch die Daten der mit Funktionen („Rollen“) versehenen Personen, in erster Linie also der Administratoren, erfasst. Soweit es sich dabei um Mitarbeiter handelt ist auch der Mitarbeiterdatenschutz zu gewährleisten.

Das Datenschutzrecht ist Technikrecht und sehr schnelllebig, und leider ergeben sich viele Fallstricke, die aber bei verständigem Vorgehen leicht umgangen werden können. Dieser Artikel soll Ihnen helfen, einfach und schnell auf die aktuelle Rechtsentwicklung reagieren zu können.

Die F.E.L.S Rechtsanwälte Bayreuth GbR ist seit vielen Jahrzehnten u.a. für Städte und Gemeinden tätig; die Kanzlei hat die  F.E.L.S Rechtanwaltsgesellschaft mbH als Datenschutzkompetenzzentrum ausgegliedert. 

Rechtsanwalt Christian Becker

Telefon: 0921 – 75 66 500 (u.a. Datenschutzrecht) 

Email: ra.becker@fe-ls.de

 

Rechtsanwalt Dr. Tom F. Petrick 

Telefon: 0921 – 75 66 240 (u.a. Datenschutzrecht) 

Email: ra.petrick@fe-ls.de

 

Rechtsanwalt Karl-Friedrich Hacker 

Telefon: 0921 – 75 66 280 (Kommunalrecht) 

Email: ra.hacker@fe-ls.de

 

zum Download

 

zurück