DSGVO/Facebook-Fanpage: FB stellt Vereinbarung wegen gemeinsamer Verantwortlichkeit zur Verfügung

12.09.2018
3 Minuten Lesezeit

Das Problem

Anfang Juni 2018 hat der Europäische Gerichtshof entschieden, dass die Betreiber von Facebook-Fanpage-Seiten (nachfolgend Seitenbetreiber genannt) datenschutzrechtlich als sog. „gemeinsame Verantwortliche“ gemeinsam mit Facebook für die Einhaltung des Datenschutzrechts zuständig sind (EuGH, 05.06.2018, Az. C-210/16).

Damit gingen zahlreiche Probleme für Seitenbetreiber einher, denn die Datenschutz-Grundverordnung legt gemeinsamen Verantwortlichen in Art. 26 DSGVO gesonderte Pflichten auf. So müssen die gemeinsamen Verantwortlichen eine transparente Vereinbarung darüber treffen, wer die Verpflichtungen aus der DSGVO gegenüber Betroffenen ausübt (bspw. Auskunftsersuchen beantwortet etc.) und diese den betroffenen Personen zur Verfügung stellen.

Die Datenschutzkonferenz der deutschen Datenschutzbehörden (DSK) stellten daher im Rahmen eines Anfang September 2018 veröffentlichten Beschlusses fest, dass der Betrieb einer Facebook-Fanpage rechtswidrig sei, weil die notwendige Vereinbarung zwischen Facebook und Seitenbetreiber nicht vorläge.

Die Reaktion von Facebook

Facebook hat inzwischen nachgebessert und eine Vereinbarung („Seiten-Insights-Ergänzung bezüglich des Verantworten“/Page Controller Addendum) veröffentlicht. Die Vereinbarung betrifft Seitenbetreiber, die die Funktion „Seiten-Insights“ nutzen. Sie finden die Vereinbarung hier: https://www.facebook.com/legal/terms/page_controller_addendum.

Im Rahmen dieser Vereinbarung übernimmt Facebook grundsätzlich die primäre Verantwortung für die Erfüllung der datenschutzrechtlichen Pflichten im Hinblick auf die Insights-Daten. Ferner übernimmt Facebook die Verantwortung im Hinblick auf

die Erfüllung der Informationspflichten (Art. 12-13 DSGVO),
die Betroffenenrechte (Art. 15-22 DSGVO9,
die Datensicherheit und
die Meldung von Datenschutzverstößen (Art. 32-34 DSGVO).

Unklar ist allerdings, wie die Vereinbarung Vertragsbestandteil wird. Im Rahmen des Unternehmensblogs von Facebook heißt es hierzu, dass bestehende Kunden mit Fanpage informiert werden und die Vereinbarung durch Weiternutzung Vertragsbestandteil wird.

Die Pflichten der Seitenbetreiber

Nichtsdestotrotz obliegen auch dem Seitenbetreiber weiterhin Pflichten im Hinblick auf seine Fanpage. Diese sind

Die grundsätzliche Pflicht zur datenschutzkonformen Verarbeitung personenbezogener Daten. Seitenbetreiber müssen folglich –wie bei jeder Datenverarbeitung personenbezogener Daten – eine Rechtsgrundlage (Art. 6 Abs. 1 DSGVO) für die Nutzung der Insights-Daten festlegen. Zu denken ist hier an Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse), da die Einholung einer Einwilligung technisch kaum umsetzbar ist.
Die Weiterleitung von Anfragen Betroffener, wenn diese bei dem Seitenbetreiber eingehen. Facebook stellt insoweit ein Kontaktformular zur Verfügung.
Auch wenn Facebook angekündigt hat, Datenschutzhinweise zur Verfügung zu stellen, besteht für den Seitenbetreiber weiterhin die Pflicht, eigene Datenschutzhinweise zu verwenden. Nur der Seitenbetreiber kann letztendlich über die Rechtsgrundlage und die Interessenabwägung im Falle von berechtigten Interessen informieren. Insoweit sollte auf der Hauptseite eine eigene Datenschutzerklärung (hierzu gibt es das Feld „Datenrichtlinie“) verlinkt werden (ähnlich wie bei dem Impressum). Der Link solle auch in der Facebook-App sichtbar sein. Im Rahmen dieser Datenschutzerklärung sollte auch auf die gemeinsame Verantwortung im Hinblick auf die Fanpage hingewiesen und auf die Datenschutzerklärung von Facebook verwiesen werden.

Erwähnenswert erscheint insoweit für Seitenbetreiber noch, dass Facebook eine Vereinbarung über die Geltung irischen Rechts und des Gerichtsstands in Irland trifft und auch die irische Datenschutzbehörde als aufsichtsführend bestimmt wird. Private Seitenbetreiber betrifft die Gerichtsstandsvereinbarung nicht, da für diese Personen das Gericht am Wohnsitz zuständig ist.

Das Restrisiko

Mit der Vereinbarung werden die Anforderungen des Art. 26 DSGVO vordergründig erfüllt, dennoch bleibt ein Restrisiko, da zweifelhaft erscheint, ob die Datenverarbeitung der Internetnutzer bei Besuch von Facebook-Seiten grundsätzlich rechtskonform erfolgt. Es bleibt hier abzuwarten, wie sich die Rechtsprechung hierzu entwickelt.

Auch die Frage, ob die Entscheidung des EuGH auf andere Plattformen und Geschäftsmodelle anwendbar ist, bleibt offen.

Haben Sie weitere Fragen zum Datenschutzrecht, stehe ich Ihnen gerne zur Verfügung.

Rechtstipp aus dem Rechtsgebiet

IT-Recht

Bewerten Sie diesen Rechtstipp:

Artikel teilen:

Sie haben Fragen? Jetzt Kontakt aufnehmen!

Rechtsanwältin Nina Hiddemann

Veröffentlicht von:

Rechtsanwältin Nina Hiddemann

IT-Recht

Datenschutzrecht • Allgemeines Vertragsrecht • Urheberrecht & Medienrecht

… weitere weniger

Zum Profil

Hier bekommen Sie Recht –
aktuell und schnell

Wir halten Sie rund ums Recht mit unserem wöchentlichen Newsletter auf dem Laufenden!

Hier mehr erfahren

Weitere Rechtstipps von Rechtsanwältin Nina Hiddemann

NIS-2-Richtlinie - Ein kurzer Überblick

Unternehmen und öffentliche Einrichtigungen sind zunehmend Cyberangriffen ausgesetzt. Um das Cyberniveau in der EU verpflichtend auf ein hohes Niveau zu heben, ist inzwischen die sog. ... Weiterlesen
Kann ein Patient kostenlos eine Kopie seiner Patientenakte verlangen?

Diese Frage haben sich sicher schon viele Behandler und Patienten gestellt. Der Anspruch aus nationalem Zivilrecht Zivilrechtlich sieht das Bürgerliche Gesetzbuch in § 630g Abs. 1 BGB vor, dass ... Weiterlesen
Die bloße Verletzung einer DSGVO-Regelung begründet noch keinen immateriellen Schadenersatz

Ich "stolpere" immer wieder über Blogbeiträge von Kolleginnen und Kollegen, die damit werben Schadenersatzsansprüche durchzusetzen, weil bspw. personenbezogene Daten über ein Datenleck einer ... Weiterlesen

Alle Rechtstipps von Rechtsanwältin Nina Hiddemann

Weitere

Beiträge zum Thema

Letzte Rettung: Facebook-Fanpage löschen?

06.06.2018

Die Aufregung war groß, als gestern das wegweisende Urteil des Gerichtshofs der Europäischen Union in der ... Weiterlesen
Datenschutz-Aufsichtsbehörden: DSGVO-Bußgelder und Abmahnungen für Facebook-Fanpage-Betreiber?

05.04.2022

Die datenschutzrechtliche Haftung der Facebook-Fanpage-Betreiber Auch die Konferenz der unabhängigen ... Weiterlesen
Datenschutz Basics: Vertrag / Vereinbarung zur gemeinsamen Verantwortlichkeit i. S. d. Art. 26 DSGVO

12.08.2021

Heutzutage erfolgt die Verarbeitung von personenbezogenen Daten in arbeitsteiligen Unternehmensstrukturen oftmals ... Weiterlesen